A vírusok és fenyegetések megváltoztak
Napjainkban veszélyesebbek, mint valaha, diszkrétebbek és sokkal gyorsabbak a fenyegetések. Leggyakrabban úgy tervezik őket, hogy titkos vagy személyes adatokat vagy pénzt tulajdonítsanak el. Gyakran személyre szabottan juttatják el a célhoz, hogy még könnyebben jussanak hozzá a kívánt adatokhoz.
Összegezve a kockázat nagyobb, mint valaha.
A károkozók dinamikája megváltozott
Az elmúlt két évben a fenyegetések száma, célja és tulajdonságaik megváltoztak. Ezek a változások a károkozókat előállítók motivációjának megváltozásának következménye: korábban a cél az volt, hogy híresek legyenek, ma ez teljesen megváltozott és a hackerek sokkal professzionálisabbá válva pénzügyi motiváltsággal fejlesztik az új fenyegetéseket
2004-ig az interneten terjedő járványok egyre gyakoriabbak lettek és mindenki számára kristálytisztává vált, hogy védekezni kell ellene. A sajtó, rádió és a televízió egyre hangosabban kommunikálta az I love you, a Sircam vagy a talán utolsó nagy járványt okozó SQL Slammer által okozott károkat. A károkozókat fejlesztők elérték céljukat: az emberek beszéltek róluk.
Tévedünk, ha azt gondoljuk, hogy a fenyegetés megszűnt azért mert a média már nem hangos a károkozástól. Az igazság az, hogy sokkal nagyobb számban jelennek meg károkozók, mint valaha csak a károkozók célja megváltozott. A károkozók motivációja ma tisztán pénzügyi és egy egész iparág működik mögöttük, mely egyre professzionálisabbá válik.
A kívánt cél – a pénzügyi adatok megszerzése – eléréséhez a hackerek a legmodernebb technológiákat használják és így sokkal kifinomultabb kározókat fejlesztenek, melyeket úgy terveznek hogy felderíthetetlenek legyenek.
Ebben az évben a PandaLabs több új fenyegetést észlelt, mint az előző 15 évben
Az laboratóriumok által azonosított új vírusok száma drasztikusan emelkedett. Amíg 2002-ben napi 5-12 vírust, addig napjainkra napi 1500 egyedi károkozót regisztrálnak, a károkozók száma azonban nőhet a variánsok megjelenésével.
Csendes Támadás (Silent epidemics)
Ha illegálisan készül pénzhez jutni, akkor a legmegfelelőbb, ha diszkréten és csendben teszi azt. Így van ez a megváltozott motiváltságú károkozó fejlesztőknél is. Ezért a károkozó fejlesztők többé már nem érdekeltek abban, hogy nagy látványos járványokat idézzenek elő. Az új károkozók csendben, rejtve gyakran személyre szabva működnek.
A hackerek egyre inkább rejtőzködő technológiákat alkalmaznak, mint például a rootkit technológia.
Ma az új generációs károkozókat melyek rejtve, diszkréten illegálisan juttatják pénzhez a fejlesztőt: „csendes támadásnak” (silent epidemics) nevezzük. Ez nem jelenti azt hogy ezek a támadások gyengébbek, azért nevezzük így, mert ezen támadások jelenléte számítástechnikai eszközeinkben kevésbé nyilvánvaló.
Ha egy továbbító rutin működik számítógépünkben, az sokkal több erőforrást igényel mint egy, a háttérben (akár nem is folyamatosan) működő, diszkrét adatlopást elkövető alkalmazás.
Az Izraeli kémkedési botrány
2005-ben Izraelben, vállalatok egy csoportja – autókereskedők (Volvo), kommunikációs cégek, stb. elhatározta, hogy kémkednek a konkurenciájuknál melyek hasonló területen tevékenykednek. A cél érdekében felbérelték a legnagyobb nyomozó irodát az országban. A feladat teljesítéséhez a nyomozó iroda felbérelt egy hackert, hogy egy személyre szabott trójai vírust készítsen számukra és így szerezzék meg a megrendelőnek a bizalmas információkat.
Hónapokkal később, egy banális történet keretében a fejlesztő ugyan azt a trójai vírust alkalmazta a volt apósa számítógépére való bejutásra. A behatoláskor észlelte hogy a volt apósa egy könyvet ír és felhasználva a trójai vírust, fejezeteket lopott el melyeket publikált a világhálón.
A volt após szörfözve a neten észlelte, hogy fejezetek vannak a világhálón a könyvéből, melyet még soha senkinek nem mutatott meg. Jelezte a hatóságoknak és megkezdődött a nyomozás. A hatóságok megtalálták a trójait a számítógépen és felgöngyölítették a teljes történetet. Így fény derült a cégek kémkedésére is, bár magát a trójait addig még nem fedezték fel és számtalan bizalmas információt juttatott el a megrendelőknek.
A jéghegy csúcsa?
A hasonló események ritkán kerülnek nyilvánosságra. A cégvezetés általában leplezi az olyan eseményeket, melyek a cég hírnevén ejthetnek csorbát. Ha azon eseteket nézzük, melyek mégis megjelentek a médiában akkor valószínűleg csak a jéghegy csúcsát látjuk.
A BotNet
A botnet (hálózat) egy példa arra, hogy lehet pénzt keresni az internetes károkozókkal. Ez a kereskedelmi modell azon alapszik, hogy rendelkezünk egy halom (több száz, vagy ezer) számítógéppel, melyet megfertőztünk egy adott károkozóval és így a hackernek lehetősége van átvenni az irányítást a számítógép felett, úgy hogy a felhasználó semmit se vegyen észre és a számítógépek várják az utasítást a szervertől.
A fent említett vírusokkal fertőzött számítógépeket általában, mint Zombi ismerik a felhasználók. A működési elve a rendszernek az, hogy a számítógépek rendszeresen feljelentkeznek a szerverre és megkérdezik van-e valamilyen végrehajtandó feladat számukra. Azt a személyt, aki a Zombi számítógép hálózatot menedzseli „kondásnak” nevezzük.
A kereskedelmi koncepció az, hogy a Zombi hálózatot a kondás bérbe adja, általában egy hétre $350 vagy egy hónapra $1,000 összegért, sőt a szolgáltatást még a weboldalakon hirdetni is szokták. A bérlő hozzájut 5-6000 Zombi gép menedzseléséhez, melyek általában 10 percenként jelentkeznek fel a szerverre.
A feladat, melyet végrehajt a Zombi hadsereg, a bérlőtől függ. Ez lehet SPAM támadás, szolgáltatás leállításos (DDos) támadás, támadások szerverek ellen, spyware, phising, adware, és egyéb támadások. Természetesen használhatók további számítógépek megfertőzésére és újabb Zombi hadsereg felállítására is.
Ha valaki ellenőrzi a támadás kiinduló pontját, akkor több ezer géphez (IP cím) vezet az útja és nem visszakövethető sem az, aki a támadásért fizetett sem pedig a kondás, aki menedzseli a Zombi gépeket, így mind a ketten büntetlenek maradnak.
A lehetőségek korlátlanok és ez az üzletág napjainkban éli virágkorát.
Azonosított Bot net hálózati variánsok alakulása az elmúlt években:
A Célzott támadási modell
Az célzott támadáshoz használt károkozót kifejezetten egy számítógépre, cégre vagy cégcsoportra, személyre szabják a károkozó fejlesztői. A megszerzett bizalmas adatokat – stratégiai tervek, üzleti tervek, biztonsági kulcsok, jelszavak, stb. – a fejlesztők egy harmadik fél számára értékesítik.
Bár a célszemélyek (számítógépek) azt gondolják, hogy maximálisan védettek, a hacker a személyre szabott támadás előtt minden információt összegyűjt a célról: biztonsági elemek, szintek, konkrét megoldások, stb. Így az általa fejlesztett egyedi károkozót le tudja tesztelni az összes kereskedelmi, védelmi eszközzel külön figyelemmel arra melyet e célszemély, vállalat használ.
Így az új személyre szabott károkozó akár hónapokig is üzemelhet a célrendszerben, mert továbbító rutint nem tartalmaz, így nem kerül ki a rendszerből és nem kerül nyilvánosságra mindaddig, amíg az izraeli esethez hasonlóan egy banális esemény miatt napvilágra nem kerül. Ha a rendszerből nem kerül ki a károkozó, akkor az antivírus cégeknek nincs esélyük, hogy ellenszert fejlesszenek ki és adatbázis alapon védelmet nyújtsanak.
Forrás: www.pandasoftware.hu
A Panda védelmi megoldásai megásárolhatók a Polisys Laptopszalon webáruházban is.
Polip