Hlavní navigace

Představuje Internet nebezpečné prostředí?

15. 12. 2006
Doba čtení: 7 minut

Sdílet

Autor: 29
Škodlivý kód byl, je a bude. Viry a jiné zákeřné kódy jsou zde s námi více jak 20 let. Za tuto dobu jsme se setkali se škodlivými kódy různých forem a kvality, od jednoduchých až po dnešní sofistikované varianty. Dnešní epidemie již nejsou ale tak masivní, jak tomu bylo před pár roky. Znamená to, že se nemusíme zákeřného kódu obávat?

Odpověď zní: „Rozhodně ne!“

Naopak, škodlivého kódů existuje mnoho druhů a počet narůstá, jen se změnila jeho forma, užívané metody, technologie a účel existence.

Cíl útoků: finanční prospěch

V roce 2005 překročil celkový počet registrovaných kódů hranici 150 tisíc. Podle antivirových společností se každý měsíc na internetu objeví 1500 nových typů. Škodlivé kódy se ale výrazně změnily. Zatímco klasické viry byly především destruktivní, cílem dnešních kódů je šířit se nepozorovaně. Namísto masových epidemií a široce medializovaných incidentů nastupují cílené útoky, které nejsou tak viditelné – a nemohou se tudíž stát varovným příkladem, jak tomu bylo dříve, a o to jsou nebezpečnější. Realitou dnešní doby je, že útoky jsou velmi pestré, rychle mutují, vyvíjejí se a snaží se obejít obranné technologie a mají jasný záměr – rychle vydělat peníze.

Spojení nelegální činnosti s byznysem

Motivací dnešních útočníků je především přímý či nepřímý zisk. Statistiky mluví jasně: až 70 procent škodlivého kódu vzniká za účelem zisku. 65 procent nejnebezpečnějších útoků v sobě skrývalo spyware, adware, backdoor (zadní vrátka), rootkit nebo bot.

Nejznámější útoky

  • Rok 1999: útok viru MELISSA, který založil svoji „popularitu“ na rozesílání infikovaných e-mailů s přílohou, která obsahovala seznam pornografických serverů, a nakazil své oběti během 3 dnů.
  • Rok 2000: nejmasovější makrovir ILOVEYOU, který napadl na 45 milionů počítačů během několika hodin.
  • Rok 2004: útok červa MYDOOM, který proslul jako nejrychleji se šířící virus. Na vrcholu své aktivity zasáhl 12 000 systémů za hodinu a finanční dopad byl odhadnut na 5,25 miliardy dolarů.

V roce 2000 spáchali většinu počítačových deliktů jednotlivci. V posledních dvou letech si ale organizovaný zločin uvědomil sílu a anonymitu internetu a možnost jeho využití pro páchání deliktů bez ohledu na zeměpisné hranice. Z technologického hlediska může být téměř každá činnost na internetu zpětně vysledována. Obtížnější ale je propojení příslušné aktivity s fyzickou osobou.

Stírání hranic mezi jednotlivými typy

V čistokrevné podobě se škodlivé kódy vyskytují jen velice zřídka. V praxi nejčastěji kombinují více dovedností v rámci jednoho exempláře, např. zadní vrátka a keyloggery bývají součástí emailových červů nebo může jít o spojení červa s botem. Trendem dnešní doby je stírání hranice mezi jednotlivými typy škodlivého kódu a prolínání jednotlivých druhů kódů. Často nelze jednoznačně určit, do jaké kategorie škodlivý kód zařadit.

Vzestup technik ztěžujících detekci

Pokud se škodlivému kódu podaří dostat do systému, snaží se v něm zůstat co nejdéle utajen. Útočníci požívají různé techniky, které ztěžují zjištění útoku (kód se sám aktualizuje, mění své nastavení, má nástroje pro blokování antivirového programu apod.) včetně využívání rootkitů pro maskování přítomnosti zákeřného kódu. Také provozovatelé phishingu se pokoušejí obejít filtrovací technologie vytvářením náhodně pozměněných zpráv. Během prvního půlroku 2006 bylo zjištěno 157.477 odlišných phishingových zpráv, což je zvýšení o 81 procent oproti předchozímu období.

Cílem je mít více času ke zneužití infikovaného počítače, umožnění vzdáleného přístupu nebo k jiného ohrožení důvěrných informací za účelem zisku.

Způsobené škody

Dalším významným faktorem jsou způsobené škody: zatímco dříve tyto škody vznikaly zejména zablokováním infrastruktury samotnou epidemií (např. zahlcením emailových serverů, FW či jiných klíčových prvků), dnes jsou přímo spojeny s aktivním zneužíváním kapacity infikovaných počítačů, krádežemi citlivých informací (s jejich následným zpeněžením), vydíráním oběti nebo přímo s krádežemi peněz, zneužíváním platebních karet apod.

Nárůst trojských koňů

Klasické viry jsou pomalu vytlačované: jejich psaním lze finanční prospěch získat těžko. Naopak trojské koně se vyvíjejí mnohem rychleji než jiný zákeřný kód. Mezi oblíbené trojské koně patří trojan Backdoor a Downloader (viz graf č. 1), které bývají nejčastěji využity pro získání kontroly nad infikovaným systémem. Umožňují pak přímé zneužití počítače k dalším útokům, např. k šíření spamu, phishingových zpráv, DOS útokům apod. Finančně motivované útoky používají modulární nebezpečný kód, který se sám aktualizuje a po umístění v systému stáhne agresivnější hrozbu. Jejich cílem je přesně zaútočit tak, aby byly získány specifické informace, a to zejména důvěrné, jako jsou přístupy k bankovním účtům či údaje o platebních kartách (např. trojan Spy a Password Stealer – viz graf č. 1).

Bezpečnost - graf č. 1

Graf č. 1: Oblíbené trojské koně

Zranitelnosti prohlížečů

Internetové prohlížeče patří mezi nejpoužívanější aplikace, je pochopitelné, že patří i mezi ty nejproblémovější. I když alternativní prohlížeče získávají na oblibě, většina hackerů se nejvíce zaměřuje na Internet Explorer, protože je nejrozšířenější. V současné době vládne celosvětovému trhu silná čtyřka: Internet Explorer (82 procent uživatelů), Mozilla Firefox (13 procent), Apple Safari (necelá dvě procenta) a Opera (1 procento).

Každý prohlížeč má širokou paletu zranitelných míst (viz graf č. 2). Je ale statisticky dokázáno, že uživatelé s alternativními prohlížeči se chovají na internetu méně opatrně než uživatelé s IE.

Co se týká záplat – vede Firefox, kde je chyba opravena v průměru za méně než den. Následuje Opera a Safari. Nejhůř je na tom Internet Explorer, kde se průměrná doba vytvoření záplaty pohybuje kolem devíti dnů.

Bezpečnost - graf č. 2

Graf č. 2: Zranitelnosti prohlížečů

Rok 2005 – rok graywaru

Spyware a adware roste dynamickým tempem (viz graf č. 3). K srpnu 2006 existovalo 450 skupin adwaru s více než 4000 variantami. Hlavní charakteristický rys spywaru je ten, že se instaluje sám, bez vědomí uživatele, a to buď automatickým stažením z navštěvované webové stránky, prostřednictvím e-mailu a nebo jako skrytá část instalačního programu určitého softwaru. Průzkum společnosti Mcafee zjistil, že 97 procent uživatelů internetu není schopno rozlišit bezpečné a nebezpečné stránky, což v praxi znamená, že naprosté většině uživatelů stačí ke stažení potenciálně nechtěného programu jedno kliknutí.

Bezpečnost - graf č. 3

Graf č. 3: Růst spyware a adware

Společnost McAfee dále uvádí, že nejhoršími distributory adwaru jsou webové stránky zaměřené na hvězdy a celebrity – a nikoliv stránky obsahující pornografii.

Terče útoků

Zpráva firmy Symantec upozorňuje na to, že nejčastějším terčem útoků je sektor domácích uživatelů. Připadá na něj 86 procent všech cílených útoků a až po něm následuje odvětví finančních služeb. Uživatelé domácích počítačů bývají snadným cílem, protože velmi často nemají zavedena dostatečná bezpečnostní opatření.

Hledáte způsob, jak efektivně zabezpečit svůj počítač s operačním systémem Windows? Začít můžete u tutoriálu k bezpečnosti na Lupě. Dozvíte se jak potřebnou teorii o virech, trojských koních, spywaru a mnohém dalším, tak i praktické rady pro výběr správného softwaru.

Sociální inženýrství

Metody sociálního inženýrství jsou stále živé a používané. Lidský faktor bývá nejslabším článkem a škodlivý kód je často instalován do počítače za spolupráce uživatele (např. při infiltraci využívající elektronickou poštu, instant messaging, IRC, P2P sítě apod.). Sociální inženýrství zůstává evergreenem, v praxi si můžeme každý den ověřovat, že tyto metody stále fungují. Dle bezpečnostního experta Bruce Schneiera: „Amateurs hack system, professionals hack people“.

Využívání botnetů

Kybernetičtí zločinci zneužívají chabou mezinárodní spolupráci v boji proti elektronickému zločinu a s minimálním osobním rizikem vedou útoky přes hranice do jiných zemí. Organizované skupiny stále více využívají botnetové sítě, které je možno použít nejen k šíření nebezpečného kódu, ale také k rozesílání nevyžádané pošty nebo phishingových zpráv, ke stahování adwaru a spywaru, k útokům na organizace a k získávání důvěrných informací. Mnohem obtížnější je vystopovat původce útoků, zejména když trendy ukazují, že jsou útoky čím dál častěji vedeny například z východní Evropy a z Asie (viz graf č. 4), kde jsou sankce mírnější a prosazování práva je omezené.

Bezpečnost - graf č. 4

Graf č. 4: Využívání botnetů

Výhledy do budoucna

Pokud jde o budoucí trendy, v důsledku vlivu organizovaného zločinu a jeho snahy získat finanční prospěch lze očekávat nárůst škodlivého kódu a jeho variant. Spektrum jednotlivých kódů bude daleko pestřejší. Společnost Symantec uvádí jako jednu z hrozeb polyformismus kódu (především Win32), tzn. schopnost kódu upravit dynamicky svůj kód a rozšiřování technik umožňujících ztížení detekce: čím déle bude kód v systému neviditelný, tím více roste šance pro úspěšné provádění útoků.

Úplná ochrana neexistuje

Žádná pevná hranice mezi bezpečným a nebezpečným internetem neexistuje. Nelze spoléhat na to, že webové stránky jsou bezpečné. Klasické ochranné prvky nás nemusí vždy ochránit. Zranitelní jsou všichni uživatelé.

WT100

10 nebezpečných činností, které provádějí uživatelé

  • Kliknutí na neznámou přílohu e-mailu
  • Instalace neautorizované aplikace
  • Vypnutí anebo vyřazení automatických bezpečnostních nástrojů
  • Otevírání zpráv neznámého původu
  • Brouzdání po stránkách, kde existují rizika
  • Sdělení svého hesla
  • Náhodné brouzdání neznámem
  • Připojení se do neznámé bezdrátové sítě
  • Vyplnění webových formulářů, resp. registrací
  • Účast v chatech

Vyplatí se věnovat mimořádnou pozornost tomu, s čím na internetu souhlasíte, co do počítače instalujete, vyplňování různých registračních formulářů, poskytování emailové adresy atd. Často se podceňuje nebezpečí z otvírání nevyžádané pošty. Pokud je spam zaslán v HTML formátování, nemusí email nést veškerá data s sebou, ale může je de facto stahovat z nějakého předdefinovaného serveru. Tímto způsobem se mohou do počítače stáhnout zcela samočinně škodlivé kódy.

Aktivní prevence

Pouze firewall a antivirový program na ochranu proti škodlivým kódům nestačí.
  • Firewally dokáží snížit riziko útoku uzavřením všech portů, které nemusí být veřejně přístupné.
  • Antivirové programy dokáží zablokovat útoky, jejichž signatury znají. Pokud se ale objeví doposud neznámý útok, který dokáže využít některého z otevřených portů, přestává hrát firewall a antivirová ochrana svou roli.

Komplexní hrozby vyžadují komplexní ochranu, tedy používejte také antispywarový program a systémy detekce a prevence. Vzhledem k propracovanosti a rychlosti útoků je také důležité, aby jednotlivé obranné mechanismy spolu vzájemně komunikovaly, spolupracovaly a poskytovaly aspoň částečně automatizovanou odezvu.

Cítíte se na Internetu bezpečně?

Autor článku

Autorka se zabývá informační bezpečností v oblasti zpracování utajovaných informací v informačních systémech. Specializuje se na certifikaci IS, zpracování bezpečnostní dokumentace a návrhu opatření.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).