IBM - počet cílených on-line útoků roste
24. 9. 2007 18:35 Rubrika: Tiskové zprávy
Trojští koně se stávají nepoužívanějším typem škodlivého softwaru
TISKOVÁ ZPRÁVA - v původním znění
Společnost IBM (NYSE: IBM) oznámila nárůst objemu sofistikovaného malwaru, prodejů škodlivého kódu a snížení počtu odhalených zranitelností ve srovnání s první polovinou roku 2006. Tento závěr vyplývá ze zprávy, která se zabývá bezpečnostními statistikami za první polovinu roku 2007. Během tohoto roku výzkumný a vývojový tým Internet Security Systems (ISS) X-Force identifikoval a analyzoval více než 210.000 vzorků nového škodlivého kódu, čímž překonal celkový počet malwarových vzorků zaznamenaných v roce 2006.
Tým X-Force ve své zprávě zveřejnil, že odvětví zabývající se „prodejem škodlivého kódu“, vzkvétá i v roce 2007. Zpráva týmu X-Force za rok 2006 naznačila, že dodavatelé řízených zneužití začali získávat kód, který dokáže využít zranitelností, z nelegálních zdrojů, šifrovali jej, aby nemohl být pirátsky zneužit, a začali jej draze prodávat distributorům spamu. V roce 2007 zahrnuli tito „poskytovatelé“ do svého portfolia nové produkty. Útočníci tak nyní mohou díky pronájmu technik pro zneužití zranitelnosti zkoušet útoky s mnohem nižšími vstupními náklady. Tato skutečnost může přilákat řadu nových útočníků.
Podle letošní zprávy představují trojští koně (zdánlivě legitimní soubory, které ale jsou ve skutečnosti malwarem) v roce 2007 nejrozsáhlejší skupinu malwaru, která činí celkem 28 % veškerého škodlivého kódu, což je oproti roku 2006 značný rozdíl, neboť tehdy byly nejčastější kategorií škodlivého programu downloadery. Downloader je nenápadný malware, který se sám instaluje, takže je schopen později stáhnout a nainstalovat mnohem sofistikovanějšího malwarového agenta. „Bezpečnostní zpráva týmu X-Force za rok 2006 předpovídala stálý nárůst komplikovanosti cílených a na zisk zaměřených virtuálních útoků,“ řekl Kris Lamb, ředitel týmu X-Force IBM Internet Security Systems. „To přímo odpovídá nárůstu popularity trojských koní, jakého jsme svědky v tomto roce, protože právě trojští koně jsou útočníky využíváni ke spuštění cílených útoků stále častěji.“
V roce 2007 je stále patrnější používání maskovacích technik pro zakrytí škodlivého kódu na webu. Cíl je zřejmý – ztížit detekci útoků pomocí systémů založených na signaturách. V roce 2006, jak vyplývá ze zprávy týmu X-Force, bylo přibližně 50 % všech webů určených k infikování prohlížečů kamuflováno a maskováno. V prvním pololetí roku 2007 vzrostl tento poměr až na 80 %.
Bereme-li v úvahu historické trendy, ze zpráv týmu X-Force vyplynulo, že se v první polovině roku 2007 lehce snížil celkový počet zranitelností odhalených, než tomu bylo v tomtéž období roku 2006. V první polovině roku 2007 bylo odhaleno 3 273 zranitelností, což odpovídá snížení 3,3 % ve srovnání se stejným obdobím předcházejícího roku. To je vůbec poprvé, kdy došlo ke snížení počtu odhalených zranitelností za první polovinu roku v celé historii databáze zranitelností týmu X-Force od roku 1997. Na druhé straně vzrostlo procento vysoce účinných zranitelností od roku 2006 ze 16 % na 21 % v roce 2007.
Tým X-Force upozorňuje ve snaze vysvětlit pokles odhalených zranitelností na několik trendů, které se objevily v roce 2007, a porovnává je s exponenciálním nárůstem zranitelností pozorovaných v předcházejícím roce. Prvním důvodem je snaha vydělat na zranitelnostech. Tento trend již dospěl do podoby obchodovatelné na černém trhu. Z tohoto důvodu zůstalo velké procento zranitelností neodhaleno a používá se ve finanční kriminalitě.
Druhým důvodem je fuzzing, který pomohl v posledních dvou letech odkrýt řadu snadno odhalitelných zranitelností. Fuzzing představuje testovací techniku, jejímž prostřednictvím je program zahrnován náhodnými daty s cílem zaznamenat konflikty, a potažmo i zranitelnosti programu. „Vzhledem k tomu, že je stále více technologií a softwaru vystaveno fuzzingu a automatickému vyhledávání chyb v programech, začíná naše odvětví při hledání tohoto typu zranitelností dosahovat jistého bodu nasycení, který vede nezvratně ke snížení počtu odhalených zranitelností,“ řekl Lamb.
Posledním faktorem je množství všeobecných chyb v kódu, které se snižuje v důsledku snahy těch dodavatelů softwaru a technologie, kteří přijali za své mnohem bezpečnější metody vývoje softwaru a mnohem obezřetnější přístup k tvorbě kódu.
Stejně neočekávaným trendem v této zprávě je skutečnost, že vůbec poprvé se velikost spamových zpráv snížila, zatímco doposud pouze rostla. Tento pokles koresponduje s poklesem spamu založeného na obrázcích. Od poloviny roku 2005 byl spam založený na obrázcích jednou z největších antispamových výzev, ale v první polovině roku 2007 procento tohoto spamu kleslo na úroveň poloviny roku 2006, tedy na hodnotu převyšující 30 %. Koncem roku 2006 představoval obrázkový spam více než 40 % spamových zpráv.
„Pokles velikosti spamových zpráv a spamu založeného na obrázcích je způsoben tím, že spammeři si úspěšně osvojili nové techniky, k nimž patří spam založený na formátu PDF a Excel. Tyto techniky umožňují vyhnout se mnohem úspěšněji antispamovým technologiím,“ řekl Lamb.
Tým X-Force katalogizuje, analyzuje, zkoumá a odhaluje zranitelnosti již od roku 1997. S více než 33.000 katalogizovanými bezpečnostními zranitelnostmi disponuje nejrozsáhlejší databázi tohoto typu na světě. Tato unikátní databáze pomáhá týmu výzkumníků X-Force porozumět dynamice, která vede k odhalování a publikování těchto zranitelností. Kromě zranitelností uložených v databázi představují filtrovací služby společnosti IBM ISS nástroj, jehož prostřednictvím získává tým X-Force globální pohled na spamové a phishingové útoky. Díky milionům aktivně monitorovaných e-mailových adres dokázala společnost ISS identifikovat mnoho postupů ve spamových a phisingových technologiích, které on-line útočníci používají.
Studie týmu X-Force se také věnuje následujícím statistikám zabezpečení za první polovinu roku 2007, mezi které patří:
• Leden byl svými 600 odhalenými zranitelnostmi dosud nejplodnějším měsícem tohoto roku.
• Španělsko převzalo od Jižní Koreje primát v rozesílání phishingových e-mailů ve výši 17,9 % celosvětového objemu.
• Procento zranitelností, které mohou být využívány vzdáleně, vzrostl za první polovinu roku 2007 na 90 % ve srovnání s 88 % v roce 2006.
• Procento zranitelností, které dovolují útočníkovi získat přístup na cílový stroj po úspěšném využití zranitelnosti také poněkud stoupl, a to z 50,6 % v roce 2006 na 51,6 % v roce 2007
• V současnosti tvoří nevyžádaný obsah, jako je pornografie, kriminalita, erotické a sociální úchylky, kolem deseti procent obsahu internetu.
Ve druhé polovině roku 2007 a v roce 2008 neočekává tým X-Force exponenciální nárůst odhalených zranitelností, lze však počítat s nárůstem cíleného a boutique malwaru, jako jsou trojští koně, a pokračující růst používání technik k zamaskování hrozeb na webu.