Web se stal hlavním nástrojem internetového zločinu, vystřídal e-mail

Bohdan Vrabec, 15. prosinec 2009 06:00 0 komentářů

Lupa_0
Počet uživatelů Internetu se v současnosti pohybuje okolo 1,5 miliardy a s dostupnějšími technologiemi se stále zvyšuje. Počítačoví zločinci si nástupu Internetu povšimli již dávno a velmi brzy si uvědomili, že trestné činy páchané v prostředí Internetu jim přinášejí řadu výhod.

Vrabec
Bohdan Vrabec

Problematika dostižení a potrestání

Internetový zločin představuje pro pachatele relativně malé riziko; překračuje politické hranice, a viníky je proto obtížné dopadnout a potrestat jak z technických, tak i právních důvodů. Tyto aktivity jsou navíc relativně jednoduché: potřebné informace o hackingu nebo o psaní vlastních virů, to vše je na Internetu volně dostupné. Kybernetická kriminalita se proto stala velice výnosným průmyslem, schopným udržovat svůj vlastní ekosystém. Bezpečnostní firmy a vývojáři softwaru podstupují s internetovými zločinci nepřetržitou bitvu, mezi oběma stranami probíhají neustálé „závody ve zbrojení“.

Jednou z pomůcek pachatelů jsou zranitelnosti typu zero day, tj. takové, pro něž ještě výrobce softwaru neuvolnil opravu. Kompromitovat lze v tomto případě tedy i pravidelně aktualizované systémy včetně řady podnikových sítí.

Zranitelnosti typu zero day jsou pro podvodníky velmi cenné a na černém trhu se prodávají i za desítky tisíc dolarů. Lze je využít i pro instalaci malwaru navrženého pro krádeže tajných informací (čísla platebních karet, přístupová hesla k on-line bankovnictví, hesla ke službám typu eBay nebo PayPal nebo i hesla do on-line her, jako je Warcraft), které je pak možné přímo zneužít nebo dále prodat.

Hlavním vektorem šíření škodlivého kódu se v poslední době stávají webové stránky. Řada bezpečnostních firem se v minulosti zaměřila především na to, jak zabránit spouštění škodlivých příloh v e-mailu (jako byl např. známý červ Melissa), na což útočníci reagovali změnou svých metod. Web je dnes plný škodlivých programů, které se po zobrazení stránky buď spouštějí samy (zejména v případě zranitelnosti typu zero day – v tomto případě stačí k infekci pouze samotná návštěva webu), nebo se zločinci snaží uživatele snaží nějakým trikem přimět k jejich stažení a spuštění.

Nejrozšířenější malware

Společnost Kaspersky Lab monitorovala v posledních 4 letech několik set tisíc legitimních webů, aby zjistila, zda se budou podílet na distribuci malwaru. Do roku 2009 bylo infikováno 0,64 % z nich; ukazuje se, že útočníci mají k dispozici stále dokonalejší nástroje a také roste počet objevených zranitelností v softwaru. Ačkoliv se v průběhu sledovaného období několikrát zdálo, že bylo dosaženo „bodu nasycení“, podíl zranitelných webů po nějaké době vždy znovu vzrostl.

Tabulka


















RokPodíl sledovaných legitimních webů, které distribuovaly malware nebo byly jinak kompromitované (%)
20060,004 %
20070,11 %
20080,35 %
20090,64 %

Zdroj: Kaspersky Lab

Další dvě tabulky ukazují malware nejčastěji detekovaný na webech v letech 2008 a 2009.

Rok 2008


  1. Trojan-Clicker.JS. Agent.h
  2. Trojan-Donwnloader.JS.Iframe.oj
  3. Trojan-Clicker.HTML.IFrame.jb
  4. Trojan-Clicker.HTML.IFrame.ab
  5. Trojan-Clicker.HTML.IFrame.ab

Rok 2009


  1. Net-Worm.JS.Aspxor.a
  2. Trojan-Donwnloader.JS.Gumblar.a
  3. Trojan-Clicker.HTML.IFrame.abh
  4. Trojan-Donwnloader.HTML.Agent.mx
  5. Trojan-Clicker.JS.Agent.h

Metody útoků

Útočníci dnes používají pro infekci webů malwarem v zásadě tři hlavní metody. První je přidání škodlivého kódu na zranitelný web metodou SQL injection. Nástroje pro tento typ útoku, např. ASPXor, lze použít pro hromadné testování (skenování) tisíců webů. Na ty, které obsahují zranitelnosti ve zpracování databázových (SQL) dotazů, lze pak rovněž hromadně přidat škodlivý kód.

Druhá metoda zahrnuje infikování vývojářova počítače malwarem, který monitoruje vznik a nahrávání HTML souborů na webový server, a automaticky do těchto souborů přidává škodlivý kód.

Posledním rozšířeným způsobem je infekce počítače někoho s přístupem k souborovému systému webu trojským koněm, který ukradne heslo (např. Trojan-Ransom.Win32.Agent.ey). Tento trojský kůň pak nahraje na web malware přes připojení FTP.

Firmám pomůže kvalitní ochrana



  • Pokud už došlo k infekci webu, lze doporučit následující postup:
  • Identifikace všech uživatelů, kteří mají k webu přístupová práva, skenování příslušných počítačů aktualizovaným bezpečnostním programem, detekce malwaru a jeho odstranění.
  • Změna přístupových hesel k webu, nastavení silnějšího hesla (obsahujícího číslice a speciální znaky).
  • Náhrada všech kompromitovaných souborů na webu jejich čistými kopiemi.
  • Identifikace všech záloh, které mohou obsahovat infikované soubory, a jejich vyčištění.

Zkušenost specialistů společnosti Kaspersky Lab ukazuje, že je běžné, aby zranitelné weby byly po vyčištění znovu infikovány, zejména pokud byla jako reakce na původní infekci přijata pouze povrchní opatření. Správci webů by proto měli postupovat důkladně a vyčištěný systém i nadále pozorně sledovat.

Firmám lze obecně doporučit, aby pro správu svých webů používaly spíše zabezpečený přístup přes SSH či SFTP než klasické FTP. Taktéž je vhodné udržovat vždy několik záloh, aby po zjištění infekce byla nějaká ze záloh ještě „čistá“ a šla použít pro rychlou obnovu firemního webu. Ideální samozřejmě je, aby se zločincům vůbec nepodařilo proniknout do počítačů lidí, kteří web vyvíjejí a spravují.

Nové verze produktů společnosti Kaspersky Lab (Kaspersky Internet Security 2010 a Kaspersky Anti-Virus 2010) nabízejí výhody pokročilého systému prevence proti vniknutí do podnikových sítí. Pokud se weby spravují i pomocí chytrých telefonů, ještě se zvýrazňuje i nutnost zabezpečení smartphonu (např. pomocí řešení Kaspersky Mobile Security 8.0).

Jestliže firemní webová stránka bude zákazníkům distribuovat malware, hrozí finanční odpovědnost za takto vzniklé škody, ale především naprostá ztráta důvěry.

Malware z legitimních webů

Bezpečnost

Ještě před několika lety se malware šířil hlavně přímo pomocí podvodných webů. Bezpečnostní průmysl, který si tohoto trendu povšiml, vyvinul soustředěné úsilí k likvidaci míst známých tím, že poskytují podvodníkům hosting. Tak byly vyřazeny z provozu například systémy McColo nebo EstDomains. Stále přetrvávají případy distribuce malwaru pomocí podvodných webů umístěných např. v Číně, jejichž likvidace je obtížná, celkový trend se ale nyní změnil. Malware je stále častěji umísťován v doménách užívaných primárně k legitimním účelům, často i v doménách známých a s nespornou reputací.

Uživatel sám může nyní jen obtížně rozpoznat, návštěva jakého webu představuje riziko. Důležité jsou proto nástroje pro filtrování webových adres (URL). Tuto ochranu poskytují specializované nástroje dodavatelů bezpečnostního softwaru, v určité míře ji však nabízejí i moderní webové prohlížeče, jako je Firefox 3.5, Chrome 2.0 a Internet Explorer 8.0. Firefox i Chrome například užívají rozhraní Google Safe Browsing API, tj. zdarma dostupnou službu filtrování URL od Googlu. V tuto chvíli obsahuje příslušný seznam okolo 300 000 záznamů pro weby distribuující malware a více než 20 000 záznamů pro weby pokoušející se o phishing.

Technologie sandboxů (oddělených procesů) zase umožňuje prohlížet webové stránky v izolovaném prostředí – tak, aby měly co nejmenší dopad na zbytek systému. Tato ochrana je zčásti k dispozici v moderních prohlížečích, spouštění ve zcela chráněném režimu nabízejí poslední verze bezpečnostních nástrojů společnosti Kaspersky Lab. Jejich výhodou je rovněž obsažený emulátor skriptů, který umožňuje v reálném čase kontrolovat kódy v JavaScriptu na webových stránkách, což je oblíbený nástroj útočníků.

Profil

Autor článku pracuje na pozici Kaspersky Distribution Manager ve společnosti PCS spol. s r.o.


Komentáře

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Poskytování IT služeb mění podnikání Konica Minolta

Pavel Houser , 24. duben 2018 10:37

Prudký nárůst tržeb v segmentu IT služeb vedl společnost Konica Minolta ke změně přímého prodeje. ...

Více 0 komentářů

Čtvrtletní zisk Googlu výrazně překonal očekávání

ČTK , 24. duben 2018 08:48

Tržby firmy Alphabet se meziročně zvýšily o 26 procent na 31,1 miliardy dolarů....

Více 0 komentářů

EK zkoumá, zda nechá Apple převzít Shazam

ČTK , 24. duben 2018 08:00

Apple by za aplikaci mohl zaplatit asi 400 milionů dolarů....

Více 0 komentářů

Kalendář

24. 04.

25. 04.
IQRF Summit 2018
25. 04. IT mezi paragrafy 2018
30. 04.

03. 05.
Dell EMC World 2018

Starší zprávičky

Čínská služba pro streamování hudby Tencent míří na burzu

ČTK , 23. duben 2018 11:19

Spotify byla nedávno ohodnocena na 30 miliard dolarů. 25 miliard očekávaných u Tencentu je také obro...

Více 0 komentářů

Obchod s kryptoměnami se stěhuje mimo burzy

ČTK , 23. duben 2018 09:00

Objem obchodování s kryptoměnami je oproti konci roku poloviční....

Více 0 komentářů

Čtvrtina Čechů vyzkoušela služby sdílené ekonomiky

ČTK , 23. duben 2018 08:00

Více než polovina lidí zná služby Zonky (74 procent) a Uber (62 procent)....

Více 0 komentářů

Před 25 lety byl zpřístupněn webový prohlížeč Mosaic

ČTK , 21. duben 2018 15:22

Mosaic se zrodil v průběhu roku 1992 v hlavě Marca Andreessena a jeho kolegy Erica Biny....

Více 0 komentářů