Chronić, łatać albo się odłączyć

Luki w popularnym oprogramowaniu Microsoftu i coraz krótszy czas upływający od ujawnienia błędu do powstania żerującego na nim wirusa to troski płynące z raportu Symanteca poświęconego bezpieczeństwu w sieci.

Luki w popularnym oprogramowaniu Microsoftu i coraz krótszy czas upływający od ujawnienia błędu do powstania żerującego na nim wirusa to troski płynące z raportu Symanteca poświęconego bezpieczeństwu w sieci.

Dwadzieścia tysięcy sensorów umiejscowionych w 180 krajach na różnych odcinkach sieci nieprzerwanie zbiera dane o zagrożeniach internetowych. Jednocześnie oprogramowanie pracujące na 120 mln stacji roboczych automatycznie alarmuje o próbach włamań, przemycania złośliwego kodu czy rozpoznawczym skanowaniu otwartych portów. Gromadzone w ten sposób informacje służą zatrudnionym przez Symantec analitykom za źródło wiedzy o stanie bezpieczeństwa w Internecie. Najnowszy raport Internet Security Threat podsumowuje drugą połowę 2003 r. Wnioski są dość oczywiste - niebezpieczeństw jest więcej, zabezpiecz się więc albo czym prędzej odłącz komputer od sieci.

Robaczywy rok

Statystyki sporządzone przez Symanteca wskazują, że najczęstszym zagrożeniem w Internecie pozostają tzw. robaki i ataki mieszane, polegające na użyciu naraz kilku metod charakterystycznych np. dla wirusów, koni trojańskich i exploitów. Aż w 43% z setek tysięcy zarejestrowanych przez Symanteca przypadków powodem naruszeń bezpieczeństwa były robaki i właśnie ataki hybrydowe. Mniej więcej tyle samo przypadków odnotowanych przez systemy ostrzegawcze Symanteca to działania rozpoznawcze hakerów, których celem było przygotowanie do właściwych ataków.

Statystyki wskazują na malejący udział ataków z udziałem robaków w porównaniu z latami ubiegłymi, ale raczej nie stanowi to pocieszenia dla ofiar głośnych, ogólnoświatowych epidemii. Ataki wywołane przez robaki Slammer, Blaster i Sobig.F były zmorą administratorów praktycznie przez cały miniony rok. Straty wyrządzone przez dwa ostatnie wirusy - ewenementem jest wystąpienie dwóch tak wielkich epidemii w ciągu zaledwie dwóch tygodni - zostały oszacowane przez analityków na 2 mld USD.

Ciekawostką jest, że Slammer ("oficjalna" nazwa to SQLExp), mimo iż wykluł się w sieci przeszło rok temu, do dzisiaj służy wandalom i wciąż utrzymuje się w ścisłej czołówce ataków notowanych przez Symanteca.

Ciosy w czułe punkty

Każdego dnia w sieci są ujawniane informacje średnio o siedmiu nowo odkrytych lukach w oprogramowaniu. Fakt, że od zeszłego roku liczba ta nie wzrosła drastycznie, skłania autorów do wniosku, iż najłatwiejsze do wychwycenia błędy w powszechnie używanych systemach zostały już zidentyfikowane. Niestety, jeszcze nie rozpoznano tych najlepiej ukrytych w kodzie źródłowym, a tym samym najgroźniejszych.

Analitycy Symanteca zwracają uwagę na inne zjawisko - hakerom coraz łatwiej jest robić zły użytek z ujawnionych luk. Po pierwsze, haker rzadziej musi dysponować specjalnym kodem, by włamać się do systemu.

Po drugie, z roku na rok w Internecie łatwiej o gotowe przepisy na włamanie.

Do prawdy, że nie ma idealnego oprogramowania, wszyscy zdążyliśmy się przyzwyczaić. Gorzej, że z tej słabości współczesnych aplikacji z coraz większą premedytacją korzystają przestępcy. Dramatycznie skraca się czas od ujawnienia błędu przez producenta oprogramowania i opublikowania stosowanych poprawek do powstania narzędzi hakerskich bezlitośnie wykorzystujących czułe punkty. Od dnia ujawnienia przez luki DCOM RPC do czasu powstania wirusa Blaster minęło 26 dni. Część użytkowników nie zdążyła nawet dowiedzieć się o błędzie, gdy już musiała stawić czoło uciążliwemu wirusowi.

Na razie sprawcy najgroźniejszych ataków uderzali w czułe punkty, których istnienia producenci oprogramowania byli świadomi. Ewentualny precedens mógłby zmienić sposób myślenia o bezpieczeństwie.

Dostało się za Windows

Jest regułą, że ofiarą ataków najczęściej padają użytkownicy popularnych systemów. Nic dziwnego, że specjaliści Symanteca wskazują na oprogramowanie Microsoftu - notabene czynią to bardzo dyplomatycznie, by zanadto nie rozdrażnić lwa - jako na ofiarę najgroźniejszych epidemii. Na dowód tego w drugiej połowie 2003 r. Symantec odnotował odpowiednio: 13 i 34 luki bezpieczeństwa w systemie Windows i przeglądarce Internet Explorer.

Autorzy raportu upatrują podatności Windows na ataki m.in. w fakcie, że wersje konsumencka i korporacyjna systemu są oparte na wspólnym kodzie. To powoduje, że nawet z pozoru dobrze chronione środowiska korporacyjne padają ofiarą ataków. Jako przykład Symantec podaje robaka o nazwie Welchia, będącego mutacją Blastera, który spowodował zakłócenia w pracy sieci bankomatów amerykańskiej firmy Diebold korzystających z systemu Windows Embedded.

Szczególnie niepokojąca jest liczba dziur w Internet Explorerze, za co autorzy raportu winią model bezpieczeństwa przeglądarki. Nadzieją jest Service Pack 2 dla Windows XP, który ma podnieść poziom ochrony.

Oczekiwania

Wirusy będą bardziej złośliwe, będą powstawały niemal natychmiast po ujawnieniu luk w systemach i będą jeszcze sprawniej rozmnażać się w środowisku sieciowym - to dość oczywiste prognozy, które można spotkać w niemal każdym opracowaniu o zagrożeniach sieciowych. Autorzy raportu Symanteca nie przewidują natomiast, by w najbliższym czasie radykalnie wzrósł poziom zagrożenia ze względu na użycie komunikatorów typu instant messaging czy aplikacji peer-to-peer.

W drugiej połowie 2003 r. wśród 50 najczęstszych zagrożeń nie zanotowano żadnego wywołanego przez komunikatory i zaledwie dwa związane z kanałami IRC i komunikacją peer-to-peer. Najgroźniejszy robak tego typu - Spybot - zaatakował komputery m.in. użytkowników systemu wymiany plików Kazaa.

Zaledwie mały akapit poświęcono wirusom przeznaczonym na Linuxa. Od ataku Slappera z jesieni 2002 r. Symantec nie zanotował żadnej poważnej epidemii zagrażającej użytkownikom Linuxa.

Wierzyć czy nie?

Do raportów publikowanych przez firmy IT podchodzimy z rezerwą. Na ogół już na pierwszy rzut oka widać, że "niezależni" autorzy bronią tez z góry narzuconych im przez handlowców i specjalistów od marketingu. Dzieje się tak zwłaszcza w dziedzinie bezpieczeństwa, gdzie nic tak nie pobudza klientów do zakupów, jak wywołanie strachu.

Zgodnie z tym schematem lektura omawianego obok Internet Security Threat Report wzbudza niepokój czytelnika. Przedstawia rosnącą skalę zagrożeń i katastrofalny stan ich świadomości wśród potencjalnych ofiar - użytkowników sieci. Trudno jednak odmówić autorom racji w sferze postulatów nawołujących do przywiązywania większej wagi do zagadnień bezpieczeństwa. W większości wskazanych w raporcie przypadków ataków internetowych źródłem kłopotów były zaniedbania administratorów i szeregowych użytkowników. Warto to powtarzać, nawet jeśli gdzieś w tle nieśmiało przebija przesłanie: "Kup nasze usługi i produkty, a uwolnisz się od trosk".

Statystyka przestępstw

  • Najczęściej wykorzystywane do ataków porty sieciowe: TCP/135 (DCE RP), TCP/80 (HTTP/Web), TCP 4662 (peer-to-peer)

  • Kraje, z których najczęściej przeprowadzane są ataki: USA, Kanada, Chiny, Japonia, Australia

  • Kraje o najwyższym współczynniku ataków w przeliczeniu na jednego internautę: Kanada, Kuwejt, Irlandia, USA, Nigeria

  • Kraje, w których internauci najczęściej padają ofiarą ataków: USA, Kanada, Chiny, Japonia, Australia

  • Branże najczęściej atakowane przez hakerów: hi-tech, e-biznes, ochrona zdrowia

  • Ulubiony dzień hakerów: środa
Źródło: Symantec Internet Security Threat Report, lipiec-grudzień 2003 r.


TOP 200