Strachy z Sieci

Internet Security Systems przedstawiła raport na temat ryzyka związanego z wykorzystaniem Internetu w IV kwartale 2002 roku. Hybrydy internetowe żyją coraz dłużej i mutują coraz szybciej, liczba ataków i przypadków naruszenia bezpieczeństwa znowu wzrosła, wydłużyła się też lista luk wykrytych w oprogramowaniu komercyjnym i open-source - donoszą specjaliści z ISS.

Wydarzenia
30-31 marca 2017 r.

Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum...

Zarejestruj się
Raport ujawnia, że w minionym kwartale wykryto 101 nowych hybryd internetowych (hybrid threats) i robaków komputerowych (dla porównania, w pierwszych trzech kwartałach ISS odnotowała 393 nowe techniki ataków tego rodzaju). Chociaż IV kwartał przyniósł 28-proc. spadek liczby nowych hybryd w porównaniu z III kwartałem, zaobserwowano za to znaczne wydłużenie okresu ich aktywności. W celu badania tego zjawiska centrum badawcze ISS - X-Force - tworzy czynnik złożonego ryzyka, Compound Risk Factor (CRF).

Okres aktywności zagrożenia hybrydowego jest coraz dłuższy i mierzy się go w miesiącach, a nie w tygodniach czy dniach. Wiele hybryd internetowych atakuje równocześnie te same luki w zabezpieczeniach. To nowe zjawisko: kiedyś hybrydy rozprzestrzeniały się wieloma niezależnymi drogami. Ponadto, twórcy robaków komputerowych rozpowszechniają kody źródłowe, co powoduje szybkie powstawanie nowych mutacji. Np. w przeciągu 20 dni pojawiły się w Internecie cztery warianty robaka Linux.Slapper. Ataki są z kolei częściej kierowane na krytyczne elementy systemów informatycznych i dokonują większych zniszczeń. Przykładem może być zmasowany atak na 13 serwerów DNS w USA z 21 października ub. roku.

W okresie objętym raportem (od 28 września do 31 grudnia 2002 roku) centrum ISS zanotowało 16,6 mln alarmów i 1867 przypadków naruszenia bezpieczeństwa. W III kwartale ub. r. odnotowano mniej tego typu wydarzeń: 16,3 mln alarmów i 1385 przypadków naruszenia bezpieczeństwa. 23% ataków nastąpiło podczas weekendów, najwięcej ataków miało miejsce we wtorki - średnio 198322. Zdecydowana większość ataków dokonywanych jest z Ameryki Północnej (82,53%); z Azji pochodzi 7,36% ataków, a z Europy 5,57%.

W IV kwartale ub. roku centrum X-Force wykryło i udokumentowało 644 nowe luki w zabezpieczeniach, wśród których 179 reprezentowało wysoki poziom zagrożenia, 327 - średni, a 138 - niski. Najczęściej występującymi lukami w zabezpieczeniach są nieszczelności typu przepełnienie bufora w serwerach (buffer overflows), które mogą być wykorzystywane do uzyskania nieautoryzowanego dostępu. W IV kwartale br. ISS wykryła 347 luk w oprogramowaniu komercyjnym i 291 w oprogramowaniu open source, włączając Linux, BSD, skrypty cgi i php.

W IV kwartale 2002 X-Force sygnalizował poziom AlertCon 1 przez 79 dni oraz AlertCon 2 przez 16 dni. Nie stwierdzono natomiast powodów dla ogłoszenia AlertCon 3 lub AlertCon 4, które są ogłaszane podczas najbardziej bezwzględnych ataków.

Raport zawiera też informacje na temat wzmożonej działalności cyberterrorystycznej motywowanej względami politycznymi oraz ideologicznymi (hacktivism). W 2002 roku zaobserwowano zwiększoną ilość ataków na rządowe systemy informatyczne USA (ponad 6000 prób ataków), Wielkiej Brytanii, Izraela i Rosji. Ataki te jednak bardzo rzadko były skuteczne. "Z badań przeprowadzonych na szerokim spektrum zagrożeń oraz monitorowania ataków na podstawie globalnej bazy informacji pochodzącej z monitorowanych urządzeń, możemy stwierdzić, że ryzyko związane z wykorzystaniem Internetu w 2003 roku będzie wciąż wzrastać. W ostatnich dwóch kwartałach zaobserwowaliśmy nowe niebezpieczne zjawisko - przejścia od ataków komputerowych na pojedyncze punkty do ataków na dużą skalę oddziałujących na systemy informatyczne o krytycznym znaczeniu. (...) Robaki komputerowe i hybrydy internetowe będą się nadal rozprzestrzeniać, a czas ich aktywności będzie coraz dłuższy" - skomentował Chris Rouland, dyrektor X-Force.

Dane ISS pochodzą z systemów RealSecure zainstalowanych w sieciach klientów, zbierane przez pięć centrów operacyjnych na 3 kontynentach. Informacje są gromadzone w Światowym Centrum Operacyjnym Zagrożeń (Global Threat Operations Center) w Atlancie. Dodatkowe informacje pochodzą z firewalli, badań na zlecenie klientów korporacyjnych, badań centrum X-Force oraz kontaktów z przedstawicielami przemysłu, rządu, uczelni itp.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.