Adathalászat az évszázad üzleteAdathalászat az évszázad üzlete

A Symantec internetes veszélyekrõl szóló jelentése félévente tájékoztat az internetes veszélyforrások tevékenységérõl. A jelentés a hálózati támadások elemzését és az ismert sérülékenységek áttekintését tartalmazza, valamint a legfontosabb rosszindulatú programokkal foglalkozik. Felméri az adathalászatban, a levélszemétben, valamint a reklám- és kémszoftverekben, illetve a megtévesztõ alkalmazásokban megtestesülõ hálózatos csalásokkal kapcsolatos nagyszámú problémát. Az internetes veszélyekrõl szóló jelentés mostani számának összefoglalása a jelenlegi tendenciákra és a küszöbönálló veszélyekre hívja fel az olvasók figyelmét. Emellett ajánlást is tesz az ezek elleni védekezésre és hatásuk enyhítésére. A mostani szám a 2006. július 1. és december 31. közötti hat hónappal foglalkozik.

  Adathalászat az évszázad üzleteAdathalászat az évszázad üzlete

A Symantec internetes veszélyekrõl szóló jelentése félévente tájékoztat az internetes veszélyforrások tevékenységérõl. A jelentés a hálózati támadások elemzését és az ismert sérülékenységek áttekintését tartalmazza, valamint a legfontosabb rosszindulatú programokkal foglalkozik. Felméri az adathalászatban, a levélszemétben, valamint a reklám- és kémszoftverekben, illetve a megtévesztõ alkalmazásokban megtestesülõ hálózatos csalásokkal kapcsolatos nagyszámú problémát. Az internetes veszélyekrõl szóló jelentés mostani számának összefoglalása a jelenlegi tendenciákra és a küszöbönálló veszélyekre hívja fel az olvasók figyelmét. Emellett ajánlást is tesz az ezek elleni védekezésre és hatásuk enyhítésére. A mostani szám a 2006. július 1. és december 31. közötti hat hónappal foglalkozik.

A Symantec hozta létre a világ egyik legátfogóbb, az internetes támadások adatait gyûjtõ forrását. A SymantecTM Global Intelligence Network az egész interneten figyeli a támadásokat. Több mint 40 000 érzékelõ figyeli 180-nál több országban a hálózati tevékenységet. A Symantec ezenkívül a Symantec víruselhárító termékeivel ellátott, több mint 120 millió felhasználói géprõl, szerverrõl és átjáróról gyûjti össze a rosszindulatú programok adatait, valamint a kém- és reklámszoftverekrõl érkezõ jelentéseket.

A Symantec mûködteti az internet egyik legnépszerûbb, sérülékenységeket közzétevõ és megvitató fórumát, a BugTraq levelezõlistát. A hozzávetõleg 50 000 közvetlen elõfizetõ napi rendszerességgel mûködik közre a sérülékenységek kutatásában, kapja az ezzel kapcsolatos információkat és vitatja meg azokat.1 A Symantec tartja fenn a világ egyik legátfogóbb, a védelem sérülékenységével foglalkozó, jelenleg több mint 7000 gyártó negyvenötezret meghaladó számú eljárásának és berendezésének 20 000-nél is több sérülékenységét tartalmazó (több mint egy évtizedet felölelõ) adatbázisát is. A Symantec a netes csalást figyelõ eszközeivel nyomon követi és felméri az ilyenfajta bûnözés bizonyos tevékenységét is.

Végül a Symantec Probe Network (szondahálózat), a több mint kétmillió csali postafiókból álló, az e-maileket 20 országból vonzó rendszer lehetõvé teszi, hogy a Symantec felmérje a világ levélszemetét és jelszóhalászó tevékenységét. A Symantec elemzõi ezeket a páratlan adatforrásokat használják a támadások és a rosszindulatú programok tevékenységi irányzatainak felismerésére. A Symantec a Symantec Phish Report Network (adathalászatot jelentõ hálózat) nevet viselõ, a vállalatok és magánfelhasználók csalás elleni, kiterjedt közösségén keresztül az adathalászatra vonatkozó információkat is gyûjti. A hálózat tagjai egymást tájékoztatják a csaló weblapok címérõl, hogy nagyszámú megoldáson keresztül riaszthassanak, és azokkal szûrhessenek.

A Symantec internetes veszélyekrõl szóló jelentése elsõsorban az ezen források által szolgáltatott adatok szakértõ elemzésére épül. A Symantec szaktudására és tapasztalataira épülõ jelentés kimagasló tájékoztatást ad a jelenlegi internetes veszélyekrõl. Az internetes védelmi tevékenység elemzésének az internetes veszélyekrõl szóló jelentésben történõ közzétételével a Symantec azt reméli, hogy az információvédelemmel foglalkozóknak biztosíthatja a rendszerük hatékony megvédéséhez szükséges információt.

1. A BugTraq levelezõlista a SecurityFocus-nál található ( http://www.securityfocus.com/   ). Az archív adatokhoz a http://www.securityfocus.com/archive/1    címen lehet hozzáférni

A most következõ fejezet a biztonsági tendenciáknak a Symantec által az ezen idõszak alatt észlelt, a fentebb említett források által szolgáltatott adatokon alapuló rövid összefoglalását adja. Az összefoglalás a fõ jelentés összes felmérését tartalmazza. Az áttekintést követõen a vezetõi összefoglaló nagyobb mélységben is taglal egyes felméréseket.

A támadások fõbb jellemzõi

  • A közigazgatás területén következett be az összes, azonosságlopáshoz kapcsolódó adatsértés 25 százaléka. Ez több, mint bármely más területen.
  • A számítógépek vagy más adattároló eszközök ellopása vagy elvesztése tette ki a jelen idõszakban az összes azonosságlopáshoz kapcsolódó adatsértés 54 százalékát.
  • A világon az Egyesült Államokból ered a támadások legtöbbje, 33 százalék.
  • A Symantec átlagosan 5 213 szolgáltatást lehetetlenné tevõ (DoS) támadást észlelt naponta. Ez kevesebb, mint az év elsõ felében észlelt napi 6 110.
  • Az Egyesült Államok volt a legtöbb DoS-támadás célpontja. A világ összes ilyen támadásának 52%-a irányult ide.
  • A közigazgatás területét érte a leggyakrabban DoS-támadás. Az összes észlelt támadás 30 százaléka irányult ide.
  • A webböngészõk elleni támadások 77 százaléka a Microsoft Internet Explorer ellen irányult.
  • A támadók az otthoni felhasználókat vették célba a leggyakrabban. Az összes célzott támadás 93%-a otthoni felhasználók ellen irányult.
  • A Symantec naponta átlagosan 63 912 aktív, bottal fertõzött számítógépet észlelt. Ez 11 százalékkal több, mint az elõzõ idõszakban.
  • A világ összes bottal fertõzött számítógépének 26 százaléka Kínában található. Ez több, mint bármely más országban.
  • Az Egyesült Államokban volt a legnagyobb számú bot parancs- és vezérlõ-számítógép, a világ összes ilyen gépének 40 százaléka volt itt található.
  • Peking volt a bottal legfertõzöttebb város a világon, a világ összes ily módon fertõzött gépének valamivel több mint öt százalékával.
  • Az Egyesült Államokban zajlott ebben az idõszakban az összes rosszindulatú tevékenység 31 százaléka, ez több, mint bármely más országban.
  • Az egy internetezõre jutó rosszindulatú tevékenység élén Izrael állt, nyomában Tajvannal és Lengyelországgal.
  • A bûngazdaság szervereibõl a Symantec által ismertek legtöbbje, ötvenegy százalék az Egyesült Államokban volt.
  • A Symantec által ismert bûngazdasági szervereken eladásra hirdetett hitel- és betéti kártyák nyolcvanhat százalékát az Egyesült Államok valamelyik bankja bocsátotta ki.

                                                                                                                                               

A sérülékenységek fõbb jellemzõi

  • A Symantec 2006 második felében 2 526 sérülékenységet jegyzett fel, ez 12 százalékkal több, mint 2006 elsõ felében, sõt bármely elõzõ hat hónapos idõszakét is meghaladja.2
  • A Symantec az ebben az idõszakban nyilvánosságra került sérülékenységek négy százalékát nagyon komolynak, 69 százalékát közepesen súlyosnak és 27 százalékát enyhének sorolta be.
  • Az ez idõ alatt nyilvánosságra került összes sérülékenység hatvanhat százalékát a webalkalmazásokat érintõ sérülékenységek tették ki.
  • A mostani jelentés idõszakában leírt összes sérülékenység hetvenkilenc százaléka könnyen kihasználhatónak tekinthetõ.
  • Az összes könnyen kihasználható sérülékenység hetvenhét százaléka webalkalmazást érintett, hét százalékuk pedig szervereket támadott.
  • A 2006 második felében nyilvánosságra került összes könnyen kihasználható sérülékenység kilencvennégy százalékát távolról ki lehet használni.
  • 2006 második felében az összes vizsgált operációs rendszer gyártójának hosszabb ideig tartott a hibajavítások elkészítése, mint az év elsõ felében.
  • A Sun Solarisnál 2006 második felében átlagosan 122 napra volt szükség a hibajavítás elkészítéséhez, ez volt az összes operációs rendszer közül a leghosszabb idõ.
  • A jelen idõszakban leírt sérülékenységek hatvannyolc százalékát nem erõsítette meg a gyártó.
  • A vállalatok számára készülõ termékek gyártóinál a sérülékenységek kijavítatlansága miatti veszélyeztetettségi idõtartam 47 nap volt.
  • A Symantec 54 sérülékenységet jegyzett fel a Microsoft Internet Explorerben, 40-et a Mozilla-böngészõkben, és négyet-négyet az Apple Safariban, illetve az Opera-ban.
  • A veszélyeztetettségi ablak a jelen idõszakban az összes böngészõ közül a Mozilla-nál volt a legrövidebb, két nap.
  • A sérülékenységet kihasználó programkód huszonöt százaléka a sérülékenység napvilágra kerülését követõ egy napon belül, harmincöt százaléka egy és hat nap között jelent meg.
  • A Symantec 12 ?aznapi" sérülékenységet jegyzett fel a jelen idõszakban. Ez jelentõs növekedés a 2006 elsõ felében feljegyzett egyhez képest.
  • A Symantec az Oracle adatbázis-megvalósításoknál 168 sérülékenységet írt le, bármely más adatbázisénál többet

A rosszindulatú programok fõbb jellemzõi

  • A 2006 második felében észlelt tíz leggyakoribb rosszindulatú programkódcsalád közül öt trójai, négy féreg és egy vírus volt.
  • A legszélesebb körben jelzett új, rosszindulatú programkódcsalád ez idõszak alatt a Stration féregé volt.3

2          A Symantec internetes veszélyekrõl szóló jelentése hat hónapos idõszakonként, 2002 januárjától követi nyomon a sérülékenységeket.

3          http://www.symantec.com/security_response/writeup.jsp?docid=2006-092111-0525-99

  • A Symantec ?mézesbödön-számítógépei" összesen 136, korábban nem tapasztalt rosszindulatú programkód-veszélyforrást gyûjtöttek be 2006. július 1. és december 31. között.
  • Ez idõszak alatt 8 258 új Win32-változatot jeleztek a Symantec-nek, ami 2006 elsõ félévéhez képest 22 százalékos növekedést jelent.
  • A férgek aránya az elõzõ idõszak 75 százalékához képest csökkent, ezek tették ki a rosszindulatú programkódok jelentette veszélyek 52 százalékát.
  • A Symantec-hez eljuttatott 50 leggyakoribb rosszindulatú programkódmintában a trójaiak aránya 23 százalékról 45 százalékra nõtt.
  • A fertõzés lehetõsége szerint számítva a trójaiak tették ki az 50 leggyakoribb rosszindulatú programkódminta 60 százalékát.
  • A többalakú veszélyforrások tették ki az 50 leggyakrabban jelzett, rosszindulatú programkódminta három százalékát. Arányuk az elõzõ két idõszak egy százalékához képest nõtt.
  • A botok az 50 leggyakoribb rosszindulatú kódjelentés csupán 14 százalékát tették ki.
  • A bizalmas információkat a Symantec-nek jelentett 50 leggyakoribb rosszindulatú programkód 66 százaléka veszélyeztette.
  • A billentyûzést naplózó kártevõk tették ki a bizalmas információra leselkedõ veszélyeknek a jelzések mennyisége szerinti 79 százalékát. Az év elsõ felében ez 57 százalék, 2005 második felében 66 százalék volt.
  • A rosszindulatú programkód terjesztése hetvennyolc százalékban SMTP-n keresztül történt, ez a leggyakrabban használt terjesztési mód.
  • Az egyenrangú kapcsolat használatával terjedõ rosszindulatú programkód 2006 elsõ feléhez képest az akkor terjesztett összes rosszindulatú kód 23 százalékáról az év második felére 29 százalékra nõtt.
  • A legtöbb rosszindulatú programkódot ebben az idõszakban az Egyesült Államokból jelezték.
  • 2006 második felében az 1318 feljegyzett rosszindulatú programkód-elõfordulás 23 százaléka sérülékenységet használt ki.
  • Az MSN Messengerre hatott az új, közvetlen üzenetet használó veszélyforrások 35 százaléka.

Az adathalászat, a levélszemét és a veszélyek fõbb jellemzõi

  • A Symantec Probe Network 166 248 különbözõ adathalászó üzenetet észlelt, ami hat százalékos növekedés 2006 elsõ hat hónapjához képest. Ez napi átlagban 904 egyedi adathalászó üzenetet jelent 2006 második féléve során.
  • A Symantec több mint másfél milliárd adathalászó üzenetet fékezett meg. Ez 19 százalékkal több a 2006 elsõ félévinél.
  • 2006 során a Symantec a hétvégeken a munkanapok 961 elõfordulásos átlagánál 27 százalékkal kevesebb egyedi adathalászó üzenetet észlelt.
  • A hétvégeken a megfékezett adathalászó üzenetek száma hét százalékkal volt kevesebb a munkanapok átlagosan 7 958 323 kísérleténél.
  • A pénzügyi szektor szervezeteinek márkanevei teszik ki az adathalászatra használt egyedi márkanevek 84 százalékát.
  • Az összes ismert adathalászó webhely negyvenhat százaléka az Egyesült Államokban volt, jóval több, mint bármely más országban.
  • 2006. július 1. és december 31. között az összes megfigyelt e-mailforgalom 59 százaléka levélszemét volt. Ez növekedést jelent 2006 elsõ hat hónapjához képest, amikor az e-mailek 54 százaléka bizonyult levélszemétnek.
  • Az ebben az idõszakban észlelt levélszemét hatvanöt százaléka angol nyelven íródott.2006 utolsó hat hónapjában a levélszemét 0,68 százaléka tartalmazott rosszindulatú programkódot. Ez azt jelenti, hogy a Symantec Brightmail AntiSpam által megfékezett, minden 147 levélszemét közül egyben volt rosszindulatú kód.
  • A pénzügyi szervezetekhez kapcsolódó levélszemét tette ki az összes levélszemét 30 százalékát. Ebben a kategóriában küldték a legtöbb levélszemetet.
  • 2006 utolsó hat hónapjában a világ összes levélszemetének 44 százaléka az Egyesült Államokból származott.
  • Az Egyesült Államokban volt a világon levélszemetelõ zombik legnagyobb hányada, 10 százalék.
  • A leggyakrabban jelzett veszélyforrás a ZangoSearch nevû reklámszoftver volt.
  • A 2006 második felében legtöbbször jelzett tíz veszélyforrás mindegyike legalább egy eltávolítást gátló technikát használ, míg az elõzõ jelentés idõszakában ez a leggyakoribb tíz közül csak ötre volt jellemzõ.
  • Az ebben az idõszakban leggyakrabban jelzett tíz veszélyforrás mindegyike önmûködõen frissíti magát.
  • 2006 második felének tíz leggyakoribb új veszélyforrása közül 41 százalékot tettek ki a várhatóan nem kívánatos alkalmazások.
  • A félrevezetõ alkalmazások észlelése 2006 második felében 40 százalékkal nõtt.

 Ez az internetes veszélyekrõl szóló jelentés egyes statisztikáit nagyobb mélységben tárgyaló rész az adatok által jelzett tendenciák elemzését és kifejtését tartalmazza. Az alábbi statisztikákkal foglalkozunk:

  • A rosszindulatú tevékenység országok szerint
  • Az azonosságlopást lehetõvé tevõ adatsértések
  • A bûngazdaság szerverei
  • Aznapi sérülékenységek
  • A bizalmas információ veszélyeztetõi
  • A rosszindulatú programkódok típusai
  • Adathalászat
  • Levélszemét
  • Bottal fertõzött számítógépek

A rosszindulatú tevékenység országok szerint

Az internetes veszélyekrõl szóló jelentésében a Symantec elsõ ízben mutatja be a rosszindulatú tevékenységet országok szerinti elõfordulás, illetve kiindulás ország szerinti feldolgozásban. A Symantec több rosszindulatú tevékenység, éspedig a bottal fertõzött számítógépek, a bot parancs- és vezérlõszerverek, az adathalászatra használt webhelyek, a rosszindulatú programkódról érkezett jelentések, a levélszemét-továbbító gépek és az internetes támadások földrajzi adatait használta fel az összeállításhoz.

2006. július 1. és december 31. között az Egyesült Államokban volt a legnagyobb mértékû a rosszindulatú tevékenység. Ez a világon elõforduló ilyen tevékenység 31 százalékát tette ki (1. táblázat). Az ehhez a felméréshez figyelembe vett rosszindulatú tevékenységeknél – a bottal fertõzött számítógépeket kivéve, ahol 12 százalékponttal lemaradt Kínától – messze az Egyesült Államok vezet.

Összetett helyezés

Ország

Összetett százalék-arány

Rossz-indulatú kód

Levél-szemetelõ gépek

Parancs- és vezérlõ-szerverek

Adat- halászó  gépek

Botok

   

Támadások

1

Egyesült Államok

31%

1

1

1

1

2

1

2

Kína

10%

3

2

4

8

1

2

3

Németország

7%

7

3

3

2

4

3

4

Franciaország

4%

9

4

14

4

3

4

5

Egyesült Királyság

4%

4

13

9

3

6

6

6

Dél-Korea

4%

12

9

2

9

11

9

7

Kanada

3%

5

23

5

7

10

5

8

Spanyolország

3%

13

5

15

16

5

7

9

Tajvan

3%

8

11

6

6

7

11

10

Olaszország

3%

2

8

10

14

12

10

1. táblázat A rosszindulatú tevékenység országok szerint

Forrás: Symantec Corporation

Az Egyesült Államokból kiinduló nagymértékû rosszindulatú tevékenység valószínûleg az ottani átfogó internet-infrastruktúra következménye. Az Egyesült Államokban található a világ internetezõinek 19 százaléka.4 Emellett ott a széles sávon internetezõk száma 2005 decembere és 2006 júliusa között 14 százalékkal nõtt.5 Az Egyesült Államokban a viszonylag jól fejlett védelmi berendezkedés ellenére az internetre kapcsolódó számítógépek nagy száma több, rosszindulatú céllal kihasználható célpontot biztosít a támadóknak. A Symantec azt jósolja, hogy mindaddig az Egyesült Államok áll majd a rosszindulatú tevékenység élén, amíg más országban meg nem haladja az internetezõk és a szélessávú kapcsolatok száma az ottanit.

Kína áll az ebben az idõszakban internet-szerte észlelt összes rosszindulatú tevékenység 10 százalékával a második helyen. A harmadik Németország, 7 százalékkal. E két ország ?elõkelõ" helyezése az internetezõk ottani nagy számával, valamint az ország internet-infrastruktúrájának gyors növekedésével magyarázható.

A rosszindulatú tevékenység terén élen járó 25 országnál az ottani internetezõk számát figyelembe véve határozta meg helyezésüket a Symantec. Erre azért volt szükség, hogy az országok felmérésénél a nagyszámú internetezõk miatti eltolódást ellensúlyozzák. Az egyes országok százalékos értéke így ebben az esetben az egy (átlagos) internetezõre esõ rosszindulatú tevékenységre értendõ.

Az egy internetezõre esõ rosszindulatú tevékenység terén Izrael vezet. Ha az élmezõny 25 országából egy-egy ember képviselné országának internetre kapcsolódó népességét, az átlagos izraeli internetezõ követné el a csoport rosszindulatú tevékenységének 9 százalékát. Az egy internetezõre esõ rosszindulatú tevékenység második helyezettjeként Tajvan felelõs a mintacsoport tevékenységének nyolc százalékáért. A harmadik helyezett hat százalékkal Lengyelország.

Az azonosságlopást lehetõvé tevõ adatsértések

Az azonosságlopás egyre gyakrabban jelent gondot a védekezésben. A személyek azonosítását lehetõvé adatokat tároló és kezelõ szervezeteknek gondoskodniuk kell az ilyen adatok titkosságáról és épségérõl. Minden olyan veszélyeztetés, amely személyazonossági adat kiszivárgásához vezet, egyszersmind a nyilvános bizalom romlásához, jogi felelõsségre vonáshoz és költséges pereskedéshez vezethet.

2006 második felében a közigazgatás terén következett be a személyazonosság ellopását lehetõvé tevõ legtöbb adatsértés, az összes ilyen 25 százaléka. A közigazgatási szervek nagy mennyiségû, azonosságlopásra használható, személyes adatot tárolnak, ugyanakkor gyakran számos, részben önálló részlegbõl állnak. Emiatt a kényes személyazonosító adatokat különbözõ helyen tárolják, és sokak számára hozzáférhetõek. Ez fokozza a támadók esélyeit az ilyen adatokhoz történõ jogtalan hozzáférésre. A közigazgatásban nagyobb a valószínûsége, hogy jelentik az ilyen eseteket, mint a magánszervezeteknél, ahol tarthatnak a piac negatív reakciójától.

4              http://www.internetworldstats.com/

5              http://www.oecd.org/document/9/0,2340,en_2649_34225_37529673_1_1_1_1,00.htm  

Azonosságlopás

1. ábra Az azonosságlopást lehetõvé tevõ adatsértések gazdasági területek szerint

Forrás: A Privacy Rights Clearinghouse és az Attrition.org adatai

Ebben az idõszakban az összes, azonosságlopást elõidézni képes adatsértés 54 százalékát számítógép vagy adattároló (például USB-memória vagy mentést tartalmazó adathordozó) elvesztése, illetve ellopása okozta. Az ilyen adatsértések huszonnyolc százalékánál a nem biztonságos szabályozás volt az ok. Ide tartozik a megfelelõ védelmi szabályzat létrehozásának, vagy alkalmazásának elmulasztása, illetve a nem a szabályzatnak megfelelõen folytatott tevékenység. Ilyen lehet például a személyazonosítására alkalmas adat nyilvános webhelyen való közzététele vagy annak titkosítatlan e-mailben történõ továbbítása.

Az ilyen adatsértések legtöbbje elkerülhetõ. A lopás vagy elvesztés esetén az adatok veszélybe kerülését az összes kényes adat titkosításával lehet elhárítani. Ezzel biztosítható, hogy ha elvesztenék vagy ellopnák az adatot, az ne legyen hozzáférhetõ jogosulatlan külsõ személy számára. Ennek a lépésnek egy bõvebb, a szervezetek által létrehozandó, alkalmazandó és betartatandó, védelmi szabályzat részét kell képeznie, hogy biztosítható legyen az érzékeny adatok jogtalan hozzáférés elleni védelme.

A bûngazdaság szerverei

A bûngazdaság szervereit a bûnözõk és bûnszervezetek az ellopott információt jellemzõen késõbbi személyazonosság-lopás céljára történõ eladására használják. Ilyen adat lehet a közigazgatás által kiadott azonosítószám, hitel- és bankkártyaszám, valamint személyazonosító szám (PIN), felhasználói fiók adata és e-mail címlista.

2006 második felében a Symantec által ismert bûngazdasági szerverek legtöbbje (51 százalék) az Egyesült Államokban volt (2. ábra). Az, hogy az Egyesült Államok ennyire kimagaslik, nem meglepõ a bûnözõk rosszindulatú tevékenységéhez számtalan lehetõséget kínáló, kiterjedt internet-infrastruktúra és a szélessávú elérések szakadatlan növekedésének fényében. A második helyen Svédország áll 15, a harmadikon Kanada hét százalékkal. Magyarország 10 szerverrel 1 % os szintet képviseli Izraellel es Bulgáriával közösen.

A bûngazdaság szerverei 

A bûngazdaság szervereiForrás: Symantec Corporation

A bûngazdasági szervereken eladásra hirdetett hitel- és betéti kártyák közül messze a legtöbbet az Egyesült Államok valamelyik bankja bocsátotta ki. Az Egyesült Államok kimagasló helyezése nem teljesen váratlan, hiszen az azonosságlopásra módot adó, ebben az idõszakban jelzett adatsértések nagy többsége is itt történt.

Az azonosságlopás megnehezítése érdekében fontos, hogy a szervezetek megtegyék a számítógépeiken tárolt vagy a hálózaton keresztül továbbított adatok védelméhez szükséges lépéseket. Olyan szabályt kell hozni és életbe léptetni, ami elõírja az összes kényes adat titkosítását. Ezzel biztosítható, hogy ha elvesztenék vagy ellopnák az adatot tároló számítógépet vagy adathordozót, az adat ne legyen hozzáférhetõ. Ennek a lépésnek egy, a szervezetek által létrehozandó és alkalmazandó, bõvebb védelmi szabályzat részét kell képeznie, mellyel biztosítható, hogy az összes érzékeny adat védve legyen a jogtalan hozzáférés ellen.

Aznapi sérülékenységek

Aznapi sérülékenységnek hívjuk az olyan sérülékenységet, amelyhez elegendõ nyilvános bizonyíték áll rendelkezésre annak kimutatására, hogy a sérülékenységet már nyilvánosságra kerülése elõtt a valóságban kiaknázták. Lehet, hogy kihasználása elõtt ismeretlen volt a gyártó számára, és a gyártó a kihasználás idején még nem bocsátott ki rá hibajavítást.

Az aznapi sérülékenységek sok esetben komoly veszélyt jelentenek, mivel nincs javításuk, és valószínûleg kikerülhetik a csupán jellemzõket használó észlelést. Ezeket célzott támadásban és a rosszindulatú programkód terjesztésében használhatják. Mint azt a Symantec az internetes veszélyekrõl szóló jelentés IX. számában megjósolta, kialakult az aznapi sérülékenységek feketepiaca, amely az ilyen sérülékenységeket képes eljuttatni a bûnözõkhöz és más, ebben érdekeltekhez.6

2006 második felében a Symantec 12 aznapi sérülékenységet jegyzett fel. Ez jelentõs növekedés 2006 elsõ, illetve 2005 második feléhez képest, amikor mindkét idõszakban csak egy-egy aznapi sérülékenységet jeleztek.

2006 második fele számos nagyszabású aznapi sérülékenységet hozott. A csúcs 2006 szeptemberében volt, amikor négy aznapi sérülékenység vált ismertté. Ezek többsége az Office alkalmazásokat, az Internet Explorert és ActiveX vezérléseket érintõ ügyféloldali sérülékenység volt. Ezek közül sokat véletlenszerû adatokkal történõ teszteléssel (fuzzing technology) fedeztek fel.

6 Symantec internetes veszélyekrõl szóló jelentése, IX. szám (2006. március): http://eval.veritas.com/mktginfo/enterprise/white_papers/ent-whitepaper_symantec_internet_security_threat_report_ix.pdf  : 21. o.

Úgy tûnik, hogy az aznapi veszélyek gyakoribbá váltak. Mivel úgy véljük, hogy az aznapi sérülékenységek korábban már veszélyként jelentkeztek, az incidensek mostani növekedése részben a szabadon garázdálkodó ilyen támadások észlelésének megnövekedett képességéhez is kapcsolható. Ezekhez a képességekhez tartoznak a szervezeteknél a továbbfejlesztett sérülékenységkezelõ eljárások, a vállalatok és a gyártók közötti jobb együttmûködés, valamint a kiaknázás és a rosszindulatú kód észlelését és elemzését szolgáló jobb eljárások.

Az aznapi sérülékenységek elleni védekezéshez a Symantec behatolást észlelõ és azt megakadályozó rendszerek (IDS/IPS) bevetését, és a rendszeresen frissített vírusirtókat ajánlja. A védelmi rendszerek gyártói képesek lehetnek új vagy frissített behatolásészlelõ és ?elhárító, valamint víruselhárító-azonosítók létrehozásával és telepítésével a frissen felfedezett, szabadon terjedõ aznapi sérülékenységekre történõ gyors reagálásra, mielõtt az érintett gyártó kibocsátaná a hibajavítást. Általános jellemzõkkel, valamint a viselkedés alapján és a heurisztikus eljárásokkal gátló eljárásokkal is meg lehet állítani az aznapi veszélyforrásokat.

A bizalmas információ veszélyeztetõi

Egyes rosszindulatú programokat kifejezetten a fertõzött számítógépen tárolt bizalmas információk feltárására készítettek. A bizalmas információkra leselkedõ veszélyek rendkívüli problémát jelentenek, mivel bûncselekmény elkövetéséhez használhatók. Az ilyen jellegû veszélyek jelentõs anyagi veszteséget eredményezhetnek, különösen, ha bankkártya-információkat vagy banki mûveleteket érintenek.

A bizalmas információ vállalaton belüli felfedése jelentõs adatkiszivárgáshoz vezethet. Ha érinti az ügyfelekhez kapcsolódó adatokat – például a bankkártyaadatokat -, komolyan megronthatja az ügyfelek bizalmát és a helyi törvényekbe is ütközhet. A cég kényes információi, a pénzügyi részletek, az üzleti tervek és a zárt technológiai információk is kiszivároghatnak a megtámadott számítógépekrõl.

2006 utolsó hat hónapjában a bizalmas információkat a Symantec-nek jelentett 50 leggyakoribb rosszindulatú programkód 66 százaléka veszélyeztette (3. ábra). A növekedés az év elsõ felében jelentettekhez képest 48, a 2005 második felében jelentettekhez képest 55 százalékos.

A bizalmas információ veszélyeztetõi

3. ábra A bizalmas információ veszélyeztetõi – Az 50 leggyakoribb rosszindulatú programkód százalékaránya

Forrás: Symantec Corporation

2006 második felében a távoli elérést biztosító veszélyforrások – például a hátsó ajtók – a bizalmas információkat fenyegetõ veszélyek 84 százalékát tették ki. A billentyûzést naplózó kártevõk tették ki a bizalmas információra leselkedõ veszélyeknek a jelzések mennyisége szerinti 79 százalékát. A bizalmas információkra leselkedõ veszélyek 62 százaléka a felhasználói adatok kinyerésére alkalmas veszélyforrás volt a jelentés idõszakában.

A rosszindulatú programkódok típusai

A mostani jelentés idõszakában a férgek aránya az elõzõ idõszak 75 százalékához képest csökkent, ezek tették ki a rosszindulatú programkód jelentette veszély 52 százalékát.7 Az egyedi féregminták száma az 50 leggyakrabban jelentett kód között azonban meglehetõsen állandó maradt 2006 második hat hónapja alatt. Ez idõ alatt 36 férget jeleztek a Symantec-nek, az elõzõ idõszakban pedig 38-at.

A Symantec-nek jelzett 50 leggyakoribb kódminta között a trójaiak száma jelentõsen nõtt 2006 második felében. Ebben az idõszakban az 50 leggyakoribb kódminta 45 százalékát tették ki, ez jelentõs növekedést jelent az elõzõ idõszak 23, és 2005 második felének 38 százalékához képest.

Mint ahogy a mostani jelentés ?Pillantás a jövõbe" címû fejezetében fejtegetjük, a támadók a fokozatos letöltõk, más néven a moduláris rosszindulatú programkód felé lépnek tovább. Ezek kicsi és specializált trójai programok, melyek más rosszindulatú programot, például hátsó ajtókat vagy férgeket töltenek le és telepítenek. a jelen idõszakban az 50 leggyakrabban jelzett rosszindulatú kód 75 százaléka ilyen moduláris elemet tartalmazott.

Az internetes veszélyekrõl szóló jelentésének mostani számában a Symantec elsõ ízben méri fel a rosszindulatú programokat a Symantec-nek jelzett egyedi minták és a lehetséges fertõzések száma szerint. Ez fontos megkülönböztetés. Bizonyos esetekben a nagy számú jelentést eredményezõ veszélyforrás nem feltétlenül okoz nagy számú fertõzést és viszont.

A férgek például a rosszindulatú programokról szóló jelzések 52 százalékát tették ki 2006 második felében, ugyanakkor csak 37 százalékát jelentették a lehetséges fertõzéseknek (4. ábra).

 Ennek a fõ oka az volt, hogy a levélözön-férgek jelentõs számú e-mailt hoztak létre, amelyhez hozzácsatolták a rosszindulatú programjukat. Minden ilyen észlelt levél egy rosszindulatú programjelentést váltott ki. Mivel egy féreg nagy számú e-mailt képes létrehozni, egyetlen fertõzés is sok jelzést eredményez. Ha egy rosszindulatú kódmintát fedeznek fel, gyorsan elkészül a további fertõzések ellen védõ vírusjellemzõ. Emellett az átjárószabályok és -technikák képesek kizárni a tömeges levélküldõvel érkezõ, végrehajtható csatolmányokat. Így a nagy tömegû e-mailnek csupán kicsiny része eredményez újabb fertõzést.

7 Fontos megjegyezni, hogy a rosszindulatú programkódmintákat több veszélykategóriába is be lehet sorolni. Például a Mytob-családhoz tartozó bot-variánsok féregként és hátsó ajtóként is kategorizálhatók. Ennek következtében az 50 leggyakoribb rosszindulatú kódmintában a veszélyforrások típusainak összesített százalékszáma meghaladhatja a százat.

Az 50 leggyakoribb veszélyforrás megoszlása

Rosszindulatú kódok típusai

4. ábra A rosszindulatú kódtípusok 2006 júliusa és decembere között, jelzés és lehetséges fertõzés szerint

Forrás: Symantec Corporation

Másrészt a trójaiak 2006 utolsó hat hónapjában az 50 leggyakrabban jelentett rosszindulatú kódminta tömegének csak 45 százalékát képezték. Mindamellett a lehetséges fertõzések szempontjából ugyanezen idõszak 50 leggyakrabban jelentett rosszindulatú kódmintájának 60 százalékát tették ki. Minthogy a trójaiak semmilyen terjesztõmechanizmust sem tartalmaznak, nem burjánzanak olyan mértékben, mint a levélözönférgek, így kevesebb jelentés is érkezik róluk. Mivel gyakran a webböngészõ vagy egy aznapi sérülékenység kihasználásával telepítõdnek, egy trójairól szóló jelentés nagyobb valószínûséggel jelenti a megtörtént fertõzést. Ennek következtében a lehetséges fertõzések száma valószínûleg nagyobb a trójaiaknál, mint a férgeknél.

Adathalászat

2006 második hat hónapja alatt a Symantec Probe Network 166 248 különbözõ adathalászó üzenetet észlelt, napi átlagban 904-et. Ez a szám hat százalékos növekedést jelent 2006 elsõ hat hónapjához képest, amikor 157 477 különbözõ adathalászó üzenetet észleltek.

2006 második felében a Symantec több mint másfélmilliárd adathalászó üzenetet fékezett meg. Ez a 2006 elsõ félévinél 19, a 2005 második félévinél hat százalékkal több. A Symantec ezek szerint átlagosan 8,48 millió adathalászó e-mailt fékezett meg naponta 2006 utolsó hat hónapja alatt.

2006 második felében az összes ismert adathalászó webhely negyvenhat százaléka az Egyesült Államokban volt, jóval több, mint bármely más országban. Ennek valószínûleg az az oka, hogy a webtárhelyet biztosító szolgáltatók – különösen az ingyenesek – nagy számban találhatók az Egyesült Államokban. Ráadásul az Egyesült Államokban található a világ legtöbb internetezõje, és az internetre kapcsolódó nagy számú, kisebb-nagyobb szervezet székhelye is itt van.

A legtöbb, adathalászatra használt egyedi márkanevet a pénzügyi szolgáltatások területén találjuk. E szektor szervezeteinek márkanevei teszik ki az adathalászatra használt egyedi márkanevek 84 százalékát. Ez nem meglepõ, hiszen a legtöbb adathalászó támadást anyagi elõnyért követik el. Egy pénzügyi intézmény elleni sikeres adathalászó támadás során valószínûleg olyan információhoz lehet hozzájutni, amelyet a támadó késõbb nyereségre válthat.

A levélszemét

2006. július 1. és december 31. között a Symantec által megfigyelt összes e-mailforgalom 59 százaléka levélszemét volt. Ez növekedést jelent 2006 elsõ hat hónapjához képest, amikor a Symantec az e-mailek 54 százalékát minõsítette levélszemétnek.

2006 második felében a pénzügyi szolgáltatásokhoz kapcsolódott a legtöbb, az összes 30%-át kitevõ levélszemét. Az egészségügyi szolgáltatásokhoz és termékekhez kapcsolódó levélszemét az összes 23 százalékát tette ki, a kereskedelmi termékekkel foglalkozó pedig 21 százaléka volt az összes levélszemétnek.

A pénzügyekhez kapcsolódó levélszemét szaporodása fõként a részvénypiaci árfelhajtással manipuláló ?pump and dump" levélszemét jelentõs gyarapodásának köszönhetõ. ?Pump and dump"-nak az olyan módszert nevezzük, amikor a bûnözõk az általuk birtokolt részvény körüli érdeklõdés mesterséges felkeltésével tesznek szert nyereségre. Alacsony árfolyamon vásárolnak a filléres részvényekbõl, majd mesterségesen felhajtják az adott részvény iránti keresletet olyan levélszemét küldésével, amely látszólag egy elismert tõzsdei tanácsadótól származik, azonban hamis elõrejelzést tartalmaz az illetõ részvény jó eredményérõl. Az üzenet címzettjei közül az annak hívõk vásárolnak a részvénybõl, ezzel keresletet gerjesztenek iránta és így megemelik az árát. Ha az árak magasra emelkedtek, az elkövetõk nyereséggel adnak túl részvényeiken.

Az ilyen levélszemét lehetõvé teszi, hogy a küldõje közvetlenül és jóformán azonnal nyereséghez jusson. Ez önmagában is vonzóbbá teszi a levélszemét többi fajtájánál.

A levélszemetelõ zombi egy olyan számítógép, amelyet bottal vagy más rosszindulatú programmal megfertõzve e-mailüzenetek terjesztésére használnak. 2006. július 1. és december 31. között az összes levélszemetelõ zombi tíz százaléka az Egyesült Államokban volt, ezzel e kategória élére juttatva az országot. Ez idõszakban az Egyesült Államok volt az egyik ország, ahonnan a levélszemét terjesztésére általánosan használt legtöbb Spybot és Mytob botot jelezték.

A második és harmadik helyezett Kína és Németország volt, ahol a világ összes levélszemetelõ zombijának kilenc, illetve nyolc százaléka talált otthonra. A levélszemetelõ zombik otthonaként élen álló országok közötti kis különbség azonban meglehetõsen eltér a botok terjesztése terén ez idõszakban tapasztaltaktól. Ez azt mutatja, hogy nem feltétlenül minden levélszemetelõ zombi bot is egyben, és nem minden botot használnak levélszemét küldésére.

Bottal fertõzött számítógépek

A botok olyan programok, amelyek azzal a céllal telepítettek titokban a felhasználó számítógépére, hogy távolból, jogosulatlanul át lehessen venni annak a vezérlését. A támadó a célba vett rendszert valamilyen kommunikációs csatornán, például IRC-n keresztüli távvezérelheti. Ezeken a csatornákon keresztül összehangolt támadásra használható, nagy számú megtámadott számítógépet tud a távoli támadó a bothálózat egyetlen, megbízható csatornáján keresztül távvezérelni.

8          http://www.sec.gov/answers/pumpdump.htm

9          http://papers.ssrn.com/sol3/papers.cfm?abstract_id=920553

A botok sokféleképpen mûködhetnek, és letöltés révén többnyire új funkciókkal is bõvíthetõk. A távoli támadók botok segítségével DoS-támadást indíthatnak például egy szervezet honlapja ellen. Emellett az egy szervezet hálózatában levõ botokat ki lehet használni más szervezetek honlapjának megtámadására is, aminek súlyos üzleti és jogi következménye lehet. A támadók botok segítségével bizalmas információt gyûjthetnek be a megtámadott számítógépekrõl, ami személyazonosság-lopáshoz vezethet. Botokat lehet használni levélszemét vagy adathalászó támadás, kém- és reklámszoftver, valamint félrevezetõ alkalmazás terjesztésére.

2006. július 1. és december 31. között a Symantec napi átlagban 63 912 bottal fertõzött, aktív számítógépet észlelt. Ez 11 százalékkal több, mint az elõzõ hat hónapban. A Symantec továbbá 6 049 594 bottal fertõzött számítógépet észlelt ebben az idõszakban, ami 29 százalékkal több az elõzõ idõszakénál. Ezt a növekedést nagyrészt a botaktivitás szeptemberi csúcsa okozta, amikor számos olyan sérülékenység került napvilágra, amelyet aktívan kihasználtak a botok.

Parancs- és vezérlõszervernek hívjuk azokat a számítógépeket, amelyeket a bothálózatok gazdái a hálózatukban található, bottal fertõzött számítógépekhez történõ parancstovábbításra használnak. 2006 utolsó hat hónapjában a Symantec 4 746 bot parancs- és vezérlõszervert azonosított. Ez 25 százalékkal volt kevesebb a 2006 elsõ hat hónapjában azonosítottakhoz képest.

A parancs- és vezérlõszerverek számának csökkenése és a bottal fertõzött számítógépek számának egyidejû növekedése azt jelzi, hogy a bothálózatok átlagos mérete nõ. A bothálózatok így megerõsödnek. A bothálózatok megerõsödése valószínûleg azt hozza magával, hogy a szervezeteknek a hobbihackerek népessége helyett a bothálózatok tulajdonosainak eltökélt, tapasztalt és elkötelezett csoportjával kell számolniuk.

Ez a botok egymás közti kommunikációjában beálló alapvetõ változást is jelentheti. A Symantec olyan botokra bukkant, amelyek egyenrangú modell szerint szervezõdtek, ahol az egyes gépek egymáshoz kapcsolódtak, ahelyett, hogy egy központi parancs- és vezérlõszerverrel tették volna ugyanezt. A Symantec azt is tapasztalta, hogy a parancs- és vezérlõszervereken titkosítást kezdtek alkalmazni, így kevésbé szembetûnõek lettek.

Kínában volt a bottal fertõzött számítógépek száma a legnagyobb 2006 második felében. Ezek a világ összes ilyen gépének 26%-át tették ki (5. ábra). Ez hat százalékpontnyi növekedés az elõzõ hat hónaphoz képest. A növekedés mögött nem a többi ország botjainak csökkenése, hanem az ország botjai számának gyarapodása áll. Ez összeillik azzal a tendenciával, amelyrõl a Symantec elõször 2005-ben szólt, és a kínai bottevékenység növekedését jelezte.10

A bottal fertõzött számítógépek terén az Egyesült Államok áll a második helyen 14 százalékkal.

10 A Symantec internetes veszélyekrõl szóló jelentése, VII. szám (2005. március): http://eval.veritas.com/mktginfo/enterprise/white_papers/ent-whitepaper_symantec_internet_security_threat_report_vii.pdf  : 26. o.

Bottal fertõzött országok

5. ábra A bottal fertõzött számítógépek országok szerint

Forrás: Symantec Corporation

Az Egyesült Államok ad otthont az összes ismert parancs- és vezérlõszerver 40 százalékának is, ezzel az elsõ helyen áll ebben a kategóriában. A parancs- és vezérlõszerverek nagy aránya valószínûleg arra is utal, hogy az Egyesült Államokban található szerverek nem csak az országhatáron belüli, hanem a külföldi bothálózatokat is vezérlik.

A szervezeteknek a hálózatra kapcsolt összes számítógépet figyelniük kell a botfertõzésre utaló jeleket keresve, hogy a fertõzéseket a lehetõ legkorábban észlelhessék és elszigetelhessék. Arról is gondoskodniuk kell, hogy minden víruselhárító-azonosítót rendszeresen frissítsenek. Mivel a megfertõzött számítógépek más rendszereket is veszélyeztethetnek, a Symantec az ajánlja, hogy a vállalatok bármely esetleges rosszindulatú tevékenységrõl értesítsék internetszolgáltatójukat. A hálózat elérésére képes alkalmazások felismerését és korlátozását szolgáló szabályok megalkotása és betartatása is segíthet a botfertõzések terjedésének korlátozásában.

A botfertõzések megakadályozása érdekében a Symantec azt ajánlja, hogy az internetszolgáltatók mind a bejövõ, mind a kimenõ forgalmat szûrjék az ismert botforgalom megakadályozására.11 Az internetszolgáltatóknak a esetleges rosszindulatú e-mailcsatolmányokat is szûrniük kell a vállalatok és a végfelhasználók veszélynek kitettségének csökkentéséhez.

A végfelhasználóknak alapos és gondosan kimunkált védekezést nyújtó stratégiát kell követniük, amihez hozzátartozik a víruselhárító és a tûzfal telepítése.12 Rendszeresen frissíteniük kell a víruselhárító leíróit, és arról is gondoskodniuk kell, hogy az összes irodai, hordozható és szerver számítógép frissítve legyen. A Symantec azt is tanácsolja, hogy a felhasználók soha ne nézzenek meg, nyissanak meg vagy indítsanak el semmilyen e-mailcsatolmányt, kivéve, ha azt várták, ismert, megbízható forrásból származik, és ismerik a csatolmány célját.

11  Bejövõ forgalom alatt a hálózatba az internetrõl vagy egy másik hálózatból érkezõ forgalmat értjük. Kimenõ forgalomnak a hálózatot az internet vagy egy másik hálózat felé elhagyó forgalmat nevezzük.

12            Az alapos és kimunkált védekezés hangsúlyosan a többféle, egymást átfedõ és egymást kölcsönösen segítõ védelmi rendszer használatát jelenti, hogy ezáltal védve legyünk bármely technika vagy védelmi módszer valamely ponton való kiesése ellen. Ide tartozik – más óvintézkedések mellett – a víruselhárító, a tûzfal és a behatolást észlelõ rendszer telepítése.

Pillantás a jövõbe

Az internetes veszélyekrõl szóló jelentés ezen része a feljövõben levõ tendenciákat és azokat a problémákat tárgyalja, amelyekrõl a Symantec úgy véli, hogy az elkövetkezõ 6-24 hónap alatt kimagaslóak lesznek. Ezeknek az elõrejelzéseknek az alapját a Symantec által a mostani jelentés idõszakában végzett kutatás adja, mindamellett csak feltételezések. A jövõben lehetséges trendek fejtegetésével a Symantec azt reméli, hogy ezáltal a szervezeteknek és a végfelhasználóknak alkalmuk nyílik felkészülni a gyorsan kialakuló és összetett védelmi problémákra. Ez a rész az alább felsoroltakkal összefüggõ lehetséges védelmi problémákat taglalja:

  • Windows VistaTM
  • A Windows Vista és más gyártók szoftverei
  • Az adathalászat új célpontjai és módszerei
  • A mobil eszközöket célba vevõ levélszemét és adathalászat
  • Virtualizálás

A Windows Vista-t fenyegetõ veszélyek kézzelfoghatóvá válnak

A Windows Vista, a Microsoft legújabb operációs rendszere 2007 januárjában került nyilvános forgalomba. Egy várhatóan széles körben alkalmazásra kerülõ operációs rendszer megjelenése minden bizonnyal jelentõs hatással lesz a biztonság helyzetére. Az internetes veszélyekrõl szóló jelentés elõzõ számában néhány, a Windows Vista-hoz kapcsolható általános biztonsági problémát fejtegettünk.13 Az elmúlt hat hónap során a Symantec tovább kutatta az új Microsoft operációs rendszerhez kapcsolódó lehetséges problémákat. Ebben a fejezetben ezeket tárgyaljuk meg. A problémákat három kategóriába lehet sorolni: sérülékenységek, rosszindulatú programok és a Teredo protokoll elleni támadások.

2006 decemberében a Symantec egy a Windows korábbi változataiban meglevõ és a januárban kibocsátásra kerülõ Windows Vista-t is érintõ sérülékenységrõl számolt be.14 Ez azt mutatja, hogy a Microsoft Security Development Lifecycle,15 bár alapos, de mégsem ismeri fel feltétlenül a lehetséges sérülékenységeket. Ez amiatt lehet, hogy egyes sérülékenységek rendkívül szövevényesek.

Ettõl függetlenül úgy tûnik, hogy a Microsoft káros behatásokat csökkentõ módszereinek, a véletlenszerû címterület-kiosztásnak (ASLR), a GS-nek16, és az adatvégrehajtás megakadályozásának (DEP) a megvalósítása csökkentheti bármely felfedezett sérülékenység sikeres kiaknázását. A Symantec ennek ellenére azt várja, hogy a Windows Vista-t célba vevõ új veszélyforrások a Windows Vista újításainak megkerülésére régebbi, annak idején már sikeresnek bizonyult kiaknázási módszereket fognak használni, például olyanokat, amelyeket a Windows XP SP2 ellen alkalmaztak. A támadók például visszatérhetnek az e-mailt, P2P-t és más, rászedéses technikát használó támadásokhoz.

A már létezõ rosszindulatú programok is problémát jelenthetnek a Windows Vista-nak. A Symantec által irányított kutatás kimutatta, hogy a rosszindulatú programok némelyike, amelyet eredetileg nem a Windows Vista ellen írtak, az új operációs rendszerre is hatással lehet. Ez azért jelenthet gondot, mert egyes vállalatok abban a hitben cselekedhetnek, hogy a Windows Vista telepítésével a régi rosszindulatú programok ellen védetté váltak. Ennek következtében esetleg nem teszik meg a megfelelõ óvintézkedéseket az új Windows Vista-t futtató számítógépeken, és azokat sebezhetõen hagyják a régebbi rosszindulatú programok elõtt. A Symantec már jelezte, hogy egyes rosszindulatú programok megfertõzhetik a Windows Vista-t.17

13            A Symantec internetes veszélyekrõl szóló jelentése, X. szám (2006. szeptember):

http://www.symantec.com/specprog/threatreport/ent-whitepaper_symantec_internet_security_threat_report_x_09_2006.en-us.pdf  : 28. o.

14            http://www.symantec.com/enterprise/security_response/weblog/2006/12/vista_vulnerable.html

  • 15 A Secure Development Lifecycle egy olyan fejlesztési metódus, amely a kezdeti szerkesztéstõl a programozásig terjedõ összes lépcsõben, valamint a minõségbiztosítás és a tesztelés fázisában is magában foglalja a védelmet. A veszélymodellezés az a védelemvizsgálati módszer, amely magában foglalja egy alkalmazás összes megtámadási lehetõségének szabályszerû felismerését és megtervezését. Bõvebb információ: http://www.microsoft.com/presspass/features/2005/nov05/11-21SecurityDevelopmentLifecycle.mspx

16            A GS egy programfordítási eljárás. A név a fordítóprogram egyik paraméterébõl származik, Amellyel bel lehet kapcsolni ezt a funkciót. A GS használatával a veremtárban sütiket lehet elhelyezni a sérülékeny funkciókhoz, hogy csökkentsék a veremtár túlcsordításának esélyét.

17            Példákért lásd: http://www.symantec.com/enterprise/security_response/weblog/2006/12/hit_or_miss_vista_and_current.html

A Symantec által felismert, itt megtárgyalandó harmadik lehetséges védelmi probléma a Windows Vista-val kapcsolatosan a Teredo. A Teredo egy Microsoft által kifejlesztett protokoll, amely lehetõvé teszi az internet protokoll (IP – az összes internetes kapcsolat alapját képezõ egyik protokoll) változatai közötti átmenetet. A Teredo alapbeállításban engedélyezett a Windows Vista-ban. A Windows Vista-t használó számítógépeket a Teredo-n keresztül könnyen fel lehet ismerni.

A Teredo-n át küldött támadások sok esetben meg fogják kerülni a szervezetek védelem-felügyeletét, mivel ez a protokoll a hálózaticím-fordításon (NAT) keresztül egy IPv4 UDP kapcsolaton van átbújtatva. Sok védelmi termék nem ismeri a Teredo-t és ezek nem fogják azt felügyelni. Ez fogékonnyá teheti a Windows Vista-t a Teredo-n keresztül történõ támadásokra.18

A Symantec azt javasolja a Windows Vista-ra való áttérésre készülõ vállalatoknak, hogy elõször egy kis, nem létfontosságú területen tegyék meg azt, és alapos védelmi vizsgálatot folytassanak le a támadásoknak való esetleges kitettség csökkentése érdekében. Emellett a vállalatoknak meg kell gyõzõdniük arról, hogy bármely, jelenleg használt, külsõ gyártótól származó védelmi megoldásuk képes-e mûködni a Windows Vista-n és a meglevõ védelmi szabályozásnak megfelelõen van-e rendszerbe állítva. Az olyan szervezetek, ahol a Windows Vista-ban a Teredo helyett az IPv6 használatát fontolgatják, gondosan tervezzék meg az IPv6-ra történõ áttérésüket, ideértve a natív hozzáférést és a frissített védelmi szabályozást.

A Windows Vista megjelenése kiemelkedõen fontossá teszi más gyártók szoftvereinek védelmét

A Windows Vista megérkezése és a Security Development Lifecycle folyamatos alkalmazása valószínûvé teszi, hogy a Microsofttól származó programkódot nehezebb lesz kihasználni. Emiatt lehet, hogy a támadók a más gyártóktól származó, olyan elterjedt alkalmazásokra fognak összpontosítani, amelyek elõállítója nem alkalmazza a Security Development Lifecycle-t. Ezeknél a más gyártóktól származó alkalmazásoknál lehetséges, hogy nem használják a bevett legjobb szoftverfejlesztési eljárásokat, a biztonsági tervezést, a biztonságos kódolási eljárásokat, a kódfelülvizsgálatot vagy az olyan biztonságos fejlesztõeszközöket, mint a Microsoft Visual Studio.19 Ennek következében kevésbé biztonságosak lehetnek, mint a Microsoft alkalmazásai vagy a Windows Vista környezet, amelyen telepítésre kerülnek.

A más gyártók ilyen alkalmazásai lehetnek máshonnan származó védelmi szoftverek (vírusirtó), webböngészõk, közvetlenüzenet-programok, levelezõprogramok és irodai programegyüttesek. Lehetnek köztük – akár helyben, akár globálisan – jelentõs felhasználószámmal bíró alkalmazások. A Symantec már észlelte az aznapi sérülékenységek bizonyos területeken használt irodai programcsomagok elleni, célzott támadásra használt kiaknázásának elszaporodását.20

A Windows Vista biztonsági fejlesztései miatt a más gyártóktól származó meghajtók is célpontjai lehetnek a kernel-szintû elérést megszerezni próbáló támadásoknak. Ennek az az oka, hogy ezeket az alkalmazásokat nem a Security Development Lifecycle vagy más biztonságos fejlesztési eljárás használatával készítették. Ennek következtében fogékonyak lehetnek a veszélyekre. A támadók ezáltal megkerülhetik a Windows Vista biztonsági fejlesztéseit, amelyek az alkalmazások nem rendszergazdai jogokkal történõ futtatása révén a veszélyforrások hatásának teljes kivédését szolgálják.

Csak a biztonságos fejlesztési gyakorlat alkalmazásával érhetik el a fejlesztõk alkalmazásaik optimális védettségét. Ha nem képesek az összes biztonságos kódolási szabály betartására, az valószínûleg a sérülékenységek felfedezésének és sikeres kiaknázásának fokozódásához vezet.

18            A Teredo biztonsági folyományainak mélyebb taglalását a következõ helyen találja: http://www.symantec.com/avcenter/reference/Teredo_Security.pdf

19            A Microsoft Visual Studio fontossága a nem kezelt kódhoz használható, számos védelmi funkció bevezetésében van. Ezek közé tartozik az alapvetõ védelmi funkciók lehetõvé tétele a Windows Vista-n futtatott alkalmazásokban.

20            Aznapi támadásnak nevezzük azokat a támadásokat, amelyek olyan sérülékenység ellen irányulnak, amelyhez nem áll rendelkezésre hibajavítás. Általánosságban az olyan támadást is jelenti, amely nyilvánosságra még nem került sérülékenységre irányul, illetve esetleg még az érintett termék gyártója által sem ismert. Ilyen volt például a Justsystem Ichitaro zero-day, amelyet egy trójai továbbítására használtak:

http://www.symantec.com/enterprise/security_response/weblog/2006/08/justsystems_ichitaro_0day_used.html

Új adathalászó gazdaság

Az adathalászatnak a támadások fõáramlatába bekerülésével fejlõdésnek indultak az adathalászatot elhárító módszerek, és az adathalászoknak új célpontok után kellett nézniük és új módszereket kellett alkalmazniuk. A Symantec úgy véli, hogy a közeli jövõben az adathalászok kiterjesztik hatáskörüket, és új iparágakat vesznek célba. Például valószínû, hogy az úgynevezett ?nagyon sok játékosú netes játékokon" (MMOG) keresztül bevezetett  második gazdaságban számos célpontot fognak találni.21 Az MMOG-k nagy üzletté nõtték ki magukat és már most vonzzák a szervezett bûnözõk nagy csoportjait, akik digitális támadásokkal próbálnak anyagi elõnyhöz jutni. 2006 decemberében negyvennégy gyanúsítottat vettek õrizetbe 90 000 dollárnyi digitális vagyonnak egyetlen játéktól történt eltulajdonításáért.22

A Symantec azt feltételezi, hogy az adathalászat-ellenes megoldások kikerülésére új módszereket fognak kidolgozni az adathalászok. A Symantec már találkozott olyan megoldással, amely a feketelisták hatékonyságát hivatott gyengíteni. Az adathalászok például több, különbözõ URL-lel irányíthatják a felhasználókat egyetlen webhelyre. Minden egyes URL egyetlen használat után megszûnik, így, még ha fel is kerülne egy feketelistára, az nem lenne képes a többi lehetséges áldozatot ugyanarra a webhelyre irányító más URL-ek kizárására. Egyes esetekben a Symantec a felhasználókat ugyanarra a webhelyre irányító URL-ek ezreit észlelte.23 A támadók már most is használhatnak készáruként létezõ adathalász-készleteket. Az adathalász-készlet olyan eszközkészlet, amelyet a támadó adathalászó e-mailek és mintára épülõ webhelyek könnyû létrehozására használhat.

A Symantec azt is észlelte, hogy az adathalászok új módszert kezdenek alkalmazni, az úgynevezett intelligens adathalászatot. Ennek használatakor az adathalász megtámad egy adatbázist vagy egy szociális hálózati webhelyet, hogy onnan felhasználói adatokhoz jusson. Ezt az információt aztán célzott adathalászó kísérletben használja a szóban forgó felhasználó ellen. A jogellenesen megszerzett információ használatával történõ, nagy mértékû személyre szabás jelentõsen fokozhatja az adathalászó kísérlet hatékonyságát. Mivel a széles körû adathalászó kísérleteket egyre inkább lerázzák az adathalászat elleni eljárások, a Symantec azt feltételezi, hogy több, ilyen intelligens módszert használó adathalászó kísérlettel fogunk találkozni.

A fentebb felvázolt, feljövõben levõ adathalászó módszerek mellett a Symantec több általános adathalászó támadásra is számít, azaz olyan támadásokra, amelyek nem korlátozódnak egy meghatározott márka utánzására. Ahelyett, hogy meg kellene tudni azt, hogy a célba vett felhasználó melyik bankot használja, egy általános adathalászó támadás egyszerûen felszólíthatja az áldozatot arra, hogy ?lépjen be az XYZ Bank ügyfelei közé". Ez a sokkal általánosabb adathalászó támadás egy adott országra korlátozható, ha a csaliként használt intézmény csak az adott országban mûködik, ezzel nõ az adathalász esélye a sikerre.

Ez a mostanában felbukkant módszer alátámasztja annak szükségességét, hogy a vállalatok és a végfelhasználók hatékony megoldásokat alkalmazzanak az adathalászat és a csalás ellen. A vállalatoknak fel kell figyelniük az adathalászat elleni, hatékony módszerekre és eljárásokra, és alkalmazniuk kell azokat. Azoknak a vállalatoknak, amelyek ügyfeleiket az interneten keresztül szerzik, lépést kell tartaniuk az új adathalászó módszerekkel.24 Figyelniük kell a márkanevükkel történõ visszaélésekre, hogy megfelelõen tudjanak reagálni azokra, és minimálisra csökkenthessék a cég jó hírnevének esetleges csorbulását.

A végfelhasználóknak a legjobb védelmi eljárásokat kell használniuk, rendszeresen frissített vírusirtót, levélszemét-elhárítót, tûzfalat, eszközsor-gátlót és más szoftverészlelõ módszert kell alkalmazniuk. A Symantec azt tanácsolja a végfelhasználóknak, hogy soha ne adjanak ki semmilyen bizalmas személyes vagy pénzügyi adatot, ha nem tudnak meggyõzõdni az ilyen adatkérés jogosságáról.

21            Nagyon sok játékosú netes játéknak nevezzük az olyan, interneten zajló számítógépes játékokat, amellyel játékosok százai vagy ezrei tudnak egyidejûleg játszani.

22            Lásd: ?Virtual Item Theft Ring Busted" http://playnoevil.com/serendipity/index.php?/archives/1051-Virtual-Item-Theft-Ring-Busted.html

23            http://www.symantec.com/enterprise/security_response/weblog/2006/12/phishing_2006_the_year_in_revi.html

24            Lásd: Symantec Phish Report Network (adathalászatot jelentõ hálózat): egy kiterjedt, csalás elleni hálózat, amelynek tagjai egymást tájékoztatják a csaló weblapok címérõl, hogy nagyszámú megoldáson keresztül riaszthassanak és azokkal megakadályozhassák az adathalászatot. Elérhetõsége: http://www.phishreport.net/

Az internetet bármely tranzakciós tevékenységre használó vállalatoknak adathalászatot észlelõ, valamint arra reagáló eljárásokat és folyamatokat kell hadrendbe állítaniuk. Az adathalászó esemény elleni jól megalkotott és szabványosított reagálás mellett az is szükséges, hogy az információ eljusson a megfelelõ helyre, hogy védjen ugyanannak a támadásnak a megismétlõdése ellen.

A vállalatoknak gondoskodniuk kell arról, hogy kioktassák felhasználóikat az adathalászat módszereirõl, és azok tájékozottak legyenek a legújabb adathalászó csalásokról. Bõvebb tájékoztatás céljára az Internet Fraud Complaint Center (IFCC) irányelvcsomagot bocsátott ki az internetes csalások elleni védekezés mikéntjérõl.25

SMiShing – A levélszemét és az adathalászat mobilizálódik

2006 júliusában jelentette a Symantec, hogy az SMS és az MMS a levélszemetelés és az adathalászat új hordozójává vált.26 Késõbb a szakma kitalálta az ilyen veszélyek besorolására a ?SMiShing" mûszót (hívjuk mi ?SiMlizéS"-nek).

A levélszemetelés és az adathalász támadások hordozómechanizmusainál logikus a fejlõdés az e-mailtõl az SMS-ig és az MMS-ig. Ezt egyrészt az a tény magyarázza, hogy a mûszaki és eljárásbeli védelem ezeknél a szolgáltatásoknál fejletlenebb és nem annyira elterjedt, mint más környezetek esetében. Másrészt a mobil eszközöket használók az SMS-ben vagy MMS-ben kapott üzeneteket jellemzõen személyesebbnek érzik, mint az asztali gépen, e-mailben kapottakat. Ezenkívül az ide irányuló támadások eddig ritkák voltak. Ennek következtében a felhasználók hajlamosabbak hinni az ilyen üzeneteknek.

Az SMS és az MMS célba vétele jelentõs elõnyhöz juttathatja a támadókat az adott mobil operációs rendszer elleni támadással szemben. Az SMS és az MMS eléggé elfogadott és elterjedt ahhoz, hogy jóformán bármely hálózatra csatlakozó készüléken elérhetõ legyen. A legtöbb hagyományos és zárt operációs rendszert használó mobiltelefonon mindkét üzenési módszer megtalálható. Emiatt sokkal nagyobb a célba vehetõ felhasználói bázis, mint az okostelefonoké.

Megnõtt az emelt díjas SMS-ben küldött levélszemét mennyisége, amióta bevezették a díjazott fogadott SMS-eket.27 Ebben a díjszabásfajtában az elõfizetõ lényegesen többet fizet a fogadott SMS-ért, mint a küldöttért. Ezt a módszert jogszerûen jellemzõen a csengõhangok, háttérképek és más mobiltartalom, például a játékok eladói használják. Ez kényelmes módja a mikrofizetésnek, nem kell hozzá más fizetõeszközt, például bankkártyát bevonni. Ezt a módszert azonban egyes bûnözõk is kihasználták pénzszerzésre, így számos nemzeti távközlési hatóság eltörölte ezt a gyakorlatot.28

A Symantec azt feltételezi, hogy az SMS-ben és MMS-ben terjedõ adathalászat és levélszemetelés tovább nõ. A mobilszolgáltatók kénytelenek lesznek szûrési módszereket bevezetni, hogy megküzdhessenek ezzel a növekvõ problémával. Ehhez a problémához az is hozzájárul, hogy számos, a feladók számára saját hívószámuk vagy nevük használatát lehetõvé tevõ internetes SMS-átjáró létezik, amelyet csalással levélszemét küldésére is lehet használni. Az SMS-szolgáltatások árának csökkenésével az ilyen átjárók levélszemetelésre történõ használatának valószínûsége nõ.

25            http://www.fbi.gov/majcases/fraud/internetschemes.htm

26            SMS (rövidüzenet-szolgáltatás) a mobiltelefonokra és más mobil szöveges eszközökre (személyhívókra) történõ rövid szövegüzenet küldésére használt szolgáltatás. MMS (multimédia üzenetszolgáltatás) a mobil eszközrõl hangüzenet és multimédia fájlok (képek, hang és videó) küldését lehetõvé tevõ szolgáltatás.

27            http://www.grumbletext.co.uk/

28            http://news.bbc.co.uk/1/hi/technology/4708167.stm

A szoftvervirtualizáció új veszélyeket hoz

Szoftvervirtualizáció alatt az egy számítógépen (a gazdagépen) több virtuális számítógép (a vendégek) futtatásának a lehetõségét biztosító technikát értjük. Ezeknek a virtuális számítógépeknek mindegyike a többitõl függetlenül mûködik, saját virtuális hardverük van, így a felhasználó egy idõben többféle operációs rendszert futtathat ugyanazon a fizikai hardveren.

A szoftvervirtualizáció igen hatékony eszközzé vált, számos elõnye van. Sok felhasználóban  azonban hamis biztonságérzetet kelt, mert úgy vélik, hogy a virtuális gépek kijátszhatatlan védelmet biztosítanak. Bár igaz, hogy a virtuális gépek némely elterjedt támadásfajta elõl elszigetelhetõk, vannak azonban olyan támadások, amelyek ellen nem védenek. Emellett újfajta támadásokat is lehetõvé tehetnek. A Symantec úgy véli, hogy a szoftvervirtualizáció lehetséges védelmi vonatkozásait még nem kutatták és nem ismerték ki teljesen.

Lehet, hogy a virtuális vendéggépeken nem fut a gazdagépével azonos védelmi szoftver. Például lehet, hogy nincs rájuk telepítve víruselhárító, saját tûzfal vagy a saját gépen futó behatolás-elhárító. Ezek elmulasztása miatt a virtuális gépek jobban ki vannak téve a veszélyeknek, mintha külön hardveren mûködnének. A virtuális gépek emellett nem igazán védik a gazdagépen levõ adatokat. Ennek következtében a virtualizáció nem csökkenti feltétlenül az alkalmazásorientált veszélyeket és nem véd az ilyen veszélyforrások, például az adathalászat vagy az adatlopás ellen.

A Symantec arra is számít, hogy megjelenhetnek a virtualizációra szakosodott veszélyforrások. Számos virtuális gépet használnak már. A Symantec véleménye szerint a virtualizációra szakosodott veszélyeket két kategóriába lehet sorolni.

Az elsõ típus a virtuális gépek valós hardverét veszi célba. A hardvergyorsítást a virtuális gépen kívül, a gazdagép operációs rendszerében szoftverrel emuláló hardvermeghajtókat a gazdagép operációs rendszerébõl meg lehet támadni. Ezt az elvet illusztrálja az NVIDIA Binary Graphics Driver for Linux átmenetitár-elárasztó sérülékenysége.29 A Symantec úgy gondolja, hogy az ilyen típusú sérülékenységet ki lehet használni arra, hogy a gazdagép operációs rendszerébõl be lehessen törni a vendégrendszerbe. Azoknál a vállalatoknál, amelyek a szoftvervirtualizáció általi elkülönítésben bíznak, az ilyen jellegû veszélyforrás hatása jelentõs lehet.

A másik veszélyforrástípus, amelynek a felbukkanására számít a Symantec, ahhoz kapcsolódik, hogy a szoftveres virtuális gépek befolyással lehetnek a virtuális gépek vendég operációs rendszerében használatos véletlenszám-generátorokra. Ez a gondolatmenet a Symantec Advanced Threat Research által megkezdett munkán alapul, amely a Windows Vista-ban levõ GS-re (átmeneti tár elárasztása elleni védelemre) és ASLR-re (véletlenszerû címterület-kiosztásra) vonatkozik. Ez a kutatás rámutatott, hogy az egyes védelmi eljárásokban a véletlenszerû címterület létrehozására használt módszer bizonyos körülmények között nagyon eltérõen mûködik az operációs rendszer szoftvervirtualizációs példányában. Bebizonyosodott, hogy ez jelentõs hatással lehet a jó véletlenszerûségen alapuló számos technikára, így az egyedi azonosítók létrehozására, valamint a titkosításban használt álvéletlen sorozatok kiindulóértékére.

A vállalatoknak rövid és középtávon teljesen meg kell ismerniük a szoftvervirtualizáció használatának a környezetük védelmére gyakorolt minden lehetséges hatását, és terveiket ehhez kell igazítaniuk. Nagyon szigorúan kell ellenõrizniük és vezérelniük a gazda operációs rendszereket, mivel a várható tevékenység valószínûleg a virtuális gépek elindítási és leállítási idõszakára korlátozódik. A Symantec úgy érzi, hogy ezek a veszélyek a kutatás fontos területét alkotják, és tovább folytatja ezeknek a problémáknak a tanulmányozását és megfigyelését.

29 http://www.securityfocus.com/bid/20559

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük