Wyścig zbrojeń
-
- Józef Muszyński,
-
- Roger Grimes,
- 01.02.2006
Większość tych zagrożeń posługiwała się więcej niż jednym wektorem ataku lub metodą propagacji. Atak mógł wykorzystać program do wymiany plików w sieci P2P, udziały dyskowe lub sieciowe, zdalne kopiowanie plików lub inne działania.
Wektory ataków malware zmieniały się z biegiem czasu. W latach 80. wirusy bootsektorów były ostatnim krzykiem mody. Wirusy plików i form wykonywalnych były najczęstszymi formami ataków do wczesnych lat 90., kiedy to pojawiły się makrowirusy (rok 1995). Robaki przenoszone jako załączniki poczty elektronicznej zaczęły dominować w ostatniej dekadzie. Wiele z dzisiejszych programów szkodliwych wykorzystuje luki w przeglądarkach internetowych. Niczego niepodejrzewający użytkownik strony klienckiej surfuje po zainfekowanych stronach webowych, a jego komputer jest wykorzystywany zdalnie nawet bez konieczności fizycznego potwierdzania czegokolwiek przez użytkownika.
Anti-Phishing Working Group odnotowuje, że liczba ośrodków webowych zaprojektowanych w celu przejmowania haseł podwoiła się w ciągu jednego miesiąca - od czerwca do lipca 2005 r. Większość takich ośrodków zawiera blogi, dzienniki online i osobiste strony webowe. W ramach projektu Stride HonkeyMonkey Microsoftu wykryto exploit dnia zerowego inicjowany złośliwym URL. Robak Santy infekował ośrodek webowy, uruchamiając nieszczelny kod PHP i następnie używał Google do wynajdywania następnej ofiary. W kolejnej dekadzie to właśnie WWW ma być największym źródłem ataków malware.
Coraz większym problemem jest zmniejszanie się czasu reakcji pomiędzy ogłoszeniem luki, a pojawieniem się złośliwego kodu, który ją wykorzystuje. Gdy w roku 2003 Slammer zaczął atakować serwery SQL na całym świecie, łatka na wykorzystywaną przez niego lukę dostępna była od ponad sześciu miesięcy. W roku 2001 administrator IIS miał ponad miesiąc czasu na zabezpieczenie się przed robakiem Code Red.
Zotob, który w roku 2005 wykorzystywał lukę usługi Plug and Play Microsoftu, jest widocznym znakiem tego co nadchodzi. W czasie dwóch dni, które upłynęły od opublikowania przez Microsoft informacji o luce i udostępnieniu związanej z nią łatki, pojawiły się nowe warianty Zotoba. W ciągu trzech dni zaatakowane zostały dziesiątki tysięcy komputerów. W rzeczywistości dwie z trzech krytycznych luk Microsoftu, opublikowanych w sierpniu 2005 r., doczekały się swoich robaków w ciągu kilku dni. W ciągu tygodnia Microsoft ogłosił pierwszy publicznie zaanonsowany atak dnia zerowego. Czas pomiędzy odkryciem i opublikowaniem nieszczelności i koniecznością jej załatania kurczy się coraz bardziej.
Producenci nie składają broni
Przykłady zagrożeń
Interesujące jest to, że poziom zaufania do środków ochronnych sieci ciągle rośnie. To zaufanie może częściowo wynikać z nowych rozwiązań proponowanych przez wielu dostawców. Determina, Sana Security czy Vernier Networks dostarczających produkty, które odznaczają się odwrotem od tradycyjnych linii defensywnych, poszerzając możliwości rozwiązań opartych na sygnaturach o oprogramowanie wykrywające nieszczelności oraz przeprowadzające analizę behawioralną. Niektórzy dostawcy - np. GreenBorder i SecureOL - oferują produkty, które zabezpieczają przed zachowywaniem nieautoryzowanych zmian na stacjach roboczych użytkownika. Microsoft proponuje w tym wypadku narzędzie Shared Computer Toolkit, które pozwala administratorom na definiowanie, co może być zachowane, a co nie, pomiędzy kolejnymi restartami komputera. Pozwala to na usuwanie nieautoryzowanych zmian wykonanych przez nieupoważnionych użytkowników czy złośliwe programy.
Więksi dostawcy rozwiązań antywirusowych kładą nacisk na obronę wychodzącą poza normalne działania "skanuj i wykrywaj". Network Access Initiative firmy Cisco sięga do swoich zapór ogniowych i routerów w celu zapewnienia większej ochrony, przemieszczając kontrolę reguł polityki z perymetru sieci na komputery klienckie i punkty końcowe sieci.
Dostawcy sprzętu oferują rozwiązania ochrony rozwiniętej na najniższym poziomie. Najnowsze serwery HP ProLiant oferują technologię Virus Throttling - sterownik programowy po wykryciu nadzwyczajnie dużej liczby żądań połączeń ze strony klienta ogranicza pasmo dla tego klienta.
Pierwszy złośliwy program komputerowy pojawił się prawdopodobnie w latach 60. wraz z grą online o nazwie Life and Core Wars. Było to właściwie środowisko wykonawcze, gdzie każda instrukcja programu użytkownika próbowała przetrwać tak długo, jak to tylko było możliwe, zanim została unieszkodliwiona przez jakikolwiek inny program.
Kolejną datą jest 1982 r., kiedy to Richard Skrenta, student z Pitsburga, napisał pierwszy kod wirusa na peceta. Był to Elk Cloner napisany na Apple II. Pojawiło się następnie kilka innych robaków, a komputer Apple stał się platformą dla twórców wirusów.
Taki stan utrzymywał się do roku 1986, kiedy to pojawił się wirus bootsektora o nazwie Pakistani Brain, który stał się pierwszym złośliwym programem zdolnym do zainfekowania peceta kompatybilnego z IBM. Rozprzestrzeniał się jedynie za pośrednictwem dyskietki 360 KB, ale zawierał już mechanizmy "stealth" (ukrywania kodu). Podobnie jak Elk Cloner rozprzestrzenił się w całym świecie.
W roku 1988 robak Morris stał się pierwszym programem złośliwym, który rozprzestrzeniał się za pośrednictwem Internetu. Wykorzystywał on udokumentowane niedoróbki Uniksa i zainfekował prawdopodobnie ok. 60 tys. komputerów. Pod konie roku 1989 znanych już było 57 wirusów funkcjonujących na platformie PC/DOS. Kilka z nich używało prostych metod szyfrujących do ukrywania się przed skanerami wirusowymi.
W roku 1992 haker o pseudonimie Dark Avenger wypuścił pierwszego wirusa polimorficznego, zdolnego do wygenerowania setek lub tysięcy swoich wariantów. Oznaczało to koniec prostego skanowania opartego na sygnaturach. W tym samym roku pojawił się pierwszy wirus Windows.
W roku 1995 pojawiły się makrowirusy, które za cel obrały sobie aplikacje Microsoft Office. Były one największym problemem przez następnych pięć lat. W marcu 1999 r. makrowirus Melissa stał się pierwszym programem złośliwym, którego zakres rozprzestrzenienia przewyższył wirusa Morris z roku 1988. W tym samym czasie zadebiutowały programy złośliwe specyficzne dla technik webowych i Internetu, obejmujących aplikacje HTML, JavaScript, aplety Java i kontrolki ActiveX.
Wirusy VSBscript, rozprzestrzeniane w załącznikach poczty elektronicznej, zaczęły w roku 2000 przebijać makrowirusy popularnością. Z powodów nie zawsze zrozumiałych, administratorzy sieci nie mogli przekonać użytkowników końcowych, aby nie klikali na każdym załączniku odbieranej poczty elektronicznej. Robaki poczty elektronicznej rozprzestrzeniały się szybciej i szerzej niż jakiekolwiek inne zagrożenie w przeszłości.
Kolejny, znaczący krok w automatyzacji mobilności kodu wykonany został w ciągu ostatniego roku, kiedy to do akcji wkroczyli profesjonalni kryminaliści. Hakerzy zaczęli używać swoje, hobbistyczne do tej pory, umiejętności do zarabiana na życie. Programy malware zaczęto opracowywać dla celów przechwytywania poufnej informacji i używać je do uzyskiwania korzyści finansowych.
Dzisiaj napastnik tak modyfikuje komputer swojej ofiary, aby przejąć nad nim kontrolę. Trojany zdalnego sterowania i rejestracji klawiatury (keyloggery) są dziś powszechne. Ilość spamu przewyższa legalną pocztę, a programy wywiadowcze (spyware) są coraz liczniejsze. Hakerzy zmieniają setki lub tysiące komputerów w botnety, które następnie wynajmują stronie trzeciej do prowadzenia nielegalnej działalności. Większość takich kryminalnych implementacji wywodzi się z doświadczeń wcześniejszych programów szkodliwych.
