Symantec o bezpieczeństwie w 2004 r.

Tradycyjnie dwa razy do roku firma Symantec publikuje raporty poświęcone bezpieczeństwu informatycznemu. Od stycznia do końca czerwca 2004 r. firma zbierała informacje o zagrożeniach sieciowych, śledząc sygnały napływające ze 120 mln stacji roboczych i serwerów umieszczonych w 180 krajach. Ogólne wnioski są niemal identyczne jak w poprzednich edycjach raportu - coraz trudniej administratorom zapanować nad bezpieczeństwem.

Tradycyjnie dwa razy do roku firma Symantec publikuje raporty poświęcone bezpieczeństwu informatycznemu. Od stycznia do końca czerwca 2004 r. firma zbierała informacje o zagrożeniach sieciowych, śledząc sygnały napływające ze 120 mln stacji roboczych i serwerów umieszczonych w 180 krajach. Ogólne wnioski są niemal identyczne jak w poprzednich edycjach raportu - coraz trudniej administratorom zapanować nad bezpieczeństwem.

Symantec jest właścicielem popularnego serwisu BugTraq poświęconego błędom w zabezpieczeniach systemów informatycznych. Do BugTraq spływa tygodniowo ok. 50 informacji o nowych lukach, co oznacza, że administratorzy codziennie muszą poświęcić czas na przeanalizowanie siedmiu alarmów.

Zwraca jednak uwagę fakt, że od kilkunastu miesięcy liczba nowo odkrywanych dziur przestała rosnąć. W pierwszej połowie 2004 r. odkryto ich nawet mniej niż rok wcześniej. Autorzy raportu sugerują, że spadek to anomalia, a nie efekt nagłej poprawy jakości oprogramowania. Podkreślają przy tym, że aż połowa błędów odkrytych w tym roku została zaklasyfikowana jako wysoce szkodliwe dla bezpieczeństwa systemów informatycznych.

Natomiast niepokojąco skraca się czas od momentu ujawnienia informacji o luce jakiegoś systemu do przygotowania kodu wykorzystującego ten błąd w celu przeprowadzenia ataku. Według Symanteca obecnie grupom działającym w podziemiu IT wystarcza mniej niż sześć dni na przygotowanie "złośliwego" programu. "Fakt, że na opracowanie i opublikowanie funkcjonalnego kodu wykorzystującego lukę wystarczy mniej niż tydzień niepokoi, ale nie zaskakuje" - konstatują specjaliści Symanteca.

Stosowaną przez Symantec miarą popularności poszczególnych ataków jest odsetek adresów IP, z których zostały one przeprowadzone. W pierwszej połowie roku najczęściej wykorzystywanym robakiem internetowym był Slammer, który zaczął nękać administratorów baz SQL Server jeszcze w styczniu 2003 r. Ataki Slammera zainicjowano z 15% adresów IP objętych badaniem.

Nieprzemijająca popularność Slammera to po pierwsze konsekwencja faktu, że do rozprzestrzeniania się wykorzystuje on jeden pakiet UDP. Oznacza to, że systemy wykrywania włamań interpretują każdą próbę infekcji podjętą przez tego robaka jako atak. Poza tym Slammer atakuje bazy SQL Microsoftu, w tym niezmiernie popularną jej odmianę MSDE, instalowaną w setkach tysięcy aplikacji.

Na czele listy najczęściej atakowanych portów (jak nietrudno odgadnąć) znalazł się port HTTP 80. Drugim w kolejności był port TCP/445 wykorzystywany przez robaka Sasser. "Podobnie jak w przypadku robaka Blaster, celem Sassera jest luka w zabezpieczeniach występująca w domyślnych instalacjach systemów Windows" - tłumaczą specjaliści Symanteca.

Szczegółową wersję raportu przetłumaczoną na język polski można znaleźć pod adresem:http://www.symantec.com/pl_raport .

Najczęstsze ataki

  1. Slammer Attack

  2. W32.HLLW.Gaobot Attack

  3. Generic WebDAV

  4. IIS 5.0 .printer ISAPI Extension Buffer Overflow

  5. MyDoom Incoming Worm Attack
Źródło: Symantec, 2004


TOP 200