Nowe zagrożenia i trendy na rynku bezpieczeństwa

Bezpieczeństwo w Internecie — trendy zaobserwowane w 2009 roku

1. Wzrost spamu zawierającego złośliwe oprogramowanie
2. Atakowanie portali społecznościowych stało się codziennością
3. Fałszywe programy zabezpieczające
4. Gotowe narzędzia do wytwarzania wirusów
5. Większe wykorzystanie sieci typu „bot”
6. Współpraca ekspertów wewnątrz branży oraz między branżami w celu eliminacji nowych zagrożeń
7. Wykorzystywanie przez hakerów ważnych społecznie wydarzeń
8. Wzrost liczby zagrożeń „drive-by download”
9. Rekord rozpowszechnienia spamu został pobity
10. Więcej zagrożeń polimorficznych
11. Wzrost ataków z wykorzystaniem znanych marek
12. Wciąż naruszana jest integralność danych

1. Wzrost spamu zawierającego złośliwe oprogramowanie. Powszechnie uważa się, że spam jest irytujący, ale niekoniecznie niebezpieczny. W okresie od września do października 2009 r. przeciętnie ponad 2% wiadomości uznawanych za spam miało w załącznikach złośliwy kod, tym samym liczba zainfekowanych maili wzrosła dziewięciokrotnie.

2. Atakowanie portali społecznościowych stało się codziennością. W drugiej połowie roku wzrosła nie tylko częstotliwość samych ataków, ale także stopień zaawansowania. Portale społecznościowe stanowią idealny cel działań przestępczych ze względu na ogromną liczbę użytkowników i istniejący wśród nich wysoki poziom zaufania.

3. Fałszywe programy zabezpieczające. Firma Symantec wykryła 250 aplikacji, które podszywają się pod prawdziwe oprogramowanie ochronne. W rzeczywistości programy te nie zapewniają użytkownikom żadnej ochrony, a w skrajnych przypadkach same potrafią zainfekować komputer ofiary. W okresie od 1 lipca 2008 r. do 30 czerwca 2009 r. firma Symantec otrzymała informacje dotyczące 43 mln prób instalacji fałszywego oprogramowania zabezpieczającego.

4. Gotowe narzędzia do wytwarzania wirusów. W roku 2009 stworzenie złośliwej aplikacji było prostsze niż kiedykolwiek wcześniej. Jest to w dużej mierze spowodowane łatwą dostępnością prostych w obsłudze zestawów narzędziowych, takich jak Zeus, które nawet początkującym hakerom pozwalają tworzyć szkodliwe oprogramowanie oraz sieci typu „bot”. Wiele ze stworzonych w ten sposób zagrożeń to faktycznie połączenie składników znanych z innych nielegalnych programów. Przykładem jest robak Dozer, który zawiera składniki wcześniej wykrytych wirusów, MyDoom
i Mytob.


5. Rosnąca popularność sieci typu „bot”. Sieci typu „bot” szybko stają się podstawową formą działalności przestępczej w Internecie. Firma Symantec zaobserwowała, że większość złośliwego oprogramowania jest obecnie wyposażona w mechanizm sterujący takimi sieciami. W 2009 roku hakerzy wykorzystujący sieci typu „bot” zaczęli używać portali społecznościowych jako kanałów komunikacji.

6. Współpraca ekspertów wewnątrz branży oraz między branżami w celu eliminacji nowych zagrożeń. Nadchodząca rocznica pojawienia się robaka Conficker to okazja do przypomnienia, w jaki sposób wzrost koordynacji i zaawansowania przestępczości internetowej doprowadził do zacieśnienia współpracy między producentami rozwiązań w dziedzinie bezpieczeństwa, organami ścigania oraz dostawcami usług internetowych. Przykładami takiej współpracy w roku 2009 było utworzenie grupy roboczej ds. robaka Conficker, akcja FBI „Operation Phish Phry” oraz powstanie konsorcjum ds. przestępczości cyfrowej (Digital Crimes Consortium).

7. Wykorzystywanie przez hakerów ważnych społecznie wydarzeń. Walentynki, turniej NCAA March Madness, epidemia grypy A/H1N1, katastrofa lotu Air France, Serena Williams, śmierć Michaela Jacksona oraz Patricka Swayze — każdy z tych tematów został wykorzystany przez cyberprzestępców do próby zwabienia i nakłonienia internautów do pobrania złośliwego oprogramowania, zakupu produktu lub „phishingu”. Ze względu na skuteczność tej metody, można się spodziewać kontynuacji tego typu ataków – tym bardziej, że zbliżają się wielkie światowe wydarzania, takie jak Mundial 2010 czy zimowe Igrzyska Olimpijskie w Vancouver.

8. Wzrost liczby zagrożeń „drive-by download”. Coraz częściej infekowane są komputery użytkowników odwiedzających autentyczne witryny internetowe, które wcześniej zostały przejęte przez cyberprzestępców. W 2008 roku firma Symantec zarejestrowała 18 mln prób infekcji „drive-by donwload”, czyli nie wymagającej aktywności po stronie ofiary. W 2009 roku tylko w okresie od sierpnia do października odnotowano aż 17,4 mln ataków tego typu.

9. Rekord rozpowszechnienia spamu został pobity. Pod koniec 2008 r. firma Symantec zaobserwowała obniżenie ilości spamu o 65% na 24 godziny przed zamknięciem firmy McColo i dobę później, wskutek czego odsetek spamu wśród wszystkich wiadomości e-mail spadł do poziomu 69,8%. Jednak w 2009 roku całkowita ilość spamu znów osiągnęła średni poziom 87,4% całej korespondencji przesyłanej za pośrednictwem poczty elektronicznej, przy czym najwyższy, rekordowy wskaźnik (95% wszystkich wiadomości) odnotowano pod koniec maja.

10. Więcej zagrożeń polimorficznych. Polimorfizm to inaczej zdolność mutacji. Dlatego w przypadku tego typu zagrożeń każdy robak różni się od poprzedniego. Automatyczne zmiany kodu w każdej z kolejnych mutacji złośliwego oprogramowania nie zmieniają jego funkcji, jednak sprawiają, że tradycyjne technologie antywirusowe stają się wobec niego nieskuteczne. Firma Symantec obserwuje coraz więcej zagrożeń polimorficznych, takich jak Waladac, Virut czy Sality, których używają cyberprzestępcy do obchodzenia systemów zabezpieczeń.

11. Wzrost ataków wykorzystujących internetowe marki. Geocities to marka, którą w ubiegłych latach spamerzy często wykorzystywali w celu zdobycia zaufania użytkowników Internetu. Zamknięcie popularnej usługi Yahoo pod koniec października zapoczątkowało znaczny wzrost liczby przypadków wykorzystywania nazw mniejszych darmowych usług internetowych, a także stron umożliwiających skrócenie adresu URL. Nie ulega wątpliwości, że ten proceder nasilił się wskutek udoskonalenia technik łamania zabezpieczeń CAPTCHA pozwalającego atakującym tworzyć wiele jednorazowych kont i profili używanych do spamowania. Firma Symantec zaobserwowała, że wiele z tych mniejszych internetowych firm usługowych posuwa się wręcz do zamykania własnych witryn jako jedynego skutecznego sposobu powstrzymania spamu.

12. Wciąż naruszana jest integralność danych. Według instytutu Ponemon większość incydentów związanych z utratą danych (88% wszystkich przypadków) jest powodowana przez pracowników i partnerów niemających złych intencji. Jednak coraz większe niebezpieczeństwo wiąże się z utratą danych w wyniku umyślnego działania. Według wyników badań, 59% byłych pracowników przyznało się do zabrania z sobą danych firmowych przy okazji odejścia z pracy. Chociaż organizacje przywiązują coraz większą wagę do zapobiegania utracie danych, jasne jest, że muszą one robić znacznie więcej w celu ochrony poufnych informacji przed dostaniem się w niepowołane ręce.


Bezpieczeństwo w Internecie - trendy w 2010 roku

1. Program antywirusowy to za mało
2. Socjotechnika jako podstawowa metoda ataku
3. Dostawcy fałszywego oprogramowania zabezpieczającego zwiększą swoją aktywność
4. Zewnętrzne aplikacje związane z serwisami społecznościowymi staną się obiektem ataków
5. Zagrożenia na platformie Windows 7
6. Wzrost liczby dynamicznie zmieniających się sieci typu „bot”
7. Usługi skracania adresów URL będą chętnie wykorzystywane przez sprawców ataków typu „phishing”
8. Wzrośnie ilość złośliwego oprogramowania atakującego systemy Mac oraz telefony komórkowe
9. Ilość spamu będzie uzależniona od zdolności adaptacyjnych spamerów
10. Wykorzystanie specjalistycznego oprogramowania
11. Technologia CAPTCHA zostanie udoskonalona
12. Spam będzie rozsyłany przez komunikatory
13. Zwiększy się ilość spamu w innych językach niż angielski

1. Program antywirusowy to za mało. Wobec rosnącej liczby zagrożeń polimorficznych oraz pojawienia się unikatowych odmian wirusów w 2009 roku, ochrona zapewniona przez tradycyjne rozwiązania antywirusowe bazujące na sygnaturach plików oraz monitoringu heurystycznym jest niewystarczająca. Skala infekcji jest tak duża, że nowe wirusy są tworzone w szybszym tempie niż szczepionki do aplikacji ochronnych. W tej sytuacji nieskuteczne staje się analizowanie kodu szkodliwych programów. Zamiast tego w 2010 roku główną rolę będą odgrywać pakiety ochronne oparte na analizie reputacji.

2. Socjotechnika jako podstawowa metoda ataku. Coraz częściej cyberprzestepcy za cel obierają bezpośrednio użytkownika i stwarzając wrażenie nieszkodliwości swojego działania, próbują go podstępem nakłonić do pobrania złośliwego oprogramowania bądź ujawnienia poufnych informacji. Popularność metod socjotechnicznych bierze się z faktu, że to użytkownik – a nie luki w zabezpieczeniach systemu — stanowi główny cel ataku. Socjotechnika stała się obecnie jedną z podstawowych narzędzi wykorzystywanych przez internetowych przestępców. Firma Symantec szacuje, że liczba prób ataków z jej wykorzystaniem z pewnością wzrośnie w 2010 roku.

3. Dostawcy fałszywego oprogramowania zabezpieczającego zwiększą swoją aktywność. W 2010 roku należy spodziewać się, że sprawcy oszustw przy użyciu fałszywego oprogramowania zabezpieczającego zaczną działać z większym rozmachem, posuwając się nawet do przejmowania kontroli i blokady zainfekowanych komputerów, aby wymusić opłatę za zwrot przejętych danych. Mniej drastyczny scenariusz obejmuje rozprzestrzenianie programów, które nie są bezpośrednio szkodliwe, jednak ich skuteczność w zakresie ochronny jest znikoma.

4. Zewnętrzne aplikacje związane z serwisami społecznościowymi staną się obiektem ataków. W związku z prognozowanym na kolejny rok wzrostem popularności portali społecznościowych należy się spodziewać zwiększenia liczby ataków wymierzonych przeciwko ich użytkownikom. Podobnie należy oczekiwać, że właściciele serwisów społecznościwoych będą stosować więcej środków zabezpieczających
w celu ochrony przed zagrożeniami. W przewidywanej sytuacji, serwisy społecznościowe udostępnią zewnętrznym programistom informacje o stosowanych interfejsach API, a hakerzy podążając tą drogą zaczną
w większym stopniu wykorzystywać luki w zabezpieczeniach tworzonych przez nich aplikacji. Podobny mechanizm mogliśmy zaobserwować gdy cyberprzestępcy skupili swoją uwagę na dodatkach plug-in do przeglądarek, gdy same przeglądarki internetowe stały się bezpieczniejsze.

5. Zagrożenia na platformie Windows 7. Firma Microsoft opublikowała już pierwsze poprawki zabezpieczeń nowego systemu operacyjnego. Błędy i niedoskonałości w kodzie będą się zdarzały, dopóki będzie go tworzył człowiek, bez względu na to, jak szczegółowe i dokładne testy będą poprzedzały wprowadzenie oprogramowania na rynek. Jednocześnie im bardziej złożone jest oprogramowanie, tym bardziej prawdopodobne, że znajdą się luki w jego zabezpieczeniach. Nowy system operacyjny firmy Microsoft, nie stanowi w tym względzie wyjątku — gdy zagości on na dobre w komputerach, cyberprzestępcy z pewnością odkryją nowe sposoby ataku na jego użytkowników.

6. Wzrost liczby dynamicznie zmieniających się sieci typu „bot”. Niektóre sieci typu „bot”, np. sieć Storm, wykorzystują technologię Fast flux polegającą na ukrywaniu „phishingowych” witryn za nieustannie modyfikowaną siecią komputerów, które służą do przeprowadzenia ataków. Wskutek zastosowania połączeń typu peer-to-peer, zdecentralizowanego systemu sterowania opartego na sieci równoważenia obciążenia oraz przekierowań serwerów proxy, pierwotna lokalizacja takich sieci jest trudna do wykrycia.

7. Usługi skracania adresów URL będą wykorzystywane przez sprawców ataków typu „phishing”. Ponieważ użytkownicy często nie wiedzą, dokąd naprawdę prowadzą skrócone adresy URL, autorzy ataków typu „phishing” maskują za ich pomocą łącza, których przeciętny, świadomy internetowych zagrożeń użytkownik nigdy by nie otworzył.

8. Wzrośnie ilość złośliwego oprogramowania atakującego systemy Mac oraz telefony komórkowe. Liczba ataków wykorzystujących luki w zabezpieczeniach systemu operacyjnego lub platformy jest bezpośrednio związana z jej udziałem w rynku, ponieważ autorzy złośliwego oprogramowania są nastawieni na osiągnięcie maksymalnego zysku z zainwestowanych pieniędzy. W roku 2009 coraz częściej celem ataku stawały się komputery wyposażone w system Mac oraz telefony typu „smartphone”. Przykładem jest sieć typu „bot” Sexy Space, która atakowała system operacyjny Symbian zainstalowany w urządzeniach przenośnych lub koń trojański OSX.Iservice, przeznaczony dla użytkowników Mac OS. Ponieważ w roku 2010 popularność komputerów Mac oraz telefonów typu „smartphone” będzie nadal rosła, możemy spodziewać się większej ilości ataków na te platformy.

9. Ilość spamu będzie uzależniona od zdolności adaptacyjnych spamerów. Od roku 2007 ilość rozsyłanego spamu wzrastała średnio o 15% w skali roku. Znaczący przyrost wiadomości zawierających spam może nie utrzymać się długoterminowo, jednak dopóki istnieje bodziec finansowy, spamerzy nadal będą aktywni. Ilość spamu rozsyłanego w roku 2010 będzie się zmieniać odpowiednio do reakcji spamerów na wzrost zaawansowania oprogramowania zabezpieczającego, interwencji dostawców internetowych oraz instytucji rządowych na całym świecie.

10. Wykorzystanie specjalistycznego oprogramowania. W 2009 roku wykryto wyspecjalizowane oprogramowanie wykorzystujące luki w zabezpieczeniach bankomatów, co świadczy o tym, że jego twórcy dysponują poufnymi informacjami dotyczącymi działania atakowanych urządzeń oraz sposobów łamania ich zabezpieczeń. Należy się spodziewać, że ten trend będzie występował nadal w roku 2010 i nie można wykluczyć, że profesjonalne oprogramowanie zostanie wykorzystane do ataków na elektroniczne systemy służące do głosowania — używane zarówno w wyborach politycznych, jak i przy oddawaniu głosów przez telefon, na przykład przez osoby oglądające telewizyjne programy na żywo oraz teleturnieje.

11. Technologia CAPTCHA zostanie udoskonalona. Ponieważ jest ona ciągle ulepszana i spamerzy mają coraz większe trudności ze złamaniem kodów CAPTCHA za pomocą automatycznych narzędzi, w 2010 roku
w celu obejścia zabezpieczeń zostaną zatrudnieni ludzie, których rolą będzie ręczne tworzenie kont. Firma Symantec szacuje, że takie osoby będą opłacane stawkami w wysokości nieprzekraczającej 10% kosztów ponoszonych przez zlecającego tę pracę spamera, w przybliżeniu będzie to kwota 30–40 USD za 1000 kont.

12. Spam rozsyłany w komunikatorach internetowych. Podczas gdy przestępcy działający w sieci będą starać się znaleźć sposób obejścia technologii CAPTCHA, coraz powszechniejsze staną się ataki
z wykorzystaniem komunikatorów internetowych. Zagrożenia będą
w dużej mierze obejmowały niechciane wiadomości zawierające niebezpieczne łącza, ich celem będzie przechwycenie autentycznych kont użytkowników komunikatorów. Firma Symantec prognozuje, że do końca roku 2010 jedna na 300 wiadomości przesyłanych za pomocą komunikatorów internetowych będzie zawierała adres URL, a co 12 link będzie prowadzić do witryny z niebezpiecznym oprogramowaniem.
W połowie 2009 roku analogiczny wskaźnik wynosił 1 na 78 hiperłączy.

13. Zwiększy się ilość spamu w innych językach niż angielski.
W miarę upowszechniania się połączeń szerokopasmowych na świecie, szczególnie w rozwijających się gospodarkach, wzrośnie ilość spamu
w krajach, których mieszkańcy nie posługują się językiem angielskim. Firma Symantec szacuje, że w niektórych częściach Europy odsetek lokalizowanych wersji spamu przekroczy 50%.

Trendy dotyczące pamięci masowych, na które należy zwrócić uwagę w 2010 r


1. Rok 2010 będzie „rokiem usuwania danych”
2. W 2010 roku przestaną być gromadzone taśmy zawierające kopie zapasowe do długoterminowego przechowywania
3. Usuwanie nadmiarowych danych bez ograniczeń
4. Konkurencja w branży prowadzi do standaryzacji oprogramowania
5. Rok migracji
6. Wirtualizacja wykracza poza platformy x86
7. Popularyzacja systemów rozproszonych pamięci masowych
8. Rozproszone pamięci masowe wywierają wpływ na zarządzanie danymi
9. Firmy nie mogą dłużej zwlekać z zastosowaniem przyjaznych dla środowiska technologii

1. Rok 2010 będzie „rokiem usuwania danych”. Administratorzy systemów informatycznych w przedsiębiorstwach będą nadal starać się ograniczyć wzrost ilości danych do backupu, przy wciąż malejących budżetach. Aby dostosować się do warunków, administratorzy będą musieli odejść od przechowywania wszystkich danych i zacząć je selekcjonować oraz usuwać. Takie podejście spowoduje, że kopie zapasowe przestaną być używane w długim okresie jako systemy przechowywania danych. Nastąpi powrót do używania kopii zapasowych zgodnie z ich pierwotnym przeznaczeniem, natomiast archiwizacja będzie wykorzystywana do zarządzania długoterminowym przechowywaniem danych i rozmieszczaniem informacji.

2. W 2010 roku przestaną być gromadzone taśmy zawierające kopie zapasowe do długoterminowego przechowywania. Tworzenie kopii zapasowych to nieodpowiednia metoda przechowywania informacji ze względu na sposób ich organizacji wokół wysp danych — systemów — a nie samych danych. Aktywne archiwum poddawane procesowi usuwania nadmiarowych danych i eliminowania informacji pozwala znacznie obniżyć koszty, a także skrócić czas przechowywania i odzyskiwania danych w długim okresie. W 2010 roku zmieni się rola kopii zapasowych, zaczną one być wykorzystywane głównie do odzyskiwania informacji w krótkim okresie. Kopie zapasowe będą poddawane procesowi usuwania nadmiarowych danych i używane do precyzyjnego odtwarzania informacji za pomocą wbudowanej funkcji replikacji w lokalizacjach odzyskiwania po awarii.

3. Usuwanie nadmiarowych danych bez ograniczeń. W 2010 roku usuwanie niepotrzebnych danych będzie powszechnie wdrażane jako funkcja, a nie jako niezależna technologia. Ponieważ więcej firm zacznie czerpać korzyści z funkcji usuwania nadmiarowych danych, podstawowym problemem stanie się zarządzanie zasobami pamięci masowych. W rezultacie przedsiębiorstwa będą oczekiwać od dostawców wdrażania uproszczonego zarządzania usuwaniem nadmiarowych danych na wielu platformach, które pozwoli zaoszczędzić czas i środki finansowe.

4. Konkurencja w branży doprowadzi do standaryzacji oprogramowania. W 2010 roku konsolidacja branży i rosnąca konkurencja wpłynie na potrzeby w zakresie standaryzacji oprogramowania do zarządzania. Na przykład dzięki potencjalnej fuzji firm Sun i Oracle, a także ich konkurencji ze spółkami IBM i Cisco na rynku komputerów typu mainframe x86, przedsiębiorstwa uzyskają większe możliwości wyboru. Powoduje to zwiększanie potrzeb w zakresie ochrony danych, pamięci masowych i technologii wysokiej dostępności, które umożliwiają wyeliminowanie wysp informacji powstających w wyniku integracji, podobnej jak w przypadku komputerów typu mainframe.

5. Rok migracji. Ze względu na migrację na nowe platformy firmy Microsoft, w przyszłym roku przedsiębiorstwom będą potrzebne różne technologie z zakresu zarządzania pamięciami masowymi i danymi. Ograniczenia budżetów i zasobów niezbędnych do zarządzania procesem powodują, że uaktualnienia nie zawsze stanowią priorytet działów informatycznych. Ważne jest jednak, aby platformy po migracji nie były traktowane w firmach odrębnie — należy zastosować rozwiązania do tworzenia kopii zapasowych, archiwizacji, usuwania nadmiarowych, które obsługują nowe i stare systemu w scentralizowany sposób.

6. Wirtualizacja wykracza poza platformy x86. W 2010 roku więcej użytkowników uzyska możliwość korzystania z wirtualizacji dzięki większej konkurencji pomiędzy dostawcami. W środowisku Hyper-V zostanie dodana nowa funkcja w wersji R2 systemu Windows Server 2008, a na platformach IBM prawdopodobnie nadal będą obsługiwane systemy AIX. W 2010 roku użytkownicy będą mogli korzystać ze wszystkich odmian wirtualizacji,
nie tylko na platformach x86. Ze względu na upowszechnienie i popularność wirtualizacji użytkownicy będą musieli wdrożyć strategie i technologie ułatwiające zarządzanie całą infrastrukturą informatyczną (fizyczną
i wirtualną).

7. Popularyzacja systemów rozproszonych pamięci masowych. Ponieważ coraz więcej przedsiębiorstw poszukuje metod zwiększania efektywności pamięci masowych i zmniejszania złożoności zarządzania ich strukturami, większość firm skorzysta z połączenia standardowej infrastruktury sprzętowej i uzupełniającego oprogramowania za najlepszą koncepcję dostarczania pamięci masowych. Podczas oceny możliwości menedżerowie ds. pamięci masowych w przedsiębiorstwach powinni rozważyć koszty, skalowalność, dostępność, funkcje zarządzania i wydajność każdego rozwiązania, które będzie stanowić podstawę do świadczenia usług związanych z pamięciami masowymi opartymi na plikach.

8. Rozproszone pamięci masowe wywierają wpływ na zarządzanie danymi. Dalsze dążenie do stosowania rozproszonych pamięci masowych w 2010 roku spowoduje, że przedsiębiorstwa będą wdrażać bardziej skuteczne narzędzia do zarządzania danymi. Chociaż użytkownicy mogą korzystać z wydajności rozproszonych systemów obliczeniowych, istnieją też nieodłącznie zagrożenia, z którymi administratorzy będą musieli sobie poradzić.

9. Firmy nie mogą dłużej zwlekać z zastosowaniem przyjaznych dla środowiska technologii. W 2009 roku przedsiębiorstwa zaczęły odchodzić od wdrażania ekologicznych technologii ze względu na konieczność obniżania kosztów. W 2010 roku poprawa sytuacji ekonomicznej spowoduje wdrażanie w większości przedsiębiorstw przyjaznej dla środowiska strategii. Osoby podejmujące decyzje związane z informatyką uzasadniają inwestycje w rozwiązania bezpieczne dla środowiska nie tylko korzyściami w zakresie kosztów eksploatacji, ale i wydajności.