W numerze 6/2002 NetWorlda opublikowaliśmy raport firmy Internet Security Systems (ISS) dotyczący poziomu bezpieczeństwa związanego z używaniem Internetu w 2001 r. oraz w pierwszym kwartale tego roku. Nowy raport, dotyczący drugiego kwartału, świadczy, że ryzyko nadal rośnie.

Poziom ryzyka:

Średni poziom ryzyka, mierzonego wskaźnikiem AlertCon, w drugim kwartale 2002 r. wskazywał na to, że w dalszym ciągu urządzenie sieciowe bez żadnych zabezpieczeń może stać się celem skutecznego ataku w czasie krótszym niż jedna doba od podłączenia go do Internetu. Kwiecień oraz maj były miesiącami stosunkowo spokojnymi i zaobserwowano wtedy jedynie umiarkowane zagrożenia. W czerwcu nastąpiło znaczne podwyższenie poziomu ryzyka, co miało związek z szeroko nagłośnionymi (i wykorzystanymi do przeprowadzenia ataków) lukami w zabezpieczeniach oprogramowania Apache Web Server i Open SSH. Luki w zabezpieczeniach Apache mogły doprowadzić do nieupoważnionej zmiany treści na stronach internetowych, ataków typu denial of service (odmowa obsługi) oraz innych szkód. Serwery Apache obsługują ponad 63% wszystkich aktywnych witryn internetowych. Natomiast istotna luka w zabezpieczeniach przy domyślnej instalacji Open SSH w systemie operacyjnym OpenBSD zagraża bezpiecznej wymianie danych (przy użyciu mechanizmów typu Telnet, Rlogin, Rsh i Ftp), w wyniku czego system staje się podatny na ataki zmierzające do uzyskania statusu użytkownika uprzywilejowanego.

Zobacz również:

• Nie żyje jeden z najsłynniejszych hakerów na świecie
• Hakerzy włamali się do znanego polskiego sklepu internetowego

Zagrożenia hybrydowe:

Podobnie jak w poprzednich raportach, zagrożenie atakami hybrydowymi w dalszym ciągu jest najbardziej znaczącym czynnikiem ryzyka dla systemów online. Chociaż częstotliwość ataków robaka Nimda nieco zmalała w porównaniu z wynikami z poprzedniego raportu, jest on nadal zagrożeniem dominującym, długotrwałym i powodującym poważne straty finansowe. Lekki spadek liczby ataków można przypisać skuteczniejszym działaniom czyszczącym i lepszym zabezpieczeniom. Większość ataków robaka Nimda następuje z zainfekowanych maszyn w małych firmach oraz u użytkowników indywidualnych.

Luki w zabezpieczeniach:

Podczas objętego raportem kwartału X-Force (jednostka badawcza ISS) wykryła i udokumentowała 610 nowych luk w zabezpieczeniach. Wśród nich jest istotny błąd występujący w produkcie Microsoft SQL Server, umożliwiający hakerom spowodowanie awarii serwera SQL lub uzyskanie nieupoważnionego dostępu do systemu. Jednak najbardziej znacząca luka, wykorzystana w okresie objętym raportem, występuje w bardzo popularnej aplikacji Apache Web Server, która jest dystrybuowana na zasadzie otwartego dostępu do kodu źródłowego (Open Source). Wykorzystanie tej luki może stanowić jedno z najpoważniejszych zagrożeń związanych z komunikacją przez Internet, gdyż umożliwia ona zdalne przejęcie kontroli nad trudną do określenia liczbą serwerów obsługiwanych przez tę aplikację.

Atakowane porty:

Prawie 70% wszystkich ataków mających miejsce w drugim kwartale 2002 roku dotyczyło portu 80, który jest powszechnie używany do komunikacji z siecią WWW. Pod tym względem sytuacja nie zmieniła się w porównaniu z raportem z pierwszego kwartału. Nastąpiły także ataki na nowy port 1433, co ma związek z wykrytym niedawno robakiem SQL. W objętym raportem kwartale zarejestrowano ponad pół miliona incydentów dotyczących robaka SQL, pochodzących z 7500 różnych źródeł. Jest to dobry przykład powszechnie znanej luki, używanej przez robaka, który automatycznie wyszukuje słabe punkty i niezwłocznie je wykorzystuje. Godny uwagi jest także wzrost liczby prób przeszukiwania sieci pracujących w porcie 21, służącym do komunikacji za pomocą protokołu transferu plików FTP (ang. File Transfer Protocol). Protokół ten jest jednym z najstarszych, a usługa FTP jedną z najpowszechniej używanych w Internecie.

Zdaniem X-Force zagrożenia krótko- i długoterminowe będą narastać również w następnych kwartałach. Nadal najgroźniejszą formą włamań i nadużyć będą ataki hybrydowe (zagrożenie takie polega na połączeniu ataku wirusa i licznych zautomatyzowanych skryptów, przez które wirus jest rozsyłany, wykorzystujących popularne luki w zabezpieczeniach systemów komputerowych). Znacznie rośnie prawdopodobieństwo naruszenia bezpieczeństwa w tych firmach i instytucjach, które nie udoskonalają regularnie zabezpieczeń swoich systemów. Bezpieczeństwo przedsiębiorstw w coraz większym stopniu zależy od pojedynczych pracowników. Dowodzi to coraz większej potrzeby wprowadzenia solidnych zasad i procedur bezpieczeństwa, które obejmowałyby wszystkie urządzenia - stacjonarne, zdalne i przenośne - a także sieci oraz serwery.

Pełny raport (Q2 Internet Risk Impact Summary Report) udostępniono na witrynie internetowej firmy Internet Security Systems pod adresemhttps://gtoc.iss.net/

Artykuł przeglądowy na temat ataków hybrydowych można znaleźć pod adresem http://www.iss.net/support/documentation/otherwhitepapers.php