Počet uživatelů Internetu se v současnosti pohybuje okolo 1,5 miliardy a s dostupnějšími technologiemi se stále zvyšuje. Počítačoví zločinci si nástupu Internetu povšimli již dávno a velmi brzy si uvědomili, že trestné činy páchané v prostředí Internetu jim přinášejí řadu výhod.
Bohdan Vrabec
Problematika dostižení a potrestání
Internetový zločin představuje pro pachatele relativně malé riziko; překračuje politické hranice, a viníky je proto obtížné dopadnout a potrestat jak z technických, tak i právních důvodů. Tyto aktivity jsou navíc relativně jednoduché: potřebné informace o hackingu nebo o psaní vlastních virů, to vše je na Internetu volně dostupné. Kybernetická kriminalita se proto stala velice výnosným průmyslem, schopným udržovat svůj vlastní ekosystém. Bezpečnostní firmy a vývojáři softwaru podstupují s internetovými zločinci nepřetržitou bitvu, mezi oběma stranami probíhají neustálé „závody ve zbrojení“.
Jednou z pomůcek pachatelů jsou zranitelnosti typu zero day, tj. takové, pro něž ještě výrobce softwaru neuvolnil opravu. Kompromitovat lze v tomto případě tedy i pravidelně aktualizované systémy včetně řady podnikových sítí.
Zranitelnosti typu zero day jsou pro podvodníky velmi cenné a na černém trhu se prodávají i za desítky tisíc dolarů. Lze je využít i pro instalaci malwaru navrženého pro krádeže tajných informací (čísla platebních karet, přístupová hesla k on-line bankovnictví, hesla ke službám typu eBay nebo PayPal nebo i hesla do on-line her, jako je Warcraft), které je pak možné přímo zneužít nebo dále prodat.
Hlavním vektorem šíření škodlivého kódu se v poslední době stávají webové stránky. Řada bezpečnostních firem se v minulosti zaměřila především na to, jak zabránit spouštění škodlivých příloh v e-mailu (jako byl např. známý červ Melissa), na což útočníci reagovali změnou svých metod. Web je dnes plný škodlivých programů, které se po zobrazení stránky buď spouštějí samy (zejména v případě zranitelnosti typu zero day – v tomto případě stačí k infekci pouze samotná návštěva webu), nebo se zločinci snaží uživatele snaží nějakým trikem přimět k jejich stažení a spuštění.
Nejrozšířenější malware
Společnost Kaspersky Lab monitorovala v posledních 4 letech několik set tisíc legitimních webů, aby zjistila, zda se budou podílet na distribuci malwaru. Do roku 2009 bylo infikováno 0,64 % z nich; ukazuje se, že útočníci mají k dispozici stále dokonalejší nástroje a také roste počet objevených zranitelností v softwaru. Ačkoliv se v průběhu sledovaného období několikrát zdálo, že bylo dosaženo „bodu nasycení“, podíl zranitelných webů po nějaké době vždy znovu vzrostl.
Tabulka
| Rok | Podíl sledovaných legitimních webů, které distribuovaly malware nebo byly jinak kompromitované (%) |
|---|---|
| 2006 | 0,004 % |
| 2007 | 0,11 % |
| 2008 | 0,35 % |
| 2009 | 0,64 % |
Zdroj: Kaspersky Lab
Další dvě tabulky ukazují malware nejčastěji detekovaný na webech v letech 2008 a 2009.
Rok 2008
- Trojan-Clicker.JS. Agent.h
- Trojan-Donwnloader.JS.Iframe.oj
- Trojan-Clicker.HTML.IFrame.jb
- Trojan-Clicker.HTML.IFrame.ab
- Trojan-Clicker.HTML.IFrame.ab
Rok 2009
- Net-Worm.JS.Aspxor.a
- Trojan-Donwnloader.JS.Gumblar.a
- Trojan-Clicker.HTML.IFrame.abh
- Trojan-Donwnloader.HTML.Agent.mx
- Trojan-Clicker.JS.Agent.h
Metody útoků
Útočníci dnes používají pro infekci webů malwarem v zásadě tři hlavní metody. První je přidání škodlivého kódu na zranitelný web metodou SQL injection. Nástroje pro tento typ útoku, např. ASPXor, lze použít pro hromadné testování (skenování) tisíců webů. Na ty, které obsahují zranitelnosti ve zpracování databázových (SQL) dotazů, lze pak rovněž hromadně přidat škodlivý kód.
Druhá metoda zahrnuje infikování vývojářova počítače malwarem, který monitoruje vznik a nahrávání HTML souborů na webový server, a automaticky do těchto souborů přidává škodlivý kód.
Posledním rozšířeným způsobem je infekce počítače někoho s přístupem k souborovému systému webu trojským koněm, který ukradne heslo (např. Trojan-Ransom.Win32.Agent.ey). Tento trojský kůň pak nahraje na web malware přes připojení FTP.
Firmám pomůže kvalitní ochrana
- Pokud už došlo k infekci webu, lze doporučit následující postup:
- Identifikace všech uživatelů, kteří mají k webu přístupová práva, skenování příslušných počítačů aktualizovaným bezpečnostním programem, detekce malwaru a jeho odstranění.
- Změna přístupových hesel k webu, nastavení silnějšího hesla (obsahujícího číslice a speciální znaky).
- Náhrada všech kompromitovaných souborů na webu jejich čistými kopiemi.
- Identifikace všech záloh, které mohou obsahovat infikované soubory, a jejich vyčištění.
Zkušenost specialistů společnosti Kaspersky Lab ukazuje, že je běžné, aby zranitelné weby byly po vyčištění znovu infikovány, zejména pokud byla jako reakce na původní infekci přijata pouze povrchní opatření. Správci webů by proto měli postupovat důkladně a vyčištěný systém i nadále pozorně sledovat.
Firmám lze obecně doporučit, aby pro správu svých webů používaly spíše zabezpečený přístup přes SSH či SFTP než klasické FTP. Taktéž je vhodné udržovat vždy několik záloh, aby po zjištění infekce byla nějaká ze záloh ještě „čistá“ a šla použít pro rychlou obnovu firemního webu. Ideální samozřejmě je, aby se zločincům vůbec nepodařilo proniknout do počítačů lidí, kteří web vyvíjejí a spravují.
Nové verze produktů společnosti Kaspersky Lab (Kaspersky Internet Security 2010 a Kaspersky Anti-Virus 2010) nabízejí výhody pokročilého systému prevence proti vniknutí do podnikových sítí. Pokud se weby spravují i pomocí chytrých telefonů, ještě se zvýrazňuje i nutnost zabezpečení smartphonu (např. pomocí řešení Kaspersky Mobile Security 8.0).
Jestliže firemní webová stránka bude zákazníkům distribuovat malware, hrozí finanční odpovědnost za takto vzniklé škody, ale především naprostá ztráta důvěry.
Malware z legitimních webů
Ještě před několika lety se malware šířil hlavně přímo pomocí podvodných webů. Bezpečnostní průmysl, který si tohoto trendu povšiml, vyvinul soustředěné úsilí k likvidaci míst známých tím, že poskytují podvodníkům hosting. Tak byly vyřazeny z provozu například systémy McColo nebo EstDomains. Stále přetrvávají případy distribuce malwaru pomocí podvodných webů umístěných např. v Číně, jejichž likvidace je obtížná, celkový trend se ale nyní změnil. Malware je stále častěji umísťován v doménách užívaných primárně k legitimním účelům, často i v doménách známých a s nespornou reputací.
Uživatel sám může nyní jen obtížně rozpoznat, návštěva jakého webu představuje riziko. Důležité jsou proto nástroje pro filtrování webových adres (URL). Tuto ochranu poskytují specializované nástroje dodavatelů bezpečnostního softwaru, v určité míře ji však nabízejí i moderní webové prohlížeče, jako je Firefox 3.5, Chrome 2.0 a Internet Explorer 8.0. Firefox i Chrome například užívají rozhraní Google Safe Browsing API, tj. zdarma dostupnou službu filtrování URL od Googlu. V tuto chvíli obsahuje příslušný seznam okolo 300 000 záznamů pro weby distribuující malware a více než 20 000 záznamů pro weby pokoušející se o phishing.
Technologie sandboxů (oddělených procesů) zase umožňuje prohlížet webové stránky v izolovaném prostředí – tak, aby měly co nejmenší dopad na zbytek systému. Tato ochrana je zčásti k dispozici v moderních prohlížečích, spouštění ve zcela chráněném režimu nabízejí poslední verze bezpečnostních nástrojů společnosti Kaspersky Lab. Jejich výhodou je rovněž obsažený emulátor skriptů, který umožňuje v reálném čase kontrolovat kódy v JavaScriptu na webových stránkách, což je oblíbený nástroj útočníků.
Profil
Autor článku pracuje na pozici Kaspersky Distribution Manager ve společnosti PCS spol. s r.o.