Virtuális világból valós veszélyek — A VirusBuster összefoglalója 2010 harmadik negyedévének IT-biztonsági trendjeiről

Mi történt a harmadik negyedévben az informatikai biztonság területén? Beszámolónkban a trend értékű híreket, adatokat igyekszünk sorra venni, majd a VirusBuster Kft. víruslaboratóriumának észlelései alapján áttekintést nyújtunk a 2010. július-szeptember időszak leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól.

Mi történt a harmadik negyedévben az informatikai biztonság területén? Beszámolónkban a trend értékű híreket, adatokat igyekszünk sorra venni, majd a VirusBuster Kft. víruslaboratóriumának észlelései alapján áttekintést nyújtunk a 2010. július-szeptember időszak leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól.

Negyedéves összefoglalónk főbb témái:

1. Jósolt rémségek, mai veszteségek

2. Közösségi kórkép

3. Levélszemét-özön

4. Virtuális támadás, fizikai célpont

5. Összefogás, gyors reagálás

6. Bővülő biztonsági piac

7. Folt hátán folt

8. „Kiemelkedő" kártevők

Az anyag elkészítéséhez felhasználtuk a Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ adatait, illetve a szerteágazó nemzetközi kapcsolataink révén begyűjtött információkat is. Reméljük, hogy összefoglalónkban mind a szervezeti, mind az egyéni felhasználók találnak számukra hasznos információt.

1. Jósolt rémségek, mai veszteségek

Az IT-biztonsági helyzet egyre fokozódik – állítja Ian Pearson, aki a Fujitsu megrendelésére írt tanulmányt „Az élet és ahogyan majd éljük – A felhő alapú számítástechnika várható szerepe egy változó társadalomban" címmel.

„Nemsokára elég lesz egy csipetnyi intelligens port beszórni a szellőzőrácson ahhoz, hogy lehallgassák az adatainkat – akár mielőtt azok [az irodában alkalmazott] titkosító berendezéshez jutnának. Az információ aztán észrevétlenül a kém vezeték nélküli memóriaegységére kerülhet. – írja a szerző. – Picit okosabb intelligens porral még nyomtatóra jutása előtt módosíthatják a kinyomtatni kívánt dokumentumot. Valószínűleg nem lesz könnyű megtalálni az ilyen kémeszközöket."

Új kártevőgyártási és -terjesztési technikákra számíthatunk. A kórokozók apró darabkákból állhatnak össze, amelyek csak a végrehajtás pontján egyesülnek. Ezeket a rosszindulatú programokat nehezebb lesz felismerni.

Az adott rendszer fizikai jellemzőire alapozott támadási formák jelenhetnek meg. Egy ilyen hálózat-rezonanciás támadás arra épülhet, hogy mennyi idő alatt jut el a jel egyik pontból a másikba. Lehetővé válnak az összehangolt forgalomra és információhullámokra alapozott támadások is.

Tovább súlyosbítja a biztonsági problémákat, hogy hamarosan a web lesz a politikai kampányoknak vagy akár a cégek elektronikus bojkottjának az elsődleges színtere.

„Mindebből következőleg egyre több [szervezet] elsősorban biztonsági megfontolásból dönt majd az IT kiszervezése mellett. Egy cég önmagában ugyanis aligha lesz képes felvenni a kesztyűt az új fenyegetésekkel szemben" – hangsúlyozza Ian Pearson.

De szálljunk alá a jövő felhőiből a jelenbe! Épp elég kárt okoznak a számítógépes bűnözők már ma is, mindenfajta intelligens por nélkül. Évről évre dollármilliókat veszítenek a szervezeteknek a kártevők, a webes és belső támadások miatt.

Átlagosan évi 3,8 millió dollárjába került a kiberbűnözés annak a 45 amerikai szervezetnek, amely részt vett a Ponemon Intézet közelmúltban zárult felmérésében. Elemzésükben a szakemberek igyekeztek minden, a számítógépes bűnözők által okozott kárt felbecsülni: a közvetlen és indirekt, külső és belső költségeket egyaránt. Külső költségnek az ellopott vagy elveszett információ értékét, az üzletkiesést és az anyagi kárt, belsőnek a védekezésre fordított összeget tekintették. Az utóbbi részeként figyelembe vették a készenlét, a felderítés, a vizsgálatok költségét, valamint a problémák elszigetelésére, a helyreállításra, a támadások utáni intézkedésekre költött dollárokat.

A legdrágább belső tevékenységnek a cselekmények felderítése és a helyreállítás bizonyult, míg a külső költségek közül az elvesztett információ értéke vitte el a pálmát.

A kutatásba bevont szervezetek összesen heti 50 incidensnek estek áldozatul, azaz átlagosan mindegyik cég valamivel több mint heti egy sikeres támadást szenvedett el. Az összes kár több mint 90 százalékát webes támadások, rosszindulatú programok vagy dolgozók okozták.

Egy-egy kibertámadás következményeinek felszámolása átlagosan 14 napig tartott, s minden egyes nap 17.696 dollárba került – olvasható a tanulmányban. Ugyanakkor a belső támadások jóval több időt: legalább 42 napot raboltak el a szervezetek életéből.

„Miért sikeresek a hackerek?" – teszi fel a kérdést John Stewart, a Cisco biztonsági főnöke egy, a cége által nemrég közzétett tanulmányban. Majd megadja a választ: „Szerencséjük van, türelmesek és tehetségesek. És pénzzel is jobban el vannak látva [mint a másik oldal]". Egyre pontosabban célozzák meg áldozataikat, gondosan ki tudják választani azokat, akiknek hozzáférésük van a megszerezni kívánt adatokhoz.

Hat esztendő alatt 900-nál több esetet dolgoztak fel a Verizon évről évre kiadott adatbetörési nyomozati jelentései. Az elemzett bűntényeknek áldozatul esett adatrekordok száma meghaladja a 900 milliót.

Nemrég jelent meg a cég 2009-et áttekintő anyaga, amely – most első ízben – az amerikai titkosszolgálat (US Secret Service) által gyűjtött információk is bekerültek, így a beszámoló még pontosabb képet fest az adatbetörési frontról. A szakemberek a tavalyi év 141 bizonyított adatbetörését elemezték. A feldolgozott esetekben összesen 143 millió adatrekord került illetéktelen kezekbe.

Kik álltak a 2009-es bűntények mögött? A jelentés szerint:

• 70 százalékban külső támadók,
• 48 százalékban házon belüli elkövetők.

Az esetek

• 11 százalékában üzleti partner,
• 27 százalékában pedig több fél is érintett volt.

Ami az elkövetés módját illeti, az elemzésből kiderül, hogy:

• 48 százalékban jogosultsággal való visszaélés,
• 40 százalékban feltörés,
• 38 százalékban kártevő révén jutottak célba a bűnözők.

Az esetek

• 28 százalékában alkalmaztak félrevezető, manipulatív (social engineering) taktikát, s
• 15 százalékában fizikai támadást.

Egy másik cég, a Trustwave jelentése (Web Hacking Incidents Report) 160, nyilvánosságra került webtámadás következményeit és körülményeit dolgozza fel. Felmérésük talán legfigyelemreméltóbb eredménye, hogy az esetek nem kevesebb, mint 15 százalékában SQL befecskendezéses technikát alkalmaztak a bűnözők. A támadások gyakran azért lehetnek sikeresek, mert a szervezetek rosszul konfigurálják rendszereiket.

Milyen szervezetek kerülnek leggyakrabban a támadók célkeresztjébe? Nos, a tanulmány szerint „legnépszerűbb" a kormányzati szektor, amely a támadások 20 százalékát vonzotta magához. Második helyen – 15 százalékkal – a közösségi portálok és más Web 2.0-s cégek állnak. A bronzérmet a pénzintézetek szerezték meg, a támadások 12 százalékával.

Aggasztó – állapítja meg a Trustwave –, hogy a jelek szerint a cégek nem képesek megfelelően megvédeni magukat. Nem egyszer még eseménykezelő vagy naplózó eszközük sincs, miközben a számítógépes bűnözők egyre kifinomultabb technológiát vetnek be. A kutatók azt ajánlják a szervezeteknek, hogy kezeljék nyíltabban az őket érő támadásokat. Ha ugyanis titkolódznak, „nem lehet a probléma igazi okát orvosolni".

És milyen tipikus hibákat követnek el biztonságuk rovására az egyéni felhasználók? Nos, egy brit hitelképesség-vizsgáló cég, az Experian felmérése például lehangoló képet fest a jelszóhasználati szokásokról.

Ugyanazt a jelszót használja valamennyi vagy több, általa igénybe vett online szolgáltatáson a szigetországbeli szörfösök több mint fele, akik azt is beismerték: csak felszólításra változtatnak belépési azonosítóikon. A válaszadók 57 százaléka olyan adatot választott jelszóként, amelyet közösségi portálon is közzétett.

Mint a kétezer fős kutatásból kiderült: a jelszóként leggyakrabban választott adatok – a születési hely, idő és az illető valamelyik iskolájának neve – nagy valószínűséggel megjelennek valamely közösségi site-on, hiszen ugyanezek az információk ott vannak a portálokon leggyakrabban közzétett személyi adatféleségek tízes toplistáján.

Érdekes ellentmondás: miközben a válaszadók 18 százaléka jelentetné meg születési helyét közösségi portálbeli profiljában, egy idegennek telefonon csak 3 százalékuk adná meg ezt az információt…

2. Közösségi kórkép

Korunkban három trend jelenti a legnagyobb kockázatot – állapítja meg a Cisco 2010. félévi összefoglaló tanulmánya. Ezek:

• a mobil és az internetre kapcsolódó eszközök rohamos terjedése,
• a virtualizáció előretörése és végül, de nem utolsósorban
• a közösségi portálok térhódítása.

Az utóbbit illetően a kutatók azt találták: a dolgozók fele a céges rendszabályokra fittyet hányva a munkahelyén is belép az online közösségekbe. Több mint negyedük (27 százalékuk) manuálisan módosította gépén a biztonsági beállításokat, hogy hozzáférjen ezekhez a hálózatokhoz. Sokan játszanak is a portálokon – a facebookozók 7 százaléka például napi 68 percet tölt játékkal.

Ha egy online szolgáltatásnak világszerte félmilliárd látogatója van, természetes, hogy a bűnözők előszeretettel veszik célba. Így hát – csakúgy, mint az előző negyedévekben – az utóbbi három hónapban is többször hallhattunk a Facebook sérülékenységeiről, vagy éppenséggel a portálon garázdálkodó kártevőkről.

Különösen nagy port vert fel, amikor kiderült: egy e-mail címet és bármilyen jelszót beírva a Facebookon megkaphattuk a cím tulajdonosának nevét, képét – feltéve, hogy a cím a félmilliárd felhasználó valamelyikéhez tartozik. Mindez akkor is megtörtént, ha a fiók tulajdonosa megfelelően állította be az adatvédelmi opciókat. A hibát gyorsan kijavították, de nyilván előszeretettel lovagolták meg adathalászok, online csalók – egyáltalán bárki, aki kíváncsi volt: ki is rejtőzik egy ismeretlen e-mail cím mögött.

Ugyancsak figyelmet keltett az eset, amikor hamis „Nem tetszik" alkalmazás indult terjedésnek a Facebookon. A bűnözők azt használták ki, hogy – sok felhasználó kérése ellenére – a fejlesztők nem tettek „Nem tetszik" gombot tenni a közösségi portálra. Így hackerek hamis „Nem tetszik" programot készítettek, amely féregként felhasználói profilról felhasználói profilra terjedt, s spammelni kezdett.

3. Levélszemét-özön

Persze az előbb említett Facebook-féreg észrevehetetlenül piciny forrással járult hozzá csupán az elmúlt negyedévben is hömpölygő spam-áradathoz. „És végül is mit számít egy kis spam? – mondják sokan. – Legfeljebb töröljük." Nos, mi sem bizonyítja jobban az efféle okoskodás veszélyét, mint Szappanos Gábornak, a VirusBuster víruslabor-vezetőjének egy nemrég megjelent cikke. A szakember egy, a nyári labdarúgó világbajnokságot meglovagoló spamkampányól közölt részletes elemzést a Virus Bulletin című rangos nemzetközi szakfolyóirat októberi számában. Kimutatta: az az üzenet, amely a felszínen, a laikus felhasználó számára egyszerű levélszemétnek tűnt, valójában a hírhedt Bredolab kártevőt is terjesztette, mégpedig a még ennél is elhíresültebb Gumblar terjesztő-architektúra bevetésével.

És hányféle spam éri el a magyar felhasználókat is nap, mint nap! Szeptember végén például sajtóközleményben figyelmeztette a felhasználókat a VirusBuster: valóságos spamkitörés zúdult hazánkra. Ötezer eurós fizetés és jutalék részmunkaidős otthoni munkáért – ezt ígérte egy angol nyelvű, tömegesen terjesztett üzenet.

„Aki válaszolt egy ilyen levélre, semmit sem nyerhetett, de nagyon is sokat veszíthetett – hangsúlyozta Stange Szilárd, a VirusBuster technológiáért felelős termékmenedzsere. – Mert mi is a spammerek célja? Először is arról akarnak meggyőződni, léteznek-e az e-mail címek, amelyeket megszórtak. Ha válaszolunk, megerősítjük címünk helyességét, s az felkerül a számítógépes bűnözők validált címlistájára. Egy ilyen lista komoly értéket képvisel a feketepiacon, s a rajta lévő címzettek sok-sok kéretlen levélre számíthatnak."

Rejlett azonban a szeptemberi spamkitörésben még egy, az előbbinél veszedelmesebb csapda is. „Régen ismert trükkhöz folyamodtak a szerzők: ígérjünk sok pénzt kevés munkáért és kérjünk önéletrajzot a pályázóktól. Aki gyanútlanul elküldi a CV-jét, annak az adataival aztán sokféleképpen élhetnek vissza a bűnözők" – magyarázta el a szakértő.

Kemény dió volt ez a levéláradat a spamszűrőknek is. Az angol nyelvű szöveg ugyanis – bár néhány ponton nem volt igazán angolos – túlságosan hasonlított egy igazi állásajánlatra. Ha tehát egy szűrőt betanítottak arra, hogy ne engedje tovább, akkor könnyen lehet, hogy a címzetthez egy várva várt valódi munkalehetőségről szóló hír sem jutott el.

Segítséget jelenthet ilyen esetekben a fehérlista, vagyis az olyan e-mail-küldők jegyzéke, akikben garantáltan megbízhatunk. Ha egy spamszűrő fehérlistát is használhat, akkor kisebb terheléssel kell megbirkóznia, hiszen a tisztának tekintett forrásból érkező leveleket átengedheti, ugyanakkor kisebb az esély arra, hogy értékes üzeneteket tévesen kiszűrjön a rendszer. Ez utóbbi a feladónak és a címzettnek egyaránt fontos előny.

Régóta eredményesen használják világszerte a levelezés szűrésére a Spamhaus rosszindulatú e-mail szervereket tartalmazó feketelistáját. Nos, nemrég a nemzetközi nonprofit szervezet a jóindulatú, azaz megbízhatónak ítélt levelezőszerverekről is listát állított fel. A fehérlistára például bankok, ügyvédi irodák, légitársaságok, egészségügyi intézmények, kormányszervek, valamint számlázó, e-kereskedelmi, online banki tranzakció-értesítő és helyfoglaló rendszerek mail-kiszolgálói kerülhetnek fel, kizárólag meghívásos alapon.

Ugyancsak fontos a spam elleni küzdelemben a törvény szigorának alkalmazása. Reményteli ebben a tekintetben, hogy egy amerikai kerületi bíróság a közelmúltban véglegesen a Microsoft tulajdonába adott 276 internetes domaint. A szóban forgó címekről irányította a Waledac számítógépes gang a botnetjébe a világ minden táján beszervezett sok százezer spamküldő PC-t. A jogi lépéssel megnyílt az út a Microsoft előtt, hogy fellépjen azokkal az Egyesült Államokban regisztrált domainekkel szemben, amelyeket bűncselekmények elkövetésére használnak.

4. Virtuális támadás, fizikai célpont

Az eddigiekben olyan jelenségekről szóltunk, amelyek már hosszú évek óta folyamatosan gondot okoznak. Az elmúlt negyedév kártevői között azonban volt egy, amely – mondhatni – új fejezetet nyitott a számítógépes bűncselekmények (és hadviselés) történetében, legalábbis annak nyilvánosságra került köteteiben.

Porondra lépett ugyanis a Stuxnet, a világ első ipari folyamatirányító számítógépekre specializált kártevője. Nemigen akadt ennyire összetett, kifinomultan tervezett kórokozó a számítógépes vírusok történetében. Négy olyan sérülékenységet vett célba, amelyet csak nemrég fedeztek fel és foltoztak be. Ezt kihasználva többek között pen drive-okon és Windows állománymegosztásokon terjedt. Kutatók kimutatták: a féregnek különös képessége van a Siemens által fejlesztett ipari folyamatirányító alkalmazások megfertőzésére. Egy ilyen kártevő olyan, mint egy célra vezetett rakéta: internet nélkül is megtalálja és megsemmisíti célpontját. Egy folyamatirányító rendszerbe való beavatkozással a Stuxnet tervezői súlyos következményekkel járó szabotázsakciót követhetnek el.

Júliusban a Microsoft közzétette a Stuxnetnek áldozatul esett gépek földrajzi eloszlását. Érdekes módon úgy tűnt: Irán lett a fertőzések epicentruma. Felmerült az a feltételezés is, hogy a kártevőt egyetlen konkrét célpont: az iráni Bushehr atomerőmű megtámadására tervezték.

Elemzést tett közzé a támadássorozatról az Európai Hálózat- és Információbiztonsági Ügynökség (European Network and Information Security Agency, ENISA). „A Stuxnet valódi paradigmaváltás, a kártevők új kategóriája, új dimenziója – és nemcsak összetettsége, a mögötte álló kifinomult mérnöki munka miatt – jelentette ki Udo Helmbrecht vezérigazgató. – Afféle első csapásnak tekinthetjük, az egyik első jól szervezett és előkészített támadásnak, amelyet jelentős ipari célpontok ellen intéztek. Ennek komoly kihatása van arra, hogyan kell védenünk egy ország kritikus információs infrastruktúráját a jövőben. … Most, hogy a Stuxnetben alkalmazott elvek nyilvánosságra kerültek, további hasonló támadásokra számíthatunk. Valamennyi, biztonságban érintett fél szoros együttműködésére, jobb és összehangoltabb stratégiák kidolgozására van tehát szükség."

5. Összefogás, gyors reagálás

Önmagában egyetlen EU-tagállam, hardver- vagy szoftvergyártó, számítástechnikai katasztrófavédelmi csapat (Computer Emergency Response Team, CERT) vagy bűnüldöző szerv sem képes egy ilyen bonyolult támadás kivédésére – hangsúlyozta közleményben az ENISA. Ennek megfelelően az ügynökség 2011-ben támogatást nyújt az ipari folyamatirányító rendszerek védelmét szolgáló elvek, eljárások kimunkálásához, s elemezni fogja, milyen mértékben függenek az egyes kritikus szektorok az információs és kommunikációs technológiáktól.

Az ENISA aktívan segíti a nagy kiterjedésű támadások elleni összehangolt védekezést, s felkérése esetén vállalja, hogy koordinálja a megfelelő ellenintézkedéseket. Bejelentették: az ügynökség vezetésével első ízben pán-európai kritikus információs infrastruktúra-védelmi gyakorlatot tartanak. A 'CYBER EUROPE 2010'-ben az EU-tagállamok mellett három EFTA-ország is részt vesz.

Ugyanakkor a Fehér Ház a webes autentikáció megerősítéséért, az online azonosítás ellenőrzésének szigorításáért szállt síkra. Amerikai kormányzati szakértők „Megbízható azonosítás a kibertérben – Nemzeti stratégia" (National Strategy for Trusted Identities in Cyberspace, NSTIC) címmel készítettek 39 oldalas vitaanyagot. A dokumentum egy úgynevezett „azonosítási ökorendszer" létrehozása mellett érvel. Ez olyan, együttműködésre épülő környezet lenne, amelyben a „a természetes személyek, szervezetek és gépi eszközök megbízhatnak egymásban, mert a hiteles források gondoskodnak digitális azonosításukról, illetve annak igazolásáról".

Az ökorendszer három fő rétegből állna: a környezet szabályait rögzítő felügyelő rétegből, a szabályokat alkalmazó és érvényre juttató vezérlő rétegből, végül a szabályoknak megfelelő tranzakciók lefuttatásáért felelős végrehajtó rétegből.

Az NSTIC Obama elnök tavaly májusi netpolitikai elemzése nyomán készült – írta egy blogcikkben Howard Schmidt, az Egyesült Államok kiberbiztonsági koordinátora. Ha a tervek megvalósulnak, a polgároknak „nem kell többé egyre több és több – ráadásul esetleg nem is biztonságos – felhasználónév-jelszó kombinációt fejben tartaniuk, hogy belépjenek a különböző online szolgáltatásokba" – fogalmazott a magas rangú kormánytisztviselő, aki szerint a dokumentumot várhatóan ősszel véglegesítik.

És mit tegyenek a vállalatok? A Cisco tanulmánya szerint afféle gyors reagálású hadtestet kell felállítaniuk, mégpedig olyan szakemberekből, akiknek megfelelő rendőrségi kapcsolataik vannak, s akik tudják, hogyan kell bizonyítékot szolgáltatni a bűnüldöző szervek számára. A rendőrséggel való kapcsolatokat gondosan fel kell építeni, fenn kell tartani – nem szabad megvárni, míg egy támadás bekövetkezik.

6. Bővülő biztonsági piac

Mindezek hallatán érthető, hogy az IT-biztonság azon kevés ágazat közé tartozik, amely a globális gazdasági válság közepette is növelni tudta-tudja árbevételét.

„A biztonsági szegmens továbbra is a vállalati szoftverek világpiacának leggyorsabban növekvő területei közé tartozik" – állapította meg Ruggero Contu, a Gartner vezető elemzője. Idén a szektor több mint 16,5 milliárd dolláros volument érhet el – állítják a kutatók. Ha az előrejelzés beválik, az ágazat árbevétele 11,3 százalékkal nő a 2009-es 14,8 milliárd dollárhoz képest. A szakemberek mintegy 4 százalékkal nagyobb növekedésre számítanak tehát, mint 2008 és 2009 között, amikor is mindössze 7 százalékkal bővült a biztonsági szoftverpiac.

Csakúgy, mint eddig, az ágazat legnagyobb szeletét idén is a fogyasztói szoftverpiac adja, 4,2 milliárd dollárra prognosztizált árbevétellel. A dobogó második helyére a kutatók szerint a vállalati végpont-védelem kerül. Ez utóbbi szektorban az év végéig 3 milliárd dolláros forgalomra számítanak.

Hasonló eredményekre jutottak egy másik piackutató társaság, a Canalys elemzői. Mint mondják, a gazdaság lassan beindul, ismét van költségvetés, a cégek frissítik rendszereiket. Így a vállalati biztonsági világpiacon idénre 15 milliárd dolláros volument, s 13,8 százalékos növekedést prognosztizálnak. Utalnak arra, hogy az első negyedév forgalma 15,2 százalékkal haladta meg a tavalyi év megfelelő időszakáét.

A Canalys szakértői úgy becsülik: az idei árbevétel 33,6 százaléka – mintegy 5 milliárd dollár – realizálódik majd Európában. Az oroszlánrész – 46,4 százalék, azaz közel 7 milliárd dollár – várhatóan Észak-Amerikának jut. A 2010-es növekedés jó része az infrastruktúra biztonsági eszközök értékesítéséből származhat – ezek teszik ki a szektor végfelhasználói vásárlásainak 48,7 százalékát.

Folytatódik a szegmens növekedése 2011-ben is. Jövőre a Canalys 9,2 százalékos bővülést, 16,3 milliárd dolláros forgalmat jósol.

7. Folt hátán folt

Bár a korábbi időszakra vonatkozik, csak a harmadik negyedévben jelenhetett meg az adat: csaknem annyi sérülékenységet regisztráltak 2010 első felében, mint a teljes tavalyi évben együttvéve.

Mint a Secunia tanulmányában olvasható, az átlagos végfelhasználói PC-ken legelterjedtebb 50 programcsomagon összesen 380 rést találtak. Ez a végeredmény nem kevesebb, mint 89 százaléka a 2009-es esztendő egészére vonatkozó adatnak. Az egyes gyártók termékeiben regisztrált sérülékenységek számát tekintve az idei első félévben az Apple végzett az első helyen. Az almás céget az Oracle és a Microsoft követi a dobogón.

Mind nagyobb fenyegetést jelentenek – az operációs rendszerekkel szemben – a külső cégek által szállított alkalmazások rései. Egy átlagos, 50 programot futtató PC-n 26 Microsoft-terméket és 24, más gyártótól származó szoftvert találunk. Mégis, a felmérés szerint az utóbbiakban együttvéve 3,5-szer több sérülékenységre számíthatunk, mint a redmondi óriás programjaiban. A Secunia úgy becsüli: az idei év egészét tekintve ez az arány 4,4-re nő.

Nehezíti a hibák javítását, hogy a PC-ken átlagosan 13 különböző szoftverfrissítési mechanizmus működik.

A tipikus kliensgépet fenyegető sérülékenységek száma 2007 és 2009 között 220-ról 420-ra emelkedett. A Secunia most azt jósolja: idén ez az adat 760-ra szökik, vagyis ismét csaknem megduplázódik majd.

Így hát jó okkal kaptak szép számú biztonsági frissítést a legelterjedtebb szoftverek az elmúlt hónapokban is. A következőkben röviden, időrendben a legfontosabb foltokat tekintjük át.

Július

• Július 13-ai foltozó keddjén négy biztonsági frissítést bocsátott ki a Microsoft. A foltok összesen öt sérülékenységet orvosoltak. A négy foltból három „kritikus", egy pedig „fontos" minősítést kapott. A Windowshoz és az Office-hoz egyaránt két-két biztonsági frissítés szolgált.

• Negyedéves menetrendszerű biztonsági frissítésével összesen 59 biztonsági rést tömött be szoftverein az Oracle. Közel a hibák harmada – szám szerint 21 – a Solarisban volt. Mint ismeretes, a vállalati operációs rendszer a Sun felvásárlásával került az Oracle-hez. Hat sérülékenységet orvosolt a szoftverház a népszerű adatbázis-szerverben (Database Server). Számos más programot is érintett a frissítés. Ezek: a Secure Backup, a TimesTen In-Memory Database, a Fusion Middleware, az Enterprise Manager, az E-Business Suite, a Supply Chains termékcsomag és a PeopleSoft Enterprise.

• Összesen 14 – köztük nyolc kritikusnak minősített – sérülékenységet orvosolt a Firefox 3.6.7-es változatának kibocsátásával a Mozilla. Különösen veszélyes rések tátongtak a PNG képek, valamint a memória kezelésében.

• Az Apple az iTunes szoftver windowsos változatát javította. Az új, 9.2.1-es verzió egy puffer-túlcsordulási sérülékenységet szüntetett meg.

Augusztus

• Soron kívüli biztonsági frissítéssel orvosolta a hónap elején a Microsoft a Windows Shell kritikus sérülékenységét. A hackerek már támadták a rést, melyet a parancsikonok feldolgozásában fedeztek fel.

• Menetrendszerű foltozó napján, augusztus 10-én összesen 34 sérülékenység megszüntetésére 14 biztonsági frissítést bocsátott ki a Microsoft. A foltok közül nyolc „kritikus", hat pedig „fontos" minősítést kapott. A Windowshoz 12, az Office-hoz két javítócsomag látott napvilágot. Folt került a Microsoft .NET Frameworkre és a Silverlightra is.

• Frissült a windowsos QuickTime. Az Apple új verzió kibocsátásával orvosolta a videólejátszó egy kritikus sérülékenységét, amely távoli kódvégrehajtásra adott módot. Az érintett operációs rendszerek a következők voltak: Windows 7, Vista, valamint XP SP 2 és 3. A probléma Mac OS X rendszereken nem állt fenn.

• Mobil operációs rendszerét, az iOS-t ugyancsak befoltozta az almás cég. Egy olyan sérülékenységet orvosolt, amelyet elterjedten aknáztak ki a legújabb iPhone felszabadítására (azaz arra, hogy a készüléken az Apple által nem engedélyezett alkalmazásokat is futtatni lehessen). Az augusztusi operációsrendszer-verziók: iPhone-ra és iPod Touch-ra az iOS 4.0.2-es, iPadre az iOS 3.2.2.

• Expressz biztonsági frissítést bocsátott ki augusztus 19-én az Adobe. A következő szoftverek kaptak foltot: Reader 9.3.3 (Windows, Macintosh és Unix platformon), Acrobat 9.3.3 (Windows és Macintosh platformon), Reader 8.2.3 (valamennyi platformon), Acrobat 8.2.3 (valamennyi platformon), Flash Player 10.1.53.64 (valamennyi platformon).

Szeptember

• A hónap elején összesen 13 kritikus rést tömött be az iTunes windowsos kiadásán az Apple. Valamennyi hiba a program nyílt forráskódú WebKit böngészőmotor-komponensében volt, s rosszindulatú weblap megnyitásakor távoli kódvégrehajtásra adott lehetőséget. Ugyanezeket a sérülékenységeket július végén a Safari 5.0.1-ben és 4.1.1-ben már javította az Apple.

• Megjelent a Google böngészőjének új kiadása. Az első bétaváltozat megjelenésének második évfordulóján Windows, Mac OS X és Linux platformra egyaránt kibocsátott Chrome 6-ossal 17 sérülékenységet is orvosolt a keresőóriás.

• Felfrissítette böngészőjét az Apple is. Az új kiadású Safari Windows alatt három, OS X alatt két kritikus rést tömött be.

• Ugyancsak biztonsági frissítéssel rukkolt ki a Mozilla. A Firefox 3.6.9 nem kevesebb, mint 14 sebezhetőséget hárított el, köztük 10 kritikusat.

• Kilenc biztonsági frissítést bocsátott ki foltozó keddjén, szeptember 14-én a Microsoft. A foltok összesen 11 sérülékenységet orvosoltak, s közülük négy „kritikus", öt pedig „fontos" minősítést kapott. A Windowshoz nyolc, az Office-hoz két biztonsági frissítés szolgál.

• Kibocsátotta a QuickTime 7.6.8-as változatát, s ezzel két kritikus rést tömött be médialejátszóján az Apple.

• Médialejátszót javított az Adobe is: már támadták a hackerek a Flash Playernek azt a sérülékenységét, amelyet megszüntetett a cég.

• Szeptember végén soron kívüli javítócsomaggal tömte be a Microsoft az ASP.NET röviddel azelőtt nyilvánosságra került rését, amely ugyancsak ostrom alatt állt.

8. „Kiemelkedő" kártevők

Melyek voltak egyébként az elmúlt negyedév leggyakoribb kártevői a magyar neten? Nos, a VirusBuster folyamatosan nyilvántartást vezet az észlelt károkozókról. A cég szakemberei kiértékelik a cég házon belüli, illetve különböző helyeken működtetett levelezésvédő rendszereinek fogását, figyelik a freemailes levelek által hordozott vírusokat. Az adatokból hónapról hónapra toplistát készítenek, s ezek a havi statisztikák a cég honlapján is megjelennek (http://www.virusbuster.hu/labor/virus-toplista). A mintaforrásokat súlyozottan összesítve a 2010. július-szeptember időszakra az alábbi kártevő-gyakorisági lista állt elő:

„Tízes toplistánkon öt helyet két botnet, illetve az általuk terjesztett két kártevőcsalád foglalta el: a Redirector és az Oficla. Mindkettő jellemzően trójaiakat tölt le. Az előbbi általában Bredolab-, az utóbbi ZBot-variánsokkal kedveskedik a felhasználóknak" – fűzte az adatokhoz Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője.

Mindezzel korántsem állunk egyedül.

„Világszerte számtalan sebezhető gépet kerítettek hatalmukba a bűnözők. A feltört PC-kről azután bármikor indíthatnak online támadást." Ez a nyilatkozat már Jon Ramseytől, a SecureWorks cég technológiai vezetőjétől származik. A SecureWorks kutatói azt vizsgálták: az egyes országokban a PC-k átlagosan mekkora hányadát tették zombivá, azaz szervezték a tulajdonos tudtán kívül robothálózatba – botnetbe – a hackerek.

Nos, a nemrég közzétett tanulmány szerint a legelzombisodottabb ország az Egyesült Államok, ahol a kutatás hathónapos ideje alatt minden ezer PC-ről 1600 támadást indítottak. Nagy-Britannia – 107 támadás/1000 gép aránnyal – az előkelő ötödik helyre került. Legtisztábbnak India mutatkozott: itt ezer gépre csak 52 támadás jutott.

Egy másik biztonsági cég, az M86 Security a botnet-üzemeltetők után nyomozott. Miután a kínai kormány a közelmúltban lecsapott a számítógépes bűnözőkre, több gang más bázis után nézett, s a jelek szerint nem egy közülük Oroszországban lelt menedéket – állítják a vállalat szakemberei, akik két orosz regisztrátornál egyetlen hónap alatt ötezer új spam domaint fedeztek fel. Orosz szolgáltatóhoz költözött többek között a Zeus botnetet működtető társaság is. Az Oroszországba újonnan betelepült bandák főként spamkampányokban, online kaszinókban és gyógyszerforgalmazásban érdekeltek.

Napjaink elterjedtebb kártevőit alkotóik weboldalakon keresztül (is) folyamatos frissítik. A kártevők felismerésének biztosítása érdekében más víruslaborokhoz hasonlóan a VirusBuster is folyamatosan nyomon követi ezeket a webhelyeket. A gyakori frissítések miatt természetesen csak generikus felismerési módszerekkel kezeljük őket, az utánkövető feldolgozás nem szolgálná a felhasználók érdekeit.

Túloldali táblázatunk július-szeptember legaktívabb kártevő-szóró domainjeit foglalja össze. Láthatóan az Egyesült Államok, Kína és Brazília megőrizte előkelő helyét a terjesztő országok között: