Bezpieczeństwo w ciemnych barwach

Ataki w przyszłości będą bardziej precyzyjne niż obecnie i ochrona przed nimi będzie trudniejsza.

Bezpieczeństwo w ciemnych barwach
Mundial, Facebook i Twitter

Ze względu na popularność mistrzostw świata w piłce nożnej, można będzie się spodziewać ataków, które będą wykorzystywały to wydarzenie sportowe do rozsiewania złośliwego oprogramowania. Aby poszerzyć ilość odbiorców takich wiadomości, wykorzystuje się tutaj portale społecznościowe, takie jak Facebook lub serwisy blogowe. Zjawisko wyłapywania wiadomości z aktualnie publikowanych postów usługi Twitter i wysyłanie linków, które mają na celu propagowanie malware'u jest na porządku dziennym. Ponieważ jest to szybka i skuteczna metoda dotarcia do wielu użytkowników Internetu, będzie nadal wykorzystywana. Podawanie aktualnych wydarzeń sportowych lub politycznych bardzo wzmacnia ten środek dystrybucji złośliwego oprogramowania.

Wiele ataków wykorzystuje luki w bezpieczeństwie przeglądarek internetowych oraz wtyczek, takich jak Flash. Ten kanał dystrybucji złośliwego oprogramowania w dalszym ciągu będzie grał główną rolę przy masowych infekcjach. Ponieważ coraz więcej komputerów jest chronionych za pomocą mechanizmów badających reputację strony, napastnicy jeszcze częściej będą wykorzystywać do ataków przejęte serwery różnych firm. Mechanizmy filtrowania treści, bazujące na statycznych regułach, nie zapewnią ochrony, gdy złośliwe oprogramowanie będzie dostarczane z przejętego serwera o dobrej dotąd reputacji.

Rik Ferguson, specjalista do spraw bezpieczeństwa w firmie Trend Micro mówi: "Narzędzia ochrony, które wykorzystują jedynie sygnatury, są już zbyt przestarzałe, by mogły chronić przed bardzo szybko zmieniającymi się plikami. Jedynym sposobem wykrycia takiego ataku jest analiza linków przeprowadzana w modelu cloud. Ataki w przyszłości będą znacznie bardziej precyzyjne niż obecnie i ochrona przed nimi będzie trudniejsza".

Maklerzy na celowniku

Śledztwo prowadzone w Belgii odkryło botnet, który służył do kontrolowania komputerów inwestorów korzystających z konkretnej platformy transakcyjnej. Dzięki złośliwemu oprogramowaniu, cyberprzestępcy mogli przejmować portfele belgijskich inwestorów i masowo dokonywać transakcji, manipulując przy tym kursem akcji. Dzięki zmianom kursu, mogli oni zarobić co najmniej 100 tys. euro. "Wiadomo, że infekcja objęła komputery klientów trzech banków: Dexia, KBC oraz Argenta, przy czym nie ustalono jeszcze dokładnie natury tego botnetu, a jedynie wykryto go na podstawie analizy aktywności sieciowej. Dochodzenie pod nadzorem prokuratora generalnego Belgii było dotąd utrzymywane w tajemnicy" - wyjaśnia Rik Ferguson.

Ponieważ klienci systemów inwestycji online korzystają ze zwykłych desktopów z Windows, można się spodziewać bardzo precyzyjnych ataków, które mają na celu automatyzację sprzedaży lub kupna akcji. Osoby zarządzające botnetem mogły wymusić działanie oprogramowania do inwestycji online, sprawiając, by sprzedawało lub kupowało te same akcje w tym samym czasie. Dzięki temu, że akcje te zmieniały swój kurs w przewidywalny dla przestępców sposób, mogli oni zarobić bardzo dużo, korzystając z tradycyjnych technik spekulacyjnych oraz instrumentów pochodnych.

Sprawdzić transakcję, a nie tożsamość

"Narzędzia ochrony, które wykorzystują jedynie sygnatury, są już zbyt przestarzałe, by mogły chronić przed bardzo szybko zmieniającymi się plikami".

Rik Ferguson, specjalista do spraw bezpieczeństwa w firmie Trend Micro

Pewną obronę przed podobnymi atakami może przynieść zmiana podejścia do uwierzytelnienia, kładąca nacisk na transakcję, a nie na sprawdzanie tożsamości użytkownika. "W przypadku systemów bankowości i handlu online, podstawowym problemem jest fakt uwierzytelnienia użytkownika przy logowaniu do systemu, a nie samej transakcji. Chociaż dwuskładnikowe uwierzytelnienie użytkownika poważnie utrudnia przejęcie kontroli nad systemem handlu elektronicznego, należy pamiętać, że obecne złośliwe oprogramowanie jest na tyle rozwinięte, że może obejść nawet takie zabezpieczenie. W przypadku uwierzytelnienia transakcji, byłoby to znacznie trudniejsze" - uważa Rik Ferguson.

Przykładem uwierzytelnienia transakcji byłoby zastosowanie tokenu, który przyjmowałby od użytkownika informację na temat transakcji (kwotę, inne detale), i dopiero na jej podstawie generowałby hasło. Dzięki temu można byłoby znacznie zmniejszyć prawdopodobieństwo ataków za pomocą złośliwego oprogramowania modyfikującego sesję użytkownika.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200