Obecnie ataki sieciowe podejmowane są przede wszystkim w celu osiągnięcia korzyści materialnych, a ich sprawcy wykorzystują coraz bardziej profesjonalne metody oraz narzędzia.

W raporcie dotyczącym zagrożeń i prognoz za pierwsze półrocze br. TrendLabs (Trend Micro) stwierdza, że skończyła się epoka światowych epidemii wirusów. Dzisiejsze ataki szkodliwego oprogramowania starają się pozostać w ukryciu i są często ukierunkowane na grupy użytkowników w konkretnym regionie czy kraju. Nowe ataki to połączone aplikacje, z których każda odgrywa swoją rolę w dostarczeniu szkodliwego ładunku. Zadaniem tych aplikacji, dystrybuowanych przez internet, jest pozyskiwanie cennych informacji, a następnie przesyłanie ich do osób, które uzyskane w ten sposób dane wykorzystują zwykle do kradzieży lub wyłudzania pieniędzy.

Laboratorium TrendLabs zaobserwowało kilka przykładów ewolucji środowiska takich aplikacji, np. wirusa Storm na początku roku i trojana Italian Job w czerwcu.

Za niepokojące zjawisko uznano w raporcie stały wzrost wykorzystania sieci botnet do rozsyłania spamu.

O wykryciu nowej aplikacji do kontrolowania i monitorowania pecetów pracujących w botnetach poinformowała też Panda Software. Program umożliwia cyberprzestępcom uzyskiwanie graficznych wykresów wydajności indywidualnych botnetów, danych o liczbie dostępnych komputerów "zombie" w dowolnym momencie czasu oraz ich poziom aktywności w przedziałach dziennych lub miesięcznych. Według danych firmy, aplikacja jest używana do kontroli i monitorowania tysięcy pecetów w 54 krajach, gdzie ponad 50% zainfekowanych pecetów pozostawało pod jej kontrolą w czasie jej wykrycia. Nowością w tego typu aplikacji jest połączenie kontroli i monitorowania w jednym interfejsie.

<hr size=1 noshade />

Jerzy Trzepla, kierownik działu bezpieczeństwa w Veracomp SA

Tematem, który ostatnio budzi najwięcej zainteresowania, jest kwestia ochrony informacji i to zarówno w zakresie zabezpieczenia jej poufności, jak i przeciwdziałania niekontrolowanemu wyciekowi danych z firmy. Tradycyjne rozwiązania szyfrowania danych lub dysków chronią przed utratą danych będącą efektem kradzieży bądź zagubienia nośnika, natomiast w minimalnym stopniu zabezpieczają przed działaniem z premedytacją. Dla dużych firm ten problem jest na tyle dotkliwy, że są one zainteresowane kontrolą działania użytkowników systemów i proaktywną ochroną przed wyciekiem informacji zarówno przypadkowym, jak i rozmyślnym. Stąd wzrost zainteresowania szyfrowaniem, kontrolą portów, inspekcją poczty elektronicznej i komunikatorów internetowych.

Spam PDF - kolejna odmiana spamu graficznego

Latem przybyło spamu w skrzynkach pocztowych. Raporty firm przechwytujących spam sugerowały, że w praktyce jest to epidemia spamu. Firma Secure Computing odnotowała w sierpniu br. 17-proc. przyrost spamu w ciągu dnia. Najnowsza sztuczka spamerów - spam PDF - prowadzi w statystyce i może stać się tegoroczną wersją spamu obrazkowego, który tak skutecznie omijał filtry antyspamowe w roku ubiegłym.

Nowe formy spamu obrazkowego to kolejny przykład pomysłowości spamerów w skutecznym obchodzeniu filtrów i wielu specjalistów uważa, że jedynym skutecznym środkiem walki ze spamem jest rozpoznawanie źródła pochodzenia przesyłek pocztowych.

Dostawcy środków antyspamowych wykorzystują zazwyczaj kilka technik do przechwytywania spamu, w tym takie, które opierają się na usługach reputacji przypisujących poszczególnych adresom IP "indeks spamu" w oparciu o wcześniejsze obserwacje przesyłek nadchodzących spod danego adresu. Jednak żadna kombinacja technik nie jest szczelna, a spamerzy próbują wprowadzać nowe sposoby omijania filtrów antyspamowych, skuteczne do czasu dostarczenia środków ich blokowania.

Ochrona przed zagrożeniami WWW

Po kilku latach spadku, jesienią ubiegłego roku nastąpił gwałtowny wzrost spamu, kiedy to spamerzy wykryli, że umieszczanie tekstu w plikach graficznych pozwala na skuteczne omijanie filtrów antyspamowych. W tym samym czasie znacząco wrosło też wykorzystanie botnetów do rozsyłania spamu. Fakt ten może utrudniać stosowanie usług reputacji, ponieważ adresy IP takich komputerów mają na starcie "czystą kartę" i w oparciu o nią są w stanie wysłać setki tysięcy niechcianych wiadomości.

Spam obrazkowy, który w ubiegłym roku był problemem dla filtrów antyspamowych, znalazł się w odwrocie, po tym jak dostawcy rozwiązań ochrony poczty udoskonalili metody jego wykrywania.

Blokowanie spamu na brzegu sieci

Miejsce spamu obrazkowego zajął spam PDF, w którym treść wiadomości zawarta jest w załączniku PDF, zachęcającym odbiorcę do inwestowania w określone spółki giełdowe. Według informacji firmy MessageLabs, spam wykorzystujący pliki PDF jest coraz bardziej urozmaicany w celu skuteczniejszego oszukiwania filtrów antyspamowych. Filtry antyspamowe zostały dostosowane do spamu PDF, blokując załączniki PDF automatycznie, w sposób, który był już stosowany przez silniki antyspamowe do innych rodzajów spamu obrazkowego. To spowodowało pojawienie się spamu zawierającego zmieniające się załączniki PDF. Nowe techniki spamerów to m.in. zmienny rozmiar plików PDF, wprowadzanie zmian na poziomie pikseli w plikach PDF, a także wtrącanie losowych tekstów do plików PDF.

Większość wariacji plików PDF jest tworzona automatycznie przez botnety i według przewidywań MessageLabs będzie używana w połączeniu z różnymi metodami socjotechniki.

<hr size=1 noshade />Filip Demianiuk, Technical Channel Manager Trend Micro

Ataki złośliwego kodu mają coraz bardziej ukierunkowany charakter i dalece różnią się od zagrożeń znanych z przeszłości, takich jak wirusy plikowe. Wielokrotnie informowaliśmy, iż nowe ataki spadną na użytkowników ze strony witryn sieci Web i że będą ukierunkowane na określone grupy użytkowników sieci. I tak się stało, niestety, nie tylko na świecie, ale i w Polsce, gdzie niedawno miały miejsce bardzo sprawnie przeprowadzone ataki typu phishing na klientów banków Inteligo i mBank.

O wysokiej skuteczności nowych zagrożeń decyduje równoczesne wykorzystanie wielu technologii i mechanizmów. Wykorzystanie uprzednio zaatakowanych witryn WWW jako jednego z elementów ataku, przechowującego nowe warianty złośliwego kodu, który może być zmieniany co kilka minut, powoduje, że tradycyjne, sygnaturowe metody ochrony nie mogą dłużej skutecznie zapewniać bezpieczeństwa.

<hr size=1 noshade />Maciej Iwanicki, Pre-sales Consultant Symantec Poland

W pierwszym półroczu 2007 r. firma Symantec odnotowała ponad 212 tys. nowych zagrożeń ze złośliwym kodem (statystyki z raportu Symantec Internet Security Threat Report Volume XII). Stanowi to wzrost o prawie 200% w stosunku do drugiego półrocza 2006 r. Nowe zagrożenia ukierunkowane są na pozyskanie informacji poufnych, np. numerów kart kredytowych, ale również krytycznych informacji firmowych - danych finansowych, baz kontrahentów czy planów biznesowych.

Obserwujemy w Polsce wzrost zainteresowania oprogramowaniem do kompleksowej ochrony firmy. Nie jest to już tylko oprogramowanie antywirusowe, ale kompleksowa ochrona systemów informatycznych, składająca się z zapory ogniowej, systemu detekcji intruzów, narzędzia antyspamowego oraz ochrony i archiwizacji danych.