Symantec opublikował raport dotyczący stanu bezpieczeństwa w Internecie w pierwszym półroczu 2004. Opracowanie zawiera analizę ataków dokonywanych za pośrednictwem sieci, znanych luk w zabezpieczeniach (podatności na zagrożenia) oraz zagrożeń ze strony destrukcyjnego kodu.

Ekspresowe exploity

W ciągu ostatnich 6 miesięcy średni czas między ujawnieniem nowej luki w zabezpieczeniach, a pojawieniem się wykorzystującego ją destrukcyjnego kodu (tzw. eksploitu), wynosił 5,8 dnia. Z chwilą udostępnienia kodu można w szerokim zakresie skanować sieć w poszukiwaniu systemów zawierających nowo wykrytą lukę i szybko ją wykorzystywać. Niebezpieczeństwo jest tym większe, im szerzej upowszechniona aplikacja, w której zabezpieczeniach znaleziono lukę. Przykładem ekspresowego wykorzystania informacji o luce jest robak Witty, odkryty zaledwie w dwa dni po opublikowaniu informacji o istnieniu luki.

Niebezpieczna siatka robotów

Roboty (zwane w skrócie "botami") to programy potajemnie instalowane w systemach będących celem ataku. Pozwalają nieupoważnionym użytkownikom zdalnie wykorzystywać zainfekowany komputer. Atakujący często tworzą duże grupy systemów kontrolowanych przez roboty, zwane sieciami robotów. W badanym okresie liczba monitorowanych komputerów kontrolowanych przez roboty wzrosła z poziomu poniżej 2 tys. do ponad 30 tys. Krótki czas między ujawnieniem nowej luki w zabezpieczeniach a jej wykorzystaniem powoduje, że roboty te są szczególnie niebezpieczne. Z chwilą udostępnienia destrukcyjnego kodu wykorzystującego określoną lukę w zabezpieczeniach, właściciel sieci robotów może szybko i łatwo uaktualnić roboty, które następnie skanują sieć w poszukiwaniu luki. Znacznie zwiększa to szybkość i zasięg potencjalnych ataków. W efekcie oceny ryzyka zainfekowania są niepewne, gdyż możliwości narzędzi mogą się zmieniać z minuty na minutę.

Robaczywa "setka" Fortune

Symantec obserwował także ruch robaków przenikających do Sieci z korporacji z listy Fortune 100. Dane te zgromadzono poprzez wykrycie adresów IP, spod których następował atak. Okazało się, że adresy IP ponad 40% firm z listy Fortune 100 były kontrolowane i wykorzystywane do rozprzestrzeniania ataków z użyciem robaków. Systemy wykorzystywane do przeprowadzania ataków najprawdopodobniej same padły ofiarą osób atakujących z zewnątrz. Stały ruch robaków wychodzący z tych sieci sygnalizuje ponadto potencjalnym atakującym, że są one nadal podatne na wykorzystanie.

E-commerce na celowniku

Na firmy zajmujące się handlem elektronicznym skierowano więcej ataków niż na firmy z jakiejkolwiek innej branży: aż 16%. Oznacza to radykalny wzrost w porównaniu z drugim półroczem 2003 r., kiedy to za ataki ukierunkowane uznano jedynie 4% ataków na firmy e-commerce. Wzrost liczby ataków ukierunkowanych na przedsiębiorstwa zajmujące się handlem elektronicznym może oznaczać, że atakujący coraz bardziej zainteresowani są korzyściami finansowymi a nie tylko chęcią rozgłosu.

Dziurawe aplikacje internetowe

Coraz popularniejszym celem ataków stają się aplikacje internetowe. Wiele firm wdraża u siebie setki niestandardowych aplikacji, nierzadko o funkcjach kadrowych, usług biznesowych czy aplikacje księgowe o znaczeniu krytycznym, do których można dotrzeć za pośrednictwem sieci WWW. W pierwszej połowie 2004 r. 39% ujawnionych luk w zabezpieczeniach dotyczyło aplikacji internetowych. Co gorsza, 82% luk wykrytych w zabezpieczeniach aplikacji internetowych uznano za łatwe do wykorzystania, co oznacza, że stanowią one poważny problem dla przedsiębiorstw. Jak zauważają autorzy raportu, tradycyjne urządzenia zabezpieczające nie są na ogół skonfigurowane pod kątem monitorowania niestandardowych aplikacji internetowych, co utrudnia monitorowanie tego typu zagrożeń i ochronę przed nimi.

A oto inne ustalenia raportu "w pigułce":

Ataki, luki...

- Zmalała dzienna liczba ataków, prawdopodobnie dzięki zmniejszeniu się liczby ataków internetowych przeprowadzanych z wykorzystaniem robaków.

- Najczęściej atakowano używając robaka Slammer; (15% adresów IP będących źródłem ataków). Drugim najczęstszym atakiem był robak Gaobot i jego warianty - liczba ataków z ich wykorzystaniem wzrosła w o ponad 600%.

- Liczba komputerów zainfekowanych przez roboty wzrosła z ok. 2 tys. do ponad 30 tys.

- Głównym źródłem ataków były Stany Zjednoczone, przy czym ich udział zmalał z 58% w drugim półroczu 2003 r. do poziomu 37%.

- Do bazy Symantec Vulnerability Database dodano 1237 nowych luk w zabezpieczeniach.

- Ujawniano średnio 48 nowych luk tygodniowo, 96% zostało zaklasyfikowanych jako średnio lub bardzo poważne.

- 70% ujawnionych luk zostało uznanych za łatwe do wykorzystania.

- 64% luk w zabezpieczeniach, dla których był dostępny kod umożliwiający ich wykorzystanie, uznano za bardzo poważne.

- 479 luk (39%) wykryto w aplikacjach internetowych.

Wirusy, robaki...

- Udokumentowano ponad 4496 nowych wirusów i robaków atakujących system operacyjny Windows (zwłaszcza Win32), czyli ponad czteroipółkrotnie więcej niż w takim samym okresie 2003 r.

- Usługi P2P, usługa Internet Relay Chat (IRC) i współużytkowanie plików sieciowych nadal stanowią najczęstsze kanały rozprzestrzeniania się robaków i innych rodzajów destrukcyjnego kodu.

- Coraz większe problemy zaczyna sprawiać użytkownikom oprogramowanie typu adware: w 6 spośród 50 najpoważniejszych przypadków wprowadzenia w obieg destrukcyjnego kodu wykorzystano takie właśnie oprogramowanie.

- Powstał Cabir - pierwszy destrukcyjny robak atakujący urządzenia mobilne.

Kierunki ataków...

- W najbliższej przyszłości spodziewany jest wzrost liczby ataków na systemy klienckie i aplikacje internetowe.

- Sieci robotów będą stosować coraz bardziej zaawansowane i trudne do wykrycia i zlokalizowania metody kontroli i synchronizacji ataków.

- Należy spodziewać się ataków na porty komputerów (port knocking) - w celu nawiązywania połączeń z systemami stanowiącymi potencjalny cel.

- Wykryte ostatnio luki w zabezpieczeniach systemów operacyjnych Linux i BSD, wykorzystane w eksploitach sprawdzających poprawność projektu (proof-of-concept), zostaną w najbliższej przyszłości wykorzystane w robakach korzystających z tego typu luk.

- Nastąpi wzrost liczby prób wykorzystania luk bezpieczeństwa urządzeń mobilnych.

Dane pochodzą z przeszło 20 tys. czujników zainstalowanych w 180 krajach w ramach systemu Symanteca do zarządzania zagrożeniami (DeepSight Threat Management System) oraz usługi ochrony (Managed Security Services). Dane na temat destrukcyjnego kodu z ponad 120 mln systemów klienckich i serwerowych oraz bram u użytkowników indywidualnych i w firmach, gdzie działają produkty Symanteca.