Web se stal hlavním nástrojem internetového zločinu, vystřídal e-mail

Bohdan Vrabec, 15. prosinec 2009 06:00 0 komentářů

Lupa_0
Počet uživatelů Internetu se v současnosti pohybuje okolo 1,5 miliardy a s dostupnějšími technologiemi se stále zvyšuje. Počítačoví zločinci si nástupu Internetu povšimli již dávno a velmi brzy si uvědomili, že trestné činy páchané v prostředí Internetu jim přinášejí řadu výhod.

Vrabec
Bohdan Vrabec

Problematika dostižení a potrestání

Internetový zločin představuje pro pachatele relativně malé riziko; překračuje politické hranice, a viníky je proto obtížné dopadnout a potrestat jak z technických, tak i právních důvodů. Tyto aktivity jsou navíc relativně jednoduché: potřebné informace o hackingu nebo o psaní vlastních virů, to vše je na Internetu volně dostupné. Kybernetická kriminalita se proto stala velice výnosným průmyslem, schopným udržovat svůj vlastní ekosystém. Bezpečnostní firmy a vývojáři softwaru podstupují s internetovými zločinci nepřetržitou bitvu, mezi oběma stranami probíhají neustálé „závody ve zbrojení“.

Jednou z pomůcek pachatelů jsou zranitelnosti typu zero day, tj. takové, pro něž ještě výrobce softwaru neuvolnil opravu. Kompromitovat lze v tomto případě tedy i pravidelně aktualizované systémy včetně řady podnikových sítí.

Zranitelnosti typu zero day jsou pro podvodníky velmi cenné a na černém trhu se prodávají i za desítky tisíc dolarů. Lze je využít i pro instalaci malwaru navrženého pro krádeže tajných informací (čísla platebních karet, přístupová hesla k on-line bankovnictví, hesla ke službám typu eBay nebo PayPal nebo i hesla do on-line her, jako je Warcraft), které je pak možné přímo zneužít nebo dále prodat.

Hlavním vektorem šíření škodlivého kódu se v poslední době stávají webové stránky. Řada bezpečnostních firem se v minulosti zaměřila především na to, jak zabránit spouštění škodlivých příloh v e-mailu (jako byl např. známý červ Melissa), na což útočníci reagovali změnou svých metod. Web je dnes plný škodlivých programů, které se po zobrazení stránky buď spouštějí samy (zejména v případě zranitelnosti typu zero day – v tomto případě stačí k infekci pouze samotná návštěva webu), nebo se zločinci snaží uživatele snaží nějakým trikem přimět k jejich stažení a spuštění.

Nejrozšířenější malware

Společnost Kaspersky Lab monitorovala v posledních 4 letech několik set tisíc legitimních webů, aby zjistila, zda se budou podílet na distribuci malwaru. Do roku 2009 bylo infikováno 0,64 % z nich; ukazuje se, že útočníci mají k dispozici stále dokonalejší nástroje a také roste počet objevených zranitelností v softwaru. Ačkoliv se v průběhu sledovaného období několikrát zdálo, že bylo dosaženo „bodu nasycení“, podíl zranitelných webů po nějaké době vždy znovu vzrostl.

Tabulka


















RokPodíl sledovaných legitimních webů, které distribuovaly malware nebo byly jinak kompromitované (%)
20060,004 %
20070,11 %
20080,35 %
20090,64 %

Zdroj: Kaspersky Lab

Další dvě tabulky ukazují malware nejčastěji detekovaný na webech v letech 2008 a 2009.

Rok 2008


  1. Trojan-Clicker.JS. Agent.h
  2. Trojan-Donwnloader.JS.Iframe.oj
  3. Trojan-Clicker.HTML.IFrame.jb
  4. Trojan-Clicker.HTML.IFrame.ab
  5. Trojan-Clicker.HTML.IFrame.ab

Rok 2009


  1. Net-Worm.JS.Aspxor.a
  2. Trojan-Donwnloader.JS.Gumblar.a
  3. Trojan-Clicker.HTML.IFrame.abh
  4. Trojan-Donwnloader.HTML.Agent.mx
  5. Trojan-Clicker.JS.Agent.h

Metody útoků

Útočníci dnes používají pro infekci webů malwarem v zásadě tři hlavní metody. První je přidání škodlivého kódu na zranitelný web metodou SQL injection. Nástroje pro tento typ útoku, např. ASPXor, lze použít pro hromadné testování (skenování) tisíců webů. Na ty, které obsahují zranitelnosti ve zpracování databázových (SQL) dotazů, lze pak rovněž hromadně přidat škodlivý kód.

Druhá metoda zahrnuje infikování vývojářova počítače malwarem, který monitoruje vznik a nahrávání HTML souborů na webový server, a automaticky do těchto souborů přidává škodlivý kód.

Posledním rozšířeným způsobem je infekce počítače někoho s přístupem k souborovému systému webu trojským koněm, který ukradne heslo (např. Trojan-Ransom.Win32.Agent.ey). Tento trojský kůň pak nahraje na web malware přes připojení FTP.

Firmám pomůže kvalitní ochrana



  • Pokud už došlo k infekci webu, lze doporučit následující postup:
  • Identifikace všech uživatelů, kteří mají k webu přístupová práva, skenování příslušných počítačů aktualizovaným bezpečnostním programem, detekce malwaru a jeho odstranění.
  • Změna přístupových hesel k webu, nastavení silnějšího hesla (obsahujícího číslice a speciální znaky).
  • Náhrada všech kompromitovaných souborů na webu jejich čistými kopiemi.
  • Identifikace všech záloh, které mohou obsahovat infikované soubory, a jejich vyčištění.

Zkušenost specialistů společnosti Kaspersky Lab ukazuje, že je běžné, aby zranitelné weby byly po vyčištění znovu infikovány, zejména pokud byla jako reakce na původní infekci přijata pouze povrchní opatření. Správci webů by proto měli postupovat důkladně a vyčištěný systém i nadále pozorně sledovat.

Firmám lze obecně doporučit, aby pro správu svých webů používaly spíše zabezpečený přístup přes SSH či SFTP než klasické FTP. Taktéž je vhodné udržovat vždy několik záloh, aby po zjištění infekce byla nějaká ze záloh ještě „čistá“ a šla použít pro rychlou obnovu firemního webu. Ideální samozřejmě je, aby se zločincům vůbec nepodařilo proniknout do počítačů lidí, kteří web vyvíjejí a spravují.

Nové verze produktů společnosti Kaspersky Lab (Kaspersky Internet Security 2010 a Kaspersky Anti-Virus 2010) nabízejí výhody pokročilého systému prevence proti vniknutí do podnikových sítí. Pokud se weby spravují i pomocí chytrých telefonů, ještě se zvýrazňuje i nutnost zabezpečení smartphonu (např. pomocí řešení Kaspersky Mobile Security 8.0).

Jestliže firemní webová stránka bude zákazníkům distribuovat malware, hrozí finanční odpovědnost za takto vzniklé škody, ale především naprostá ztráta důvěry.

Malware z legitimních webů

Bezpečnost

Ještě před několika lety se malware šířil hlavně přímo pomocí podvodných webů. Bezpečnostní průmysl, který si tohoto trendu povšiml, vyvinul soustředěné úsilí k likvidaci míst známých tím, že poskytují podvodníkům hosting. Tak byly vyřazeny z provozu například systémy McColo nebo EstDomains. Stále přetrvávají případy distribuce malwaru pomocí podvodných webů umístěných např. v Číně, jejichž likvidace je obtížná, celkový trend se ale nyní změnil. Malware je stále častěji umísťován v doménách užívaných primárně k legitimním účelům, často i v doménách známých a s nespornou reputací.

Uživatel sám může nyní jen obtížně rozpoznat, návštěva jakého webu představuje riziko. Důležité jsou proto nástroje pro filtrování webových adres (URL). Tuto ochranu poskytují specializované nástroje dodavatelů bezpečnostního softwaru, v určité míře ji však nabízejí i moderní webové prohlížeče, jako je Firefox 3.5, Chrome 2.0 a Internet Explorer 8.0. Firefox i Chrome například užívají rozhraní Google Safe Browsing API, tj. zdarma dostupnou službu filtrování URL od Googlu. V tuto chvíli obsahuje příslušný seznam okolo 300 000 záznamů pro weby distribuující malware a více než 20 000 záznamů pro weby pokoušející se o phishing.

Technologie sandboxů (oddělených procesů) zase umožňuje prohlížet webové stránky v izolovaném prostředí – tak, aby měly co nejmenší dopad na zbytek systému. Tato ochrana je zčásti k dispozici v moderních prohlížečích, spouštění ve zcela chráněném režimu nabízejí poslední verze bezpečnostních nástrojů společnosti Kaspersky Lab. Jejich výhodou je rovněž obsažený emulátor skriptů, který umožňuje v reálném čase kontrolovat kódy v JavaScriptu na webových stránkách, což je oblíbený nástroj útočníků.

Profil

Autor článku pracuje na pozici Kaspersky Distribution Manager ve společnosti PCS spol. s r.o.


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
RSS 

Zprávičky

APEK: Dnes obrat za miliardu?

Pavel Houser , 11. prosinec 2017 13:04

Právě dnes očekává Asociace pro elektronickou komerci (APEK) vrchol objednávek vánočních dárků na in...

Více 0 komentářů

Termínový kontrakt na bitcoin při debutu stoupl až na 18 700 dolarů

ČTK , 11. prosinec 2017 10:39

Termínový kontrakt na internetovou měnu bitcoin při svém debutu ve Spojených státech zpevnil o více ...

Více 0 komentářů

Western Digital zruší arbitráž proti Toshibě

ČTK , 11. prosinec 2017 08:00

Japonská společnost Toshiba a americká firma Western Digital se v zásadě dohodly na urovnání sporu o...

Více 0 komentářů

Starší zprávičky

Spotify a Tencent se propojují

ČTK , 10. prosinec 2017 08:00

Přední světová služba pro streamování hudby Spotify a čínská konkurenční firma Tencent Music Enterta...

Více 0 komentářů

Bezpečnostní politika firem brání plně využít potenciál IoT

Pavel Houser , 09. prosinec 2017 08:00

Tři čtvrtiny účastníků průzkumu EY Global Information Security Survey 2017 pokládají za nejpravděpod...

Více 4 komentářů

Globální výdaje na bezpečnost IT porostou v příštím roce o 8 % na 96 miliard dolarů

Pavel Houser , 08. prosinec 2017 10:57

Nejrychleji porostou řešení SIEM, testování IT bezpečnosti a její outsourcing. ...

Více 1 komentářů

Soud EU: Luxusní značky mohou zakázat internetový prodej zboží

ČTK , 08. prosinec 2017 10:00

Oponenti poukazují na to, že omezení prodejů jde proti hospodářské soutěži....

Více 2 komentářů