To, co do niedawna było domeną hakerów-hobbystów poszukujących uznania i możliwości darmowego korzystania z cyfrowej informacji, stało się dzisiaj sferą działania profesjonalnych kryminalistów i zorganizowanych grup przestępczych.

Jeszcze niedawno złośliwe kody (malware) były postrzegane bardziej jako utrapienie administratorów niż coś, co może wyrządzić trwałe szkody. Dzisiaj główne zagrożenia to profesjonalnie napisane programy, przeznaczone do kradzieży tożsamości i haseł, włamania do zastrzeżonych ośrodków webowych, prowadzenie wywiadu przemysłowego i instalowanie programów wywiadowczych (spyware).

Zmiana pobudek doprowadziła do zmiany charakteru zagrożeń. Coraz częściej spotyka się ataki ukierunkowane na konkretną firmę i jej użytkowników lub wybraną grupę. Cele takie są atakowane przez specjalnie tworzone trojany. Wolno rozwijające się ataki zwiększają szansę, że infekcja pozostanie przez dłuższy czas niewykryta, umożliwiając tym samym zdobycie większej ilości poufnych informacji.

Korzyści użytkowania Internetu wiążą się dzisiaj również z określonymi zagrożeniami: tzw. boty (skrót od słowa robot) zastąpiły wirusy skryptowe czy infekujące pliki, a programy spyware i adware ukrywają się pod postacią podejrzanych stron internetowych.

Coraz większym problemem jest zmniejszanie się czasu reakcji pomiędzy ogłoszeniem luki a pojawieniem się złośliwego kodu, który ją wykorzystuje. Gdy w roku 2003 Slammer zaatakował serwery SQL, łatka na wykorzystywaną przez niego lukę była dostępna od ponad sześciu miesięcy. W roku 2001 administrator IIS miał ponad miesiąc na zabezpieczenie się przed robakiem Code Red.

Zotob, który w roku 2005 wykorzystywał lukę usługi Plug and Play Microsoftu, jest widocznym znakiem tego, co nadchodzi. W czasie dwóch dni, które upłynęły od opublikowania przez Microsoft informacji o luce i udostępnieniu związanej z nią łatki, pojawiły się nowe warianty Zotoba. Czas pomiędzy odkryciem i opublikowaniem nieszczelności i koniecznością jej załatania skraca się coraz bardziej.

Według analiz Trend Micro najskuteczniejszą metodą rozprzestrzeniania się kodu złośliwego pozostaje umieszczanie go na współdzielonych dyskach sieciowych (37% przypadków). Na drugim miejscu (19%) plasuje się wykorzystanie luk w zabezpieczeniach. Masowe wysyłanie kodu pocztą elektroniczną i IRC to po ok. 10% zagrożeń. Komunikatory odpowiadają za 4% przypadków.

Kolejną ważną tendencją w ubiegłym roku była zwiększająca się modularność szkodliwych programów. Najszybciej rozprzestrzeniają się robaki-sieci, czyli "botnety", głównie dlatego że stały się projektami open source tworzonymi modularnie. Dostępność kodu źródłowego pozwala na wybranie niezbędnych modułów i utworzenie nowego wariantu.

Twórcy botnetów używają ich do wgrywania programów spyware czy adware, kradzieży informacji, tworzenia platform spamowych oraz w atakach DDoS na konkretne firmy. Gdy sieć taka osiągnie odpowiednio duże rozmiary, może zostać sprzedana lub wynajęta do innych szkodliwych działań.

Według prognoz Trend Micro w roku 2006 można się spodziewać dalszego rozwoju phishingu, renesansu rootkitów i coraz krótszego okresu pomiędzy wykryciem luki w zabezpieczeniach a jej wykorzystaniem np. do zwiększenia funkcjonalności botnetów. Zagrożenia nadal będą omijać zapory ogniowe, korzystając z takich protokołów, jak IRC, IM i P2P. Wzrośnie też znaczenie botnetów, które przynoszą ich twórcom ogromne nielegalne zyski.

Według raportu zespołu CERT Polska, obejmującego rok 2005, najczęstszym typem incydentu w Polsce było gromadzenie informacji (51,9%), a w szczególności skanowanie (51,35%), głównie przez robaki lub botnety. Odnotowano też zjawisko "skanowania rozproszonego" prowadzonego przez botnety, rozłożonego w czasie.

Drugim, co do liczebności, typem incydentów były działania złośliwego oprogramowania (23,6%), przy czym na robaki sieciowe przypada 18,36%. Odnotowano zacieranie się różnic pomiędzy robakiem, wirusem, koniem trojańskim a oprogramowaniem wywiadowczym. Robaki sieciowe coraz częściej mają cechy typowe dla pozostałych rodzajów złośliwego oprogramowania.

Do znaczących incydentów należy również zaliczyć nieodpowiednie treści (11,2%), zwłaszcza spam (10,89%) - rozsyłany najczęściej za pośrednictwem zainfekowanej maszyny, bez wiedzy jej właściciela.

Spamerzy używają coraz bardziej wyrafinowanych technik, aby utrudnić rozpoznanie prawdziwego źródła rozsyłania niechcianej korespondencji. Przypadki zarejestrowane przez CERT Polska dotyczą wyłącznie spamu zgłaszanego bezpośrednio przez poszkodowanego. W rzeczywistości skala zjawiska jest dużo większa.

Przestępcy online

W roku 2005 przestępczość online stała się poważnym problemem z powodu wzrastającej liczby szkodliwych programów zaprojektowanych do działań związanych z kradzieżą informacji lub pieniędzy, a także wymuszeń. Tworzące botnety armie zainfekowanych komputerów są używane m.in. do generowania rozproszonych ataków DoS (i wymuszania okupów za ich zaniechanie) lub wysyłania spamu.

Pojawia się coraz więcej wirusów komputerowych, które w sposób ciągły potrafią informować hakera o istnieniu w zainfekowanej sieci nowych luk. Wirusy takie infekują sieci komputerowe, wykonują skanowanie, wyszukując słabe punkty w systemach, i przekazują te informacje za pośrednictwem Internetu do hakera. Umożliwia mu to precyzyjne przygotowywanie przyszłych ataków czy nawet uderzenie w poszczególne pecety w sieci.

Robaki od dawna wykorzystują metody socjotechniki do nakłaniania naiwnych użytkowników do otwierania wiadomości czy załączników, ostatnio jednak daje się zauważyć większą inwencję ich twórców w tym zakresie - kody złośliwe zaczynają dysponować pewną inteligencją, co nie wróży nic dobrego.

Problem stał się tak powszechny, że pojawiła się nowa kategoria programów złośliwych (malware) o nazwie crimeware - jako formalne rozróżnienie malware tworzonych teraz przez profesjonalnych przestępców.

Specjaliści ostrzegają, że dzisiejsze malware i schematy botnetów to zwiastuny nadchodzącej masowej działalności kryminalnej w Sieci - grupy przestępcze wyczuwają w nich znakomite narzędzia do prowadzenia swojej działalności.