Nowe zagrożenia coraz szybciej znajdują odzwierciedlenie w najnowszych wersjach systemów zabezpieczeń. Pomimo wysiłków dostawców, klienci nie mają powodów, by czuć się bezpiecznie. Patrząc na inwencję włamywaczy, trudno uwierzyć, by obrona przed nimi miała nagle stać się bardziej skuteczna.

Klasyczne wirusy komputerowe to już historia. Programy szpiegowskie, programy umożliwiające zdalne przejęcie kontroli nad komputerem (tzw. bot), wykorzystanie spamu do rozsyłania szkodliwych kodów, podszywanie się pod serwisy internetowe (phishing), robaki atakujące telefony komórkowe - oto zagrożenia, w których dokonuje się obecnie największy postęp technologiczny.

Oczywiście, lista jest dłuższa. Przykładowo, rośnie zagrożenie ze strony darmowych, użytecznych programów wyświetlających reklamy (adware). Do niedawna większość z nich była względnie nieszkodliwa, coraz częściej jednak są one wykorzystywane jako platforma do rozpowszechniania szkodliwych kodów. Mnogość nazw i sposobów działania wirusów, robaków, koni trojańskich itp. skłania do poszukania dla nich nowej, wspólnej nazwy. Jedną z propozycji jest malware (skrót od malicious software), czyli szkodliwy kod.

Nowe generacje malware nie zastąpiły jeszcze starych zagrożeń - na razie je uzupełniają. Wynikająca stąd różnorodność metod ataku stwarza coraz większe problemy z oceną rzeczywistego poziomu zagrożeń oraz niezbędnych środków zabezpieczeń i w najbliższej przyszłości raczej się to nie zmieni. Wystarczy spojrzeć na statystyki ataków, które, czy tego chcemy, czy nie, ciągle pną się w górę.

Hakerzy nie próżnują

McAfee Avert w 2004 r. odnotowała 46 zagrożeń o średnim poziomie ryzyka (w 2003 r. tylko 20) oraz blisko dwukrotnie więcej wykorzystywanych przez hakerów luk (380 w 2004 r.). W przeciętnym komputerze PC zainstalowanych jest też 13 programów typu adware. Z kolei według organizacji Anti-Phishing Working Group liczba nowych ataków wykorzystujących phishing wzrosła w 2004 r. z 176 w styczniu do 1518 w listopadzie. W okresie od 21 stycznia do 20 lutego 2005 r. firma Trend Micro wykryła ponad 3000 nowych wirusów. To o blisko 50% więcej niż miesiąc wcześniej, kiedy odnotowano 2200 nowych szkodliwych programów.

Natomiast w biuletynach bezpieczeństwa wydawanych przez Microsoft opublikowano w lutym informację o wykryciu 12 luk w zabezpieczeniach systemu Windows. Osiem z nich sklasyfikowano jako luki krytyczne, trzy jako ważne i jedną jako średnią. Luki te umożliwiają zdalne uruchamianie kodów, nieautoryzowany dostęp do sieci i kradzież niezabezpieczonych danych. Microsoft udostępnił już zestaw odpowiednich poprawek.

Ciągle rośnie rola socjotechnik. Najnowsza wersja robaka Sober oznaczona jako W32.Sober-K-mm jest rozsyłana m.in. jako e-mail informujący, że w załączniku znajduje się najnowsza łata dla systemu antywirusowego zapobiegająca zarażeniu przez "nową wersję robaka Sober". "Oryginalną" funkcją W32.Sober-K-mm jest wyświetlanie dokumentu w formacie Notepad zawierającego częściową listę systemu plików w zarażonym komputerze. Zdaniem ekspertów może to być błąd w kodzie robaka, ale też dowód, że autor eksperymentuje z nowymi technikami ataków.

Z kolei nowa mutacja wirusa MyDoom wykorzystuje popularne mechanizmy wyszukiwawcze, jak Google, Yahoo! czy Lycos w celu zbierania adresów e-mail. Po zarażeniu komputera robak przeszukuje dysk w poszukiwaniu adresów e-mail, a zawarte w nich nazwy domen wykorzystuje do tworzenia zapytań do wyszukiwarek internetowych, by je zweryfikować, a następnie wysyłać swoje kopie na adresy e-mail zawierające zweryfikowane nazwy.

Od rzemiosła do przemysłu

W styczniu 2004 r. w Internecie pojawił się robak MyDoom, wywołując masową infekcję systemów e-mail bijącą wszystkie wcześniejsze rekordy. Według MessageLabs co 12 list elektroniczny przesyłany na świecie był zarażony tym robakiem, a w ciągu pierwszych 24 godzin od pojawienia się infekcji firma ta zatrzymała 1,2 mln wiadomości zawierających kod MyDoom.

MyDoom nie był produktem rzemieślniczym - sposób działania i rozprzestrzeniania się wirusa świadczył o tym, że w jego opracowanie i przetestowanie włożono wiele wysiłku i raczej nie była to robota jednego człowieka. MyDoom został wyposażony w mechanizm instalacji w zarażonym systemie programu typu koń trojański, który umożliwił późniejsze wykorzystanie do przeprowadzenie ataku DoS (Denial of Service) na stronę WWW firmy SCO. W ataku tym, zaplanowanym na 1 lutego 2004 r., wzięło udział aż 25-50 tys. komputerów.

Sukces MyDoom unaocznił środowiskom przestępczym, że wirusy mogą być użytecznym narzędziem do nielegalnego zdobywania pieniędzy. Era wirusów komercyjnych, jeśli tak je można nazwać, już się zaczęła, co potwierdzają następcy MyDoom, jak Sobig. Skuteczność wirusów daje ich twórcom do ręki dodatkowe narzędzie, jakim jest szantaż, mający na celu wyłudzenie pieniędzy. Dla firm, które żyją z Internetu, takie propozycje mogą się okazać propozycjami nie do odrzucenia.

Profesjonalni autorzy wirusów pracują już nad nowej generacji robakami, które będą trudno wykrywalne - ich aktywność nie będzie dawała żadnych oznak widocznych ani dla użytkownika, ani nawet dla skanerów antywirusowych. Będą to nowe wcielenia znanych od dawna aplikacji typu rootkit - tworzonych w celu cichego opanowania przywilejów administracyjnych i jak najdłuższego ukrywania tego faktu.

Nowe generacje tych wyjątkowo sprytnych aplikacji (istnieją praktycznie dla każdego systemu operacyjnego) modyfikują jądro systemu operacyjnego w taki sposób, by ich działania były niewidoczne dla systemów antywirusowych i zapór sieciowych. Jeden z nich, zwany obłudnie Hacker Defender, wykorzystuje mechanizm nakładania własnych informacji na strumienie danych innych aplikacji, ukrywając się w ten sposób przed narzędziami skanującymi. Zawiera nawet własne mechanizmy szyfrowania danych.

Takich narzędzi nie piszą przypadkowi ludzie, lecz wysokiej klasy specjaliści. Fakt, że pojawiają się coraz doskonalsze wersje programów typu rootkit, świadczy o tym, że ktoś finansuje pracę nad nimi. Ich autorzy - w przeciwieństwie do twórców kodów Netsky, Sasser lub Blaster.B - nie zostali na razie wykryci.