Web se stal hlavním nástrojem internetového zločinu, vystřídal e-mail

Bohdan Vrabec, 15. prosinec 2009 06:00 0 komentářů

Lupa_0
Počet uživatelů Internetu se v současnosti pohybuje okolo 1,5 miliardy a s dostupnějšími technologiemi se stále zvyšuje. Počítačoví zločinci si nástupu Internetu povšimli již dávno a velmi brzy si uvědomili, že trestné činy páchané v prostředí Internetu jim přinášejí řadu výhod.

Vrabec
Bohdan Vrabec

Problematika dostižení a potrestání

Internetový zločin představuje pro pachatele relativně malé riziko; překračuje politické hranice, a viníky je proto obtížné dopadnout a potrestat jak z technických, tak i právních důvodů. Tyto aktivity jsou navíc relativně jednoduché: potřebné informace o hackingu nebo o psaní vlastních virů, to vše je na Internetu volně dostupné. Kybernetická kriminalita se proto stala velice výnosným průmyslem, schopným udržovat svůj vlastní ekosystém. Bezpečnostní firmy a vývojáři softwaru podstupují s internetovými zločinci nepřetržitou bitvu, mezi oběma stranami probíhají neustálé „závody ve zbrojení“.

Jednou z pomůcek pachatelů jsou zranitelnosti typu zero day, tj. takové, pro něž ještě výrobce softwaru neuvolnil opravu. Kompromitovat lze v tomto případě tedy i pravidelně aktualizované systémy včetně řady podnikových sítí.

Zranitelnosti typu zero day jsou pro podvodníky velmi cenné a na černém trhu se prodávají i za desítky tisíc dolarů. Lze je využít i pro instalaci malwaru navrženého pro krádeže tajných informací (čísla platebních karet, přístupová hesla k on-line bankovnictví, hesla ke službám typu eBay nebo PayPal nebo i hesla do on-line her, jako je Warcraft), které je pak možné přímo zneužít nebo dále prodat.

Hlavním vektorem šíření škodlivého kódu se v poslední době stávají webové stránky. Řada bezpečnostních firem se v minulosti zaměřila především na to, jak zabránit spouštění škodlivých příloh v e-mailu (jako byl např. známý červ Melissa), na což útočníci reagovali změnou svých metod. Web je dnes plný škodlivých programů, které se po zobrazení stránky buď spouštějí samy (zejména v případě zranitelnosti typu zero day – v tomto případě stačí k infekci pouze samotná návštěva webu), nebo se zločinci snaží uživatele snaží nějakým trikem přimět k jejich stažení a spuštění.

Nejrozšířenější malware

Společnost Kaspersky Lab monitorovala v posledních 4 letech několik set tisíc legitimních webů, aby zjistila, zda se budou podílet na distribuci malwaru. Do roku 2009 bylo infikováno 0,64 % z nich; ukazuje se, že útočníci mají k dispozici stále dokonalejší nástroje a také roste počet objevených zranitelností v softwaru. Ačkoliv se v průběhu sledovaného období několikrát zdálo, že bylo dosaženo „bodu nasycení“, podíl zranitelných webů po nějaké době vždy znovu vzrostl.

Tabulka


















RokPodíl sledovaných legitimních webů, které distribuovaly malware nebo byly jinak kompromitované (%)
20060,004 %
20070,11 %
20080,35 %
20090,64 %

Zdroj: Kaspersky Lab

Další dvě tabulky ukazují malware nejčastěji detekovaný na webech v letech 2008 a 2009.

Rok 2008


  1. Trojan-Clicker.JS. Agent.h
  2. Trojan-Donwnloader.JS.Iframe.oj
  3. Trojan-Clicker.HTML.IFrame.jb
  4. Trojan-Clicker.HTML.IFrame.ab
  5. Trojan-Clicker.HTML.IFrame.ab

Rok 2009


  1. Net-Worm.JS.Aspxor.a
  2. Trojan-Donwnloader.JS.Gumblar.a
  3. Trojan-Clicker.HTML.IFrame.abh
  4. Trojan-Donwnloader.HTML.Agent.mx
  5. Trojan-Clicker.JS.Agent.h

Metody útoků

Útočníci dnes používají pro infekci webů malwarem v zásadě tři hlavní metody. První je přidání škodlivého kódu na zranitelný web metodou SQL injection. Nástroje pro tento typ útoku, např. ASPXor, lze použít pro hromadné testování (skenování) tisíců webů. Na ty, které obsahují zranitelnosti ve zpracování databázových (SQL) dotazů, lze pak rovněž hromadně přidat škodlivý kód.

Druhá metoda zahrnuje infikování vývojářova počítače malwarem, který monitoruje vznik a nahrávání HTML souborů na webový server, a automaticky do těchto souborů přidává škodlivý kód.

Posledním rozšířeným způsobem je infekce počítače někoho s přístupem k souborovému systému webu trojským koněm, který ukradne heslo (např. Trojan-Ransom.Win32.Agent.ey). Tento trojský kůň pak nahraje na web malware přes připojení FTP.

Firmám pomůže kvalitní ochrana



  • Pokud už došlo k infekci webu, lze doporučit následující postup:
  • Identifikace všech uživatelů, kteří mají k webu přístupová práva, skenování příslušných počítačů aktualizovaným bezpečnostním programem, detekce malwaru a jeho odstranění.
  • Změna přístupových hesel k webu, nastavení silnějšího hesla (obsahujícího číslice a speciální znaky).
  • Náhrada všech kompromitovaných souborů na webu jejich čistými kopiemi.
  • Identifikace všech záloh, které mohou obsahovat infikované soubory, a jejich vyčištění.

Zkušenost specialistů společnosti Kaspersky Lab ukazuje, že je běžné, aby zranitelné weby byly po vyčištění znovu infikovány, zejména pokud byla jako reakce na původní infekci přijata pouze povrchní opatření. Správci webů by proto měli postupovat důkladně a vyčištěný systém i nadále pozorně sledovat.

Firmám lze obecně doporučit, aby pro správu svých webů používaly spíše zabezpečený přístup přes SSH či SFTP než klasické FTP. Taktéž je vhodné udržovat vždy několik záloh, aby po zjištění infekce byla nějaká ze záloh ještě „čistá“ a šla použít pro rychlou obnovu firemního webu. Ideální samozřejmě je, aby se zločincům vůbec nepodařilo proniknout do počítačů lidí, kteří web vyvíjejí a spravují.

Nové verze produktů společnosti Kaspersky Lab (Kaspersky Internet Security 2010 a Kaspersky Anti-Virus 2010) nabízejí výhody pokročilého systému prevence proti vniknutí do podnikových sítí. Pokud se weby spravují i pomocí chytrých telefonů, ještě se zvýrazňuje i nutnost zabezpečení smartphonu (např. pomocí řešení Kaspersky Mobile Security 8.0).

Jestliže firemní webová stránka bude zákazníkům distribuovat malware, hrozí finanční odpovědnost za takto vzniklé škody, ale především naprostá ztráta důvěry.

Malware z legitimních webů

Bezpečnost

Ještě před několika lety se malware šířil hlavně přímo pomocí podvodných webů. Bezpečnostní průmysl, který si tohoto trendu povšiml, vyvinul soustředěné úsilí k likvidaci míst známých tím, že poskytují podvodníkům hosting. Tak byly vyřazeny z provozu například systémy McColo nebo EstDomains. Stále přetrvávají případy distribuce malwaru pomocí podvodných webů umístěných např. v Číně, jejichž likvidace je obtížná, celkový trend se ale nyní změnil. Malware je stále častěji umísťován v doménách užívaných primárně k legitimním účelům, často i v doménách známých a s nespornou reputací.

Uživatel sám může nyní jen obtížně rozpoznat, návštěva jakého webu představuje riziko. Důležité jsou proto nástroje pro filtrování webových adres (URL). Tuto ochranu poskytují specializované nástroje dodavatelů bezpečnostního softwaru, v určité míře ji však nabízejí i moderní webové prohlížeče, jako je Firefox 3.5, Chrome 2.0 a Internet Explorer 8.0. Firefox i Chrome například užívají rozhraní Google Safe Browsing API, tj. zdarma dostupnou službu filtrování URL od Googlu. V tuto chvíli obsahuje příslušný seznam okolo 300 000 záznamů pro weby distribuující malware a více než 20 000 záznamů pro weby pokoušející se o phishing.

Technologie sandboxů (oddělených procesů) zase umožňuje prohlížet webové stránky v izolovaném prostředí – tak, aby měly co nejmenší dopad na zbytek systému. Tato ochrana je zčásti k dispozici v moderních prohlížečích, spouštění ve zcela chráněném režimu nabízejí poslední verze bezpečnostních nástrojů společnosti Kaspersky Lab. Jejich výhodou je rovněž obsažený emulátor skriptů, který umožňuje v reálném čase kontrolovat kódy v JavaScriptu na webových stránkách, což je oblíbený nástroj útočníků.

Profil

Autor článku pracuje na pozici Kaspersky Distribution Manager ve společnosti PCS spol. s r.o.


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Americký Oracle převezme českou programátorskou firmu Apiary

ČTK , 20. leden 2017 12:00

Americký výrobce podnikového softwaru Oracle podepsal dohodu o převzetí české programátorské firmy A...

Více 0 komentářů

Internetová ekonomika za pět let posílila o 15 procent na 188 miliard

ČTK , 20. leden 2017 07:00

Objem internetové ekonomiky se předloni proti roku 2011 zvýšil o 15 procent na 188 miliard korun. Na...

Více 0 komentářů

Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy

ČTK , 19. leden 2017 14:00

Americká sociální síť Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy, tzv. startu...

Více 0 komentářů

Starší zprávičky

Toshiba prý zvažuje o osamostatnění své polovodičové divize

ČTK , 19. leden 2017 11:00

Japonská společnost Toshiba Corp. zvažuje oddělení svých aktivit v oblasti výroby polovodičů do samo...

Více 0 komentářů

Sněmovna uzákoní pravidla pro informační systémy veřejné správy

ČTK , 19. leden 2017 07:00

Sněmovna zřejmě uzákoní pravidla pro to, jaké funkční vlastnosti mají mít informační systémy ve veře...

Více 0 komentářů

ÚOOÚ za nevyžádaná obchodní sdělení uložil i půlmilionovou pokutu

ČTK , 18. leden 2017 14:00

Úřad pro ochranu osobních údajů (ÚOOÚ) v souvislosti s nevyžádanými obchodními sděleními udělil loni...

Více 0 komentářů

O2 spustila volání přes rychlé mobilní sítě LTE

ČTK , 18. leden 2017 12:00

Operátor O2 spustil službu volání v rychlé mobilní síti LTE. Největšími výhodami VoLTE jsou velmi kr...

Více 2 komentářů