Sophos Raport Bezpieczeństwa IT

Transkrypt

1 Sophos Raport Bezpieczeństwa IT

2 1. Słowo wstępne 2. Rok 2012 w skrócie: Nowe platformy i zmieniające się zagrożenia 2.1 Ataki powiązane z Facebook oraz innymi platformami społecznościowymi 2.2 Rosnące ryzyko ze strony chmur obliczeniowych 3. Blackhole: Lider oprogramowania malware na podstawie badań SophosLabs 3.1 Cztery stopnie cyklu życia Blackhole 3.2 Co robimy w sprawie Blackhole i jak użytkownicy mogą nam pomóc 4. Ataki na Java osiągnęły masę krytyczną 4.1 Duże firmy nadal umożliwiają stosowanie słabych haseł 4.2 Czego można nauczyć się z przypadków utraty danych 5. Android: Najpopularniejszy cel ataków 5.1 Łatwe, ale przynoszące zysk: fałszywe oprogramowanie i nieautoryzowane wiadomości SMS 5.2 Dołączenie do botnetu 5.3 Przechwytywanie wiadomości oraz dostęp do konta bankowego 5.4 PUA: nie całkiem malware ale ryzykowane 5.5 Minimalizacja ryzyka 6. Różne platformy i technologie zwiększają możliwości ataku 7. OS X i Mac: Więcej użytkowników, rosnące ryzyko 7.1 Fałszywe antywirusy i inne znajome strategie: nauki z Windows 7.2 Morcut/Crisis: Bardziej zróżnicowany i potencjalnie bardziej niebezpieczny 7.3 Malware z Windows chowa się w Mac OS X 7.4 Najnowsze ulepszenia OS X w dziedzinie bezpieczeństwa oraz ich limity 7.5 Implementacja rozwiązania anty-malware dla Mac 8. Władze dokonują aresztowań twórców malware oraz wyłączają botnety 9. Wzrost ryzyka precyzyjnych ataków 10. Polimorficzne i precyzowane ataki: Long tail 10.1 Polimorfizm: nie nowy, ale bardziej problemowy 10.2 Walka z polimorfizmem po stronie serwera 10.3 Precyzyjne ataki: nastawione na cel, szybkie, szczególnie niebezpieczne 10.4 Ochrona przed SSP 11. Kompletne Bezpieczeństwo 11.1 Poznaj dwie ścieżki do osiągnięcia pełni bezpieczeństwa z Sophos 12. Czego oczekiwać w Słowo końcowe 14. Źródła

3 Słowo Wstępne Nawiązując do bardzo pracowitego roku pod względem bezpieczeństwa sieciowego, chciałbym podkreślić kilka trendów zaobserwowanych w 2012 roku. Bez cienia wątpliwości, rosnąca mobilność danych w przedsiębiorstwach jest jednym z największych wyzwań, z którymi zmagaliśmy się w zeszłym roku. Użytkownicy w pełni wykorzystują wszechobecną dostępność danych z każdego miejsca. Gwałtowny wzrost użytkowania prywatnych urządzeń w firmach (bring your own device - BYOD) oraz wykorzystanie chmur danych, powodują nowe zagrożenia w polityce bezpieczeństwa firmy. Innym zaobserwowanym trendem jest ewolucja urządzeń końcowych, zmieniająca tradycyjnie homogeniczne środowisko systemów Windows, w sieci z wieloma systemami operacyjnymi. Współczesne złośliwe oprogramowanie jest efektywne w atakowaniu nowych platform, ze szczególnym naciskiem na urządzenia mobilne. Podczas gdy jeszcze kilka lat temu zagrożenia dla systemu Android były tylko przykładami widzianymi w laboratoriach, dziś stały się poważnym problemem. Trend przynoszenia swoich urządzeń do firmy przez użytkowników jest coraz większym zagrożeniem dla naszych klientów. Pracownicy są zainteresowani korzystaniem ze swoich smartfonów, tabletów czy notebooków nowej generacji w firmowych sieciach. Dla działów IT oznacza to coraz więcej zapytań o bezpieczeństwo danych na urządzeniach, nad którymi nie mają kontroli. Ideą BYOD (bring your own device) może być sytuacja winwin zarówno dla pracownika jak i pracodawcy, jednakże wyzwania stojące pomiędzy dostępnością danych prywatnych wymieszanych z firmowymi, mogą okazać się zbyt wielkie. Kwestie dotyczące tego kto jest właścicielem danych, kto zarządza urządzeniem oraz kto odpowiada za bezpieczeństwo znajdujących się tam danych pozostają często otwarte. Ostatecznie, sieć Web pozostaje zdecydowanym źródłem dystrybucji złośliwego oprogramowania - w szczególności wykorzystywana jest socjotechnika lub ataki precyzyjne na przeglądarki bądź aplikacje. Przykładem może być framework o nazwie Blackhole, będący zbiorem złośliwego oprogramowania wykorzystującym najmniejsze z luk bezpieczeństwa, jak również braki w aktualizacjach. Od dawna znanym trendem w dziedzinie przełamywania zabezpieczeń, jest skupianie się na najsłabszym ogniwie w polityce bezpieczeństwa, a gdy to stanie się mało efektywne, poszukiwanie kolejnych potencjalnych luk. Przykładem takiego działania może być rewolucja BYOD oraz chmury obliczeniowe. Ochrona danych w środowisku gdzie systemy często się zmieniają, a informacje mogą być dowolnie wymieniane, wymaga skoordynowanego systemu, który potrafi jednocześnie ochraniać stacje końcowe, bramy sieciowe, urządzenia mobilne oraz dane w chmurach obliczeniowych. Bezpieczeństwo IT ewoluuje z podejścia skupionego na urządzeniach, na podejście skupione na użytkowniku, wraz ze wszystkimi konsekwencjami tej zmiany. Oznacza to, że nowoczesne rozwiązania muszą skupiać się jednocześnie na wielu płaszczyznach, włączając w to wymuszenia stosowania polityki, szyfrowanie danych, bezpieczny dostęp do korporacyjnej sieci, produktywność, filtrowanie treści, zarządzanie bezpieczeństwem oraz aktualizacjami, jak również ochronę przed malware. Z poważaniem, Gerhard Eschelbeck Security Threat Report 2013 CTO, Sophos

4 Rok 2012 w skrócie: Nowe platformy i zmieniające się zagrożenia W 2012 roku zaobserwowaliśmy wzmożone ataki na nowe platformy, od popularnych sieci społecznościowych przez chmury obliczeniowe, do urządzeń mobilnych z systemem Android. Odpowiedzi cyberkryminalistów na nowe sposoby ochrony były szybsze, a wykorzystywanie luk 0-day było bardziej efektywne. W latach ubiegłych, autorzy malware próbowali wdrożyć nowy model biznesowy wraz z nowymi sposobami tworzenia oprogramowania, aby rozwijać coraz groźniejsze ataki. Przykładem mogą być twórcy Blackhole - nielegalnego zestawu malware dostarczanego w postaci oprogramowania jako usługi (model SaaS). Musieli oni uznać wyższość firm antywirusowych, które pokrzyżowały im plany, jednak obiecali powrót do gry w 2012 roku i wydanie nowej wersji. Nieskoordynowane grupy cyberkryminalistów najwidoczniej dołączyły do zorganizowanych grup, przygotowujących zaawansowane ataki na strategiczne cele. W 2012 pojawiły się raporty mówiące o atakach złośliwego oprogramowania na sektor energetyczny na Bliskim Wschodzie, skoordynowanym ataku DDoS na globalne banki oraz precyzyjnych atakach na kluczowe instytucje. Bardziej tradycyjni twórcy złośliwego oprogramowania kontynuowali ataki na nieprawidłowo skonfigurowane serwery Web lub bazy danych, po raz kolejny udowadniając niefrasobliwym administratorom, jak ważna jest polityka bezpieczeństwa oraz regularne instalowanie aktualizacji. W międzyczasie użytkownicy musieli zmagać się z żądaniami zwrotu fałszywej nadpłaty czy atakami socjotechniki takiej jak fałszywe oprogramowanie antywirusowe czy wpłata okupu za odszyfrowanie danych, zaszyfrowanych przez złośliwe oprogramowanie.

5 W 2012 roku zauważono również pozytywne tendencje. Jedną z nich jest wzrost świadomości administratorów IT w kwestii zapewnienia ochrony na wielu poziomach. Wiele firm rozpoczęło tworzenie polityk dla smartfonów oraz tabletów, jak również zwróciło uwagę na szybsze aktualizacje oraz potrzebę redukcji korzystania z takich aplikacji jak Java czy Flash, zapewniając sobie większą ochronę. Należy również wspomnieć o bardziej zdecydowanym działaniu władz państwowych, prowadzącym m.in. do postawienia zarzutów rosyjskim kryminalistom, odpowiedzialnym za zainfekowanie 4.5 miliona komputerów, w celu wyłudzenia danych bankowych, aresztowaniu osób odpowiedzialnych za stworzenie botnetu Bredolab, czy działaniu Microsoft u, który skutecznie zareagował przeciwko chińskim usługom przydzielania dynamicznych usług DNS, które zapewniały anonimowość cyberkryminalistom, włączając w to twórców botnetu Nitol. Operacje te pokazały również, że osoby finansujące lub ochraniające tego typu działalności, również mogą zostać pociągnięte do odpowiedzialności. W 2013 roku wraz z rosnącą migracją usług w chmury obliczeniowe, podążą tam również cyberkryminaliści. Działy IT oraz użytkownicy, będą musieli zadać sobie pytanie, w jaki sposób ich dane oraz urządzenia mogą być systematycznie ochraniane oraz jakie są procedury szybkiej odpowiedzi na nieznane zagrożenia. My jesteśmy po to, by pomóc - w każdej minucie każdego dnia. Ataki powiązane z Facebook oraz innymi platformami społecznościowymi W 2012 miliony użytkowników dołączyło do sieci społecznościowych - podobnie postąpili cyberkryminaliści. Budują oni nowe ataki, bazujące na kwestiach kluczowych dla użytkowników, jak np. sceptycyzm w kwestii osi czasu czy polityki zarządzania udostępnianymi zdjęciami. Atakujący próbują również wykorzystywać dojrzałe platformy takie jak Twitter czy szybko rosnące usługi jak np. Pinterest. W wrześniu odnotowano także pierwszą infekcję przejętego konta w sieci społecznościowej Pinterest. Z tego konta wysyłano spam obrazkowy do innych sieci społecznościowych - Twitter a oraz Facebook a. Użytkownicy, którzy przyłączyli konta Pinterest do tych sieci, znaleźli na swoich ścianach w Facebooku oraz na Twitterze wiadomości nakłaniające do wzięcia udziału w schemacie pracy w domu ( work-athome scheme ). We wrześniu 2012 roku, Sophos odnotował rozprzestrzenianie się bezpośrednich wiadomości na Twitterze (DMs), z nowo przejętych kont. W wiadomościach znajdował się link wraz z informacją, że dany użytkownik jest na nagraniu video aktualnie znajdującym się na facebooku. Po kliknięciu w link, użytkownik był przenoszony na stronę, która rekomendowała aktualizację YouTube player, aby odtworzyć video. Jeżeli użytkownik zgadzał się na aktualizację, był infekowany backdoorem Troj/Mdrop-EML.

6 Z miliardem użytkowników, Facebook jest największą siecią społecznościową, jakrównież jednocześnie najczęściej atakowaną platformą. W kwietniu, Facebook wraz z Sophosem oraz innymi dostawcami oprogramowania antywirusowego podniósł poziom ochrony przed malware. Facebook teraz może skanować podejrzane linki dużo szybciej, dzięki czemu lepiej chroni użytkowników. Oczywiście jest to tylko jeden z komponentów ochrony. Badacze z Sophos oraz z innych firm, nie ustają w wysiłkach by znaleźć i zdeaktywować nowe wektory ataku, np. Dark Reading donosi, że naukowcy z University of California stworzyli aplikację Facebook, która wykrywa około 97% ataków socjalnych oraz ataków scam. Innowacyjne sposoby autentykacji, jak np. pokazywanie losowo wybranego zdjęcia profilowego z grupy znajomych oraz prośba o identyfikację, może także pomóc. Rosnące ryzyko ze strony chmur obliczeniowych W 2012 roku, finansowe oraz administracyjne korzyści, przekonały wiele firm do przeniesienia usług w chmury obliczeniowe. Dodatkowo, rozwój tego typu wygodnych usług, jak np. DropBox przekonał firmy do inwestycji w prywatność danych przechowywanych w wirtualnych środowiskach. Migracja sprowokowała wiele pytań, dotyczących tego jakie dane powinny się tam znaleźć i w jaki sposób powinny być chronione. Opinia bezpieczeństwa chmur obliczeniowych została nadszarpnięta w wyniku kompromitacji pracowników DropBox a w 2012 roku. Loginy i hasła użytkowników skradzione z zewnętrznej witryny, zostały wykorzystane do uzyskania dostępu do kilku kont pracowników DropBox. Pracownicy DropBox korzystali z tych samych danych, aby uzyskać dostęp do wszystkich swoich kont, włączając w to konta z dostępem do wrażliwych, firmowych danych. Ta sytuacja powinna być przestrogą, dla wszystkich, którzy korzystają z jednego hasła w wielu miejscach. To nie był jedyny problem DropBox w minionym roku. Przypadkowo usunięto wszystkie hasła użytkowników na blisko 4 godziny. Dodatkowo, VentureBeat odkrył, że w firmowej aplikacji na ios, dane do logowania były przechowywane w formie czystego tekstu - każdy kto miał fizyczny dostęp do smartfonu mógł je zobaczyć.

7 Od tego czasu, DropBox poprawił bezpieczeństwo swoich usług, poprzez wprowadzenie dwustopniowej autoryzacji, ale problem pojawił się w usługach konkurencyjnych firm. W maju 2012 roku, Fraunhofer Institute for Secure Information Technology donosił o lukach w rejestracji, logowaniu, szyfrowaniu oraz udostępnianiu danych w siedmiu innych witrynach świadczących usługi chmur obliczeniowych. W świetle tych danych, zabezpieczenia DropBox oraz innych usługodawców polegające na szyfrowaniu przechowywanych oraz przesyłanych danych nie są wiele warte. Chronią one jedynie w przypadku próby ich przejęcia bez wykorzystania prawidłowych danych dostępowych. Dane przechowywane w publicznie dostępnych chmurach obliczeniowych podlegają jurysdykcji prawnej kraju, w którym znajdują się serwery firmy. Problemy DropBox zwróciły uwagę na temat bezpieczeństwa danych przechowywanych w ten sposób. Najważniejsze pytanie brzmi, w jaki sposób chronić dane znajdujące się w infrastrukturze nad która nie ma się kontroli? Dwustopniowa autoryzacja jest podstawą. Ale czy to wystarczające zabezpieczenie? Kwestie, które wymagają rozważenia to: Jak wygląda polityka w przypadku wycieku informacji? W szczególności, w jaki sposób firma może ustalić, że doszło do wycieku? W jaki sposób zarządzać danymi, które zostały skopiowane przez użytkowników do prywatnych urządzeń? W jaki sposób można weryfikować jakość pracy administratorów chmur? Czy standardy obowiązujące w firmie są również stosowane w przypadku partnerów biznesowych mających dostęp do wrażliwych danych? Czy można zabezpieczyć kopie snapshot wirtualnych serwerów przed zapisywaniem danych z pamięci ram, włączając w to wszystkie pracujące klucze szyfrowania? Niektórzy eksperci, jak np. Mel Beckman czy System inews, uważają, że wirtualne maszyny powinny podlegać takim samym regulacjom i zasadom jak urządzenia fizyczne. Dobrym przykładem jest tutaj zestaw reguł HIPAA. Każdy, kto zdecyduje się na przeniesienie swoich usług w chmury obliczeniowe, powinien wykonać trzy proste kroki, zwiększające bezpieczeństwo danych: 1. Wdrożyć reguły Web, bazujące na filtrowaniu URL, kontroli dostępu do publicznych usługodawców, z których nie korzysta firma, 2. Wdrożyć politykę kontroli aplikacji, aby blokować lub udostępniać poszczególne aplikacje dla zaufanych użytkowników korporacyjnej sieci, 3. Automatycznie szyfrować wszystkie dane wysyłane do chmur obliczeniowych z zarządzanych stacji. Rozwiązanie powinno umożliwiać użytkownikowi wybór usługodawcy, ponieważ pliki zawszę są szyfrowane odpowiednim kluczem. Operacja szyfrowania przebiega po stronie klienta, więc nawet w przypadku problemów pod stronie usługodawcy, dane są bezpieczne. Centralne klucze dają autoryzowanym grupom lub grupom użytkowników dostęp do danych, podczas gdy dane są niedostępne dla wszystkich innych osób. Nawet w przypadku zgubienia czy zapomnienia hasła przez użytkownika, administrator ma możliwość dostępu do danych oraz nadania nowego.

8 Blackhole: Lider oprogramowania malware - na podstawie badań SophosLabs Szczegółowe badanie Blackhole pokazuje jak bardzo wyrafinowani stali się twórcy malware. Blackhole jest aktualnie najpopularniejszym frameworkiem - zestawem do pokonywania zabezpieczeń. Jest niezwykle elastyczny pod względem technicznym, a jego model biznesowy mógłby być użyty jako przykład w Harvard Business School MBA. Niestety, unieszkodliwienie go przez służby, dostawców oprogramowania bezpieczeństwa czy organizacje IT zajmie lata. Framework - zestaw do pokonywania zabezpieczeń ( exploitkit ) to zestaw programów instalowanych na serwerze Web, umożliwiających instalację oprogramowania wirusowego w systemie użytkownika bez jego wiedzy. Poprzez identyfikację oraz posiadanie oprogramowania do wykorzystywania wielu luk, aplikacja dobiera odpowiedni atak do odwiedzającego. Jest to moment, w którym, poprzez różne luki w funkcjonalnościach, jak np. automatyczne pobieranie plików PDF czy przeglądanie plików różnego typu w przeglądarce, na komputerze odwiedzającego instalowane jest złośliwe oprogramowanie. Identycznie jak w przypadku innych dostawców tego typu aplikacji, Blackhole potrafi instalować dowolne aplikacje na komputerze odwiedzających, włączając w to fałszywe antywirusy, klientów DDoS, malware Zeus czy rootkit ZeroAccess. Blackhole potrafi atakować Windows, OS X oraz Linux.

9 Pomiędzy wrześniem 2011, a marcem 2012 blisko 30% zagrożeń wykrytych przez SophosLabs pochodziło bezpośrednio od Blackhole lub zostało przekierowanych do Blackhole ze skompromitowanych stron. Blackhole jest tak popularny nie tylko ze względu na swoją skuteczność, ale również dlatego, że korzysta z modelu biznesowego Oprogramowanie jako Usługa (Software-as-a-Service), podobnego do modelu biznesowego chmur. Istnieje możliwość wynajęcia aplikacji na np. tydzień, jak również wynajęcie dodatkowych domen. Podobnie jak w przypadku klasycznego oprogramowania, aktualizacje są darmowe dopóki trwa licencja. Klienci, którzy chcą uruchomić własny serwer Blackhole, mogą wykupić dłuższą licencję. Wersja oprogramowania dostarczana do klientów jest zabezpieczona przed nieautoryzowanym kopiowaniem za pomocą techniki zaciemniania kodu, a jest to tylko jeden ze sposobów kontroli nad oprogramowaniem. Metody te muszą być skuteczne, ponieważ dotychczas w SophosLabs nie widziano jeszcze wersji nie pochodzącej od autorów. Cztery stopnie cyklu życia Blackhole 1. Wysyłanie użytkowników do strony Blackhole Atakujący, którzy włamują się na legalnie działającą stronę internetową, dodają złośliwy kod do kodu źródłowego strony (najczęściej jako wtyczka JavaScript). Kiedy użytkownik wejdzie na zainfekowaną stronę, złośliwy kod jest automatycznie pobierany z serwerów Blackhole. Strony, na których znajduje się serwer Blackhole często się zmieniają, korzystając z popularnych usług dynamicznego DNS, np. ddns., 1dumb.com, czy dlinkddns.com. Te strony potrafią być otwarte tylko kilka godzin i zniknąć tego samego dnia. Zdolność Blackhole do tak szybkiego przekierowywania ruchu świadczy o dobrze zaprojektowanym silniku kontroli. Blackhole stosuje kilka sposobów, aby generować ruch od użytkowników. Widziano np. wolontariuszy dodających kod Blackhole w projektach opensource, prawdopodobnie nie zdając sobie sprawy z tego co robią. Widziano również spam w starym stylu, nakłaniający użytkownika do kliknięcia w link, np. poprzez fałszywe informacje o problemach z kontem bankowym, czy prośbą o przeglądnięcie załącznika w ważnej sprawie.

10 2. Ładowanie kodu Blackhole ze strony Po tym jak przeglądarka załaduje zestaw złośliwych aplikacji z serwera BlackHole, następuje rozpoczęcie ataku. Złośliwy kod, najczęściej w JavaScript, w pierwszej kolejności określa w jaki sposób trafiono do serwera Blackhole, aby na tej podstawie móc pobrać opłatę. Następnie złośliwy kod profiluje użytkownika, na podstawie systemu operacyjnego, przeglądarki oraz zainstalowanych pluginów Flash, PDF, Java i innych. Mimo, że Blackhole pozwala na przeprowadzanie wielu różnych ataków, najpopularniejszym z nich jest atak na silnik Java. Blackhole stara się wykorzystać wszystkie możliwe sposoby na infekcję, np. ładuje swój kod poprzez Java Open Business Engine, który jest wykorzystywany na wielu różnych stronach i w wielu systemach, włączając w to np. stronę prezydenta USA daily Terrorist Threat Matrix raport. 3. Dostarczanie ładunku Po zaatakowaniu i i skompromitowaniu stacji, Blackhole dostarcza odpowiedni ładunek ( payload ). Ładunek jest poliformiczny, zmieniany po każdej infekcji, co ma za zadanie utrudnić wykrycie. Twórcy Blackhole agresywnie atakują systemy, dbając o częstą zmianę kodu oraz wysoki stopień zaciemnienia. Wszystkie aktualizacje są dostarczane bardzo szybko, nawet w porównaniu do innych rozwiązań tego typu. Dodatkowo wszystkie aplikacje instalowane przez Blackhole są szyfrowane, a za dodatkową opłatą można wykupić usługę cyklicznie testującą aktualnie posiadany przez ofiarę program antywirusowy, celem infekcji w chwili znalezienia luki. 4. Statystyki, nauka, rozwój Blackhole cały czas sprawdza, które ataki zakończyły się powodzeniem oraz w jakich dokładnie warunkach to się odbyło (przeglądarka, system operacyjny, zainstalowane dodatki etc). Na tej podstawie twórcy Blackhole są w stanie ocenić skuteczność danych rozwiązań. Ta technika nie jest nowa, ale w tym przypadku twórcy dbają o ciągłą, maksymalną skuteczność swojego rozwiązania. Blackhole jest bardzo skuteczny w wykorzystywaniu luk 0-day, np. w sierpniu 2012 roku, wykorzystywał dopiero co odkrytą dziurę w usłudze Microsoft Help and Support Center. Włączenie ładunku przeciwko Java 7 (CVE ) do swojego repozytorium, zajęło Blackhole około 12 godzin od pojawieniu się publicznie kodu PoC. Dla kontrastu, Oracle dostarczyło łatę pod koniec sierpnia, ale nawet do dnia dzisiejszego wiele systemów pozostaje niezaktualizowanych. Na tym poziomie profesjonalizmu, SophosLabs był zaskoczony, że mimo wszystko pewne części ich kodu pozostają niezmienione, jak np. ścieżki URl, nazwy plików czy struktura ciągów zapytań. Niestety Sophos spodziewa się, że te niedoskonałości zostaną szybko poprawione i Blackhole stanie się jeszcze bardziej niebezpiecznym narzędziem.

11 Co robimy w sprawie Blackhole i jak użytkownicy mogą nam pomóc W SophosLabs monitorujemy Blackhole 24/7, by być pewnym, że nasza generyczna ochrona oraz filtry reputacji działają prawidłowo w tym zmiennym środowisku. Gdy tylko Blackhole uczy walczyć się z nimi, natychmiast reagujemy dostarczając aktualizacje dla naszych klientów. Niezależnie od tego rozwijamy nasze techniki wykrywania zagrożeń, aby chronić naszych klientów przed polimorficznymi atakami, nie tylko Blackhole. Najlepszą ochroną jest ochrona na wielu płaszczyznach. Co można zrobić aby się chronić? 1. Szybka aktualizacja systemów operacyjnych oraz aplikacji jest zawsze bezwzględnie wymagana. Najlepiej w pełni zautomatyzować ten proces. 2. Aby zmniejszyć możliwości ataku, dobrze jest wyłączyć na wrażliwych systemach Java oraz Flash, jeśli nie są wymagane do pracy. 3. Blokować zainfekowane strony za pomocą kombinacji filtrów reputacji oraz silników przeszukiwania treści. 4. Redukować ataki socjotechniczne oraz zwalczać spam za pomocą rozwiązań antyspamowych, oraz bardziej edukować użytkowników 5. Jeżeli aktualne rozwiązanie antywirusowe ma funkcjonalność HIPS (host intrusion prevention system), korzystać z niej.

12 Ataki na Java osiągnęły masę krytyczną To był ciężki rok dla silnika Java w przeglądarkach internetowych. Nowe luki pojawiające się w dużej ilości sprawiły, że wiele firm wyłącza i deinstaluje ją, gdzie to tylko możliwe. W kwietniu, ponad użytkowników MAC odkryło, że są częścią globalnego botnetu Flashback, ponieważ Java nie została zaktualizowana przed długi czas dla użytkowników MAC OS X. Po tym jak Apple zaczęło dostarczać narzędzie do usuwania Javy, Oracle obiecało wziąć na siebie bezpośrednią odpowiedzialność za dostarczanie poprawek dla OS X w tym samym czasie co dla systemów Windows. Niedługo po tym deweloperzy Java mieli okazję do wykazania się. Kilka dni później, pojawiła się nowa luka dla Java 7, występująca we wszystkich systemach operacyjnych. Została ona szybko włączona do frameworków malware, takich jak np. Blackhole. Zainicjowano nawet kampanie spam, która ją wykorzystywała. Według jednej z dogłębnych analiz, złośliwe oprogramowanie za jej pomocą mogło uzyskać dostęp nawet do funkcji managera bezpieczeństwa Java. Zgodnie z obietnicą, Oracle udostępniło łatę szybciej niż większość obserwatorów się tego spodziewała. Kilka tygodni później, badacze bezpieczeństwa znaleźli kolejną lukę umożliwiającą wydostanie się z bezpiecznej strefy aplikacji ( sandbox ) - tym razem luka występowała nie tylko w Java 7, ale również w Java 5 oraz Java 6, na wszystkich przeglądarkach. Szacuje się, że miliard urządzeń został narażony na atak.

13 Wielu użytkowników ma małe potrzeby korzystania z apletów Java lub nie ma ich wcale. JavaScript oraz inne techniki przejęły większość zastosowań apletów. Jeżeli korzystanie z apletów nie jest wymagane do pracy, Sophos zaleca wyłączenie ich w przeglądarce. Na stronie internetowej Sophos, można znaleźć informację, jak można to zrobić dla przeglądarek Internet Explorer, Firefox, Google Chrome, Safari, oraz Opera. Jeżeli aplety Java są wymagane do pracy, dobrze jest rozważyć instalację drugiej przeglądarki, wykorzystywanej tylko do stron z apletami. Nie tylko Java jest dodatkiem do przeglądarki, który może powodować problemy. W przeszłości Flash od Adobe również był celem wysokiego priorytetu dla cyberkryminalistów. Na szczęście, potrzeba posiadania Flasha zanika, a jego miejsce coraz częściej zajmuje HTML5, umożliwiający odtwarzanie filmów i muzyki na stronach. Duże firmy nadal umożliwiają stosowanie słabych haseł Luki zabezpieczeń w postaci słabych haseł powinny być rzadkością. Dobrze znane i łatwe do zastosowania techniki generowania oraz przechowywania silnych haseł powinny być podstawą polityki bezpieczeństwa, zwłaszcza w firmach. Niestety w 2012 roku widzieliśmy wiele wycieków haseł, pochodzących z dużych organizacji. Rosyjscy cyberkryminaliści udostępnili około 6.5 miliona haseł serwisu LinkedIn w internecie. Hackerzy rozpoczęli ich łamanie i odszyfrowali ponad 60% z nich w ciągu kilku dni. Zadanie było prostsze, ponieważ LinkedIn nie skorzystał z solenia ( salt ) haseł losowymi danymi przed ich zapisaniem. Randkowy portal eharmony w niedługim czasie poinformował o nielegalnym pozyskaniu 1.5 miliona haseł ze swojej bazy. Dostęp uzyskano tą samą drogą co do LinkedIn. Formspring odkrył, że haseł swoich użytkowników jest dostępnych online i wymusił zmianę haseł od wszystkich swoich 28 milionów użytkowników. Yahoo Voices przyznał się do utraty haseł. Firma Philips została zaatakowana przez grupę r00tbeer. W wyniku ich działalności utracono tysiące danych osobowych. IEEE, największa na świecie organizacja skupiająca profesjonalistów w dziedzinie nowych technologii, udostępniła pliki logów z ponad 400 milionami zapytań Web. Znaleziono w nich unikatowych użytkowników wraz z hasłami zapisanymi czystym tekstem

14 Czego można nauczyć się z przypadków utraty danych? Rady dla użytkowników: używanie silnych haseł - oraz korzystanie z różnych haseł dla różnych witryn korzystanie z oprogramowania do zarządzania hasłami, jak np. 1Password, KeePass czy LastPass - niektóre z nich są w stanie wygenerować silne hasła Rady dla administratorów: nie przechowywać haseł w czystym tekście korzystać z losowo dobieranego współczynnika salt przed operacją szyfrowania hasła nie tylko korzystać ze współczynnika salt, ale wielokrotnie szyfrować te same dane, aby zwiększyć złożoność - korzystać ze sprawdzonych algorytmów, jak np. bcrypt, scrypt czy PBKDF2 często sprawdzać administrowane witryny w poszukiwaniu błędów. chronić bazy danych, serwery i sieć za pomocą wielowarstwowej ochrony.

15 Android: Najpopularniejszy cel ataków Ponad 100 milionów urządzeń z Androidem pojawiło się w drugiej połowie 2012 roku na rynku. W USA, we wrześniu 2012, ankieta dotycząca systemów operacyjnych na urządzeniach mobilnych wykazała, iż Android jest wykorzystywany na około 52.2% urządzeniach. Taka ilość urządzeń jest kusząca dla twórców złośliwego oprogramowania, na co wskazują statystyki ataków na ten system, obrazując gwałtowną tendencję wzrostową wykrytych zagrożeń. Jak poważne są ataki? Co użytkownicy i administratorzy powinni wiedzieć? Jakie kroki powinny podjąć działy IT, aby zapewnić bezpieczeństwo swoim klientom?

16 Łatwe, ale przynoszące zysk: fałszywe oprogramowanie i nieautoryzowane wiadomości SMS Aktualnie najpopularniejszym sposobem działania złośliwych aplikacji w systemie Android jest niezauważona instalacja i wysyłanie wiadomości SMS na kosztowne numery Premium. Zaobserwowane wersje oprogramowania tego typu, były instalowane wraz z Angry Birds Space, Instagram, oraz wraz z fałszywym oprogramowaniem antywirusowym. W maju 2012 roku, jeden z operatorów mobilnych w Wielkiej Brytanii odkrył, że 1391 użytkowników jego sieci jest zainfekowanych tego typu oprogramowaniem. Firma anulowała rachunki oraz zwróciła pobrane kwoty swoim abonentom. Jednakże użytkownicy z Wielkiej Brytanii stanowią tylko 10% z zaobserwowanych, zainfekowanych smartfonow - infekcje odnaleziono również w 18 innych krajach. Aktualnie jedna z rodzin złośliwego oprogramowania, Andr/Boxer, odpowiedzialna za największą ilość infekcji (około ⅓ ), jest połączona z domeną.ru, której serwer znajduje się na Ukrainie. Aplikacja wyświetla komunikaty w języku rosyjskim oraz atakuje użytkowników, którzy zdecydowali się odwiedzić stronę reklamowaną przez atrakcyjną kobietę. Po kliknięciu na link, pojawiał się losowo dobrany monit o pobranie i zainstalowanie aplikacji, np. aktualizacji do Opera czy Skype. W niektórych przypadkach uruchamiał się fałszywy antywirus, który wykrywał zagrożenia i zachęcał do instalacji antywirusa. Po instalacji, złośliwe oprogramowanie rozpoczęło wysyłanie płatnych wiadomości SMS. Wiele z tych trojanów zainstalowało się z prawami do późniejszej instalacji oprogramowania, co oznacza, że mogą one pobierać aktualizacje w przyszłości.

17 Dołączenie do botnetu Dotychczas większość zagrożeń dla Android była stosunkowo niegroźna. Niektóre z aplikacji próbowały ukryć się za pomocą prymitywnych metod polimorfizmu, polegającego na linkowaniu się z losowymi obrazkami, celem zmiany sumy kontrolnej, aby uniknąć wykrycia. Czołowe firmy antywirusowe nauczyły się radzenia z tą metodą wiele lat temu. Niestety, twórcy tego typu oprogramowania robią postępy. Za przykład może posłużyć malware sklasyfikowane jako Andr/KongFu-L, infekujące aplikację Angry Birds Space. Ta wersja aplikacji jest dostępna jedynie w nieoficjalnych marketach z aplikacjami i jest dużo bardziej wyrafinowana. Wykorzystuje lukę znaną w GingerBreak, aby uzyskać dostęp do systemu root, gdzie może instalować złośliwe oprogramowanie, komunikować się ze zdalnym serwerem, pobierać i instalować dodatkowe aplikacje. Sprawne wykorzystanie tej luki może zapobiec wykryciu aplikacji oraz włączyć telefon do globalnego botnetu. Złośliwe aplikacje zachowują się w ten sposób, ponieważ ich celem jest przechwycenie wiadomości SMS autentykujących transakcje bankowe. Wiele instytucji bankowych wysyła kody TAN do każdej transakcji bankowej za pomocą SMS. Oznacza to, że samo zdobycie hasła i loginu do konta bankowego nie jest wystarczające, aby uzyskać dostęp do pieniędzy. Jednakże z malware tego typu, jak np. Andr/Zitmo, staje się to możliwe. Można rozważyć hipotetyczny scenariusz, w którym za pomocą konwencjonalnego ataku phishing, atakujący uzyskuje wszystkie niezbędne dane do konta bankowego wraz z numerem telefonu, pod który się podszywa (sytuacje tego typu zdarzały się). Atakujący posiada wszystkie informacje niezbędne do tego, by wykonać przelew. Przechwytywanie wiadomości oraz dostępu do konta bankowego Jednym z odnotowanych zachowań aplikacje malware w systemach Android jest przechwytywanie wiadomości SMS i przekierowywanie ich na inny numer telefonu lub do serwera. Tego typu zachowania są zagrożeniem zarówno dla zwykłych użytkowników, jak i firm.

18 PUA: nie całkiem malware, ale ryzykowne Warto wspomnieć o istnieniu potencjalnie niechcianych aplikacji (PUA) w systemie Android. Aplikacji tego typu nie można zakwalifikować jako malware, jednakże mają one negatywny wpływ na bezpieczeństwo i mogą powodować problemy. Wiele osób instaluje aplikacje, które są agresywnie reklamowane. Większość z nich umożliwia śledzenie aplikacji oraz lokalizacji, jak również przechwycenie danych kontaktowych. Źródłem zarobku w tym przypadku jest wyświetlanie reklam, również o charakterze erotycznym lub pornograficznym. Wiele firm i organizacji walczy z nimi, ze względu na ryzyko ujawnienia potencjalnie istotnych informacji lub ze względu na wydajność smartfonu oraz pracownika. Przykładem takiej aplikacji może być np. Andr/DrSheep-A. Podobnie jak jej klasyczny odpowiednik Firesheep, aplikacja ta umożliwia przechwytywanie ruchu wifi oraz wyszukiwaniu niezaszyfrowanych cookie, zawierających hashe z popularnych portali, jak np. Facebook czy Twitter. Aplikacja została zaprojektowana w celu testowania sieci, jednak często jest wykorzystywania niezgodnie ze swoim przeznaczeniem. Zagrożenie nie jest marginalne, ponieważ została ona wykryta na 2.6% telefonów, chronionych przez Sophos Mobile Security. Jednym z zadań działów IT w każdej firmie, jest ochrona przed działaniami tego typu. Użytkownicy często zdobywają prawa root na swoich urządzeniach. Nazwa root pochodzi o systemów Unixo-podobnych, takich jak np. Android i oznacza osobę mającą najwyższy stopień uprawnień. Zdobywanie root jest popularne przez użytkowników, ponieważ zwiększa to kontrolę nad urządzeniem i umożliwia usunięcie niechcianych aplikacji, jak np. oprogramowania zainstalowanego przez dostawcę sieci komórkowej. To działanie łamie model bezpieczeństwa obowiązujący w systemach Android, polegający na tym, że żadna aplikacja nie ma prawa dostępu do innych aplikacji. Dla aplikacji malware, telefon w którym te prawa są odblokowane jest łatwiejszym celem i pozwala lepiej się ukryć przed wykryciem. Dla firm stosujących politykę BYOD, telefony odblokowane w ten sposób znacznie zwiększają zagrożenie. Minimalizacja ryzyka W większości firm i organizacji, ryzyko pochodzące z systemów Android nie jest brane pod uwagę jako znaczące. Niestety, trend migracji zagrożeń jest wzrostowy, co jest zauważane nawet przez Google. Często są wydawane poprawki, które zabezpieczają tę platformę przed coraz to nowymi zagrożeniami. Niestety, już dziś istnieje zagrożenie, że malware z systemów Android wystawi firmowe dane na niebezpieczeństwo. Osoby odpowiedzialne za IT w firmie powinny mieć na uwadze zagrożenia pochodzące z urządzeń mobilnych i wdrożyć rozwiązania umożliwiające ochronę systemów Android przed malware czy m.in utratą danych. Sophos sugeruje następujące kroki, umożliwiające zmniejszenie ryzyka (należy pamiętać, że żadne z tych rozwiązań nie powinno działać w izolacji - w idealnym przypadku, wszystkie rady powinny zostać zastosowane): -Rozszerzenie istniejących polityk bezpieczeństwa o urządzenia mobilne -Uniemożliwienie korzystania z urządzeń, które zostały złamane i użytkownik ma prawa root -Należy rozważyć pełne szyfrowanie urządzeń, aby chronić się przed utratą danych. Rozwiązanie powinno wspierać zdalne czyszczenie urządzenia w przypadku kradzieży. Ważne jest również szyfrowanie kart SD, które często zawierają wrażliwe dane -Gdy to możliwe, należy uruchomić automatyczne aktualizacje. Należy pamiętać, aby ustawić je nie tylko dla systemu operacyjnego, ale również dla wszystkich aplikacji znajdujących się na urządzeniu -Wysoce zalecane jest ograniczenie możliwości korzystania ze sklepów z aplikacjami innymi niż Google Play Store. Złośliwe aplikacje znajdują się również w oficjalnym sklepie, ale ryzyko zarażenia się nimi poprzez inne źródła, zwłaszcza te z Europy Wschodniej i Azji jest nieporównywalnie większe.

19 - w przypadku autoryzacji sklepu innego niż Google Play Store, należy limitować dostęp użytkowników do tylko tych aplikacji, które mają pozytywną historię i są rekomendowane - należy zwracać uwagę na to z jakimi uprawnieniami ma działać instalowana aplikacji, np. jeżeli zwykła gra chce uzyskać uprawnienia do wysyłania SMS, powinno to być bardzo wyraźnym ostrzeżeniem. -Ostatecznie, należy rozważyć korzystanie z programu antywirusowego dla systemów Android. Sophos rekomenduje korzystanie z Sophos Mobile Security. Jednakże niezależnie od wyboru, należy sprawdzić czy firma ma doświadczenie oraz jak radzi sobie z wyzwaniami bezpieczeństwa. Wynika to z faktu, iż następuje migracja zagrożeń z tradycyjnych platform, a dostawca oprogramowania powinien wiedzieć, jak sobie z tym poradzić. Drugą ważna kwestią jest globalna infrastruktura, dostępna przez cały czas (24h, 7 dni w tygodniu, 365 dni w roku), umożliwiająca szybkie wykrywanie globalnych zagrożeń i reagowanie na nie. Trzecią rzeczą, na którą należy zwrócić szczególna uwagę jest postrzeganie bezpieczeństwa jako całości działań. W świecie dzisiejszych zagrożeń, rozwiązanie powinno chronić przedsiębiorstwo na wielu płaszczyznach, zaczynając od sieci, a kończąc na każdym, pojedynczym urządzeniu, włączając w to szyfrowanie.

20 Różne platformy i technologie zwiększają możliwości ataku Cyberkryminaliści atakują Windows. Praktycznie każdy korzysta z Windows. Antywirusy bronią systemów Windows. Te czasy dawno minęły. W 2012 roku pojawiło się wiele luk specyficznych dla systemów Windows. Dla przykładu, Windows Sidebar and Gadgets w Windows Vista oraz Windows 7 okazały się podatne na ataki, więc Microsoft szybko zdecydował się na wydanie narzędzia umożliwiającego ich wyłączenie. Windows Sidebar oraz małe programy korzystające z tej usługi (tzw. gadżety) jak np. wiadomości, notowania giełdowe czy prognozy pogody, miały być odpowiedzią na popularną usługę w Mac OS X - Dashboard and Widgets. Jednakże, osoby związane z bezpieczeństwem, Mickey Shkatov oraz Toby Kohlenberg znaleźli i zademonstrowali 36 złośliwych gadżetów oraz odnaleźli luki w już istniejących. W związku z tym zdarzeniem oraz z nowym podejściem do interfejsu użytkownika w Windows 8, Microsoft zrezygnował z tego problematycznego dodatku. Mimo, że większość komputerów pracuje pod kontrolą systemu Windows, dużo więcej aplikacji jest tworzonych dla systemów Web oraz urządzeń mobilnych. Oznacza to, że firmy oraz użytkownicy indywidualni muszą skupić się na bezpieczeństwie mniej tradycyjnych środowisk, takich jak np. Android.

21 Poniższy przykład dobrze obrazuje to, co wydarzyło się w 2012 roku, będąc próbką tego, z czym każdy kto ma do czynienia z bezpieczeństwem IT, będzie musiał sobie radzić - wielopoziomowa ochrona na wielu płaszczyznach, proaktywne wykrywanie zagrożeń oraz ich heterogeniczność. W lutym 2012 roku, hackerzy zidentyfikowali lukę XSS w 25 sklepach na terenie Wielkiej Brytanii, które były zabezpieczone certyfikatami Verisign, Visa oraz MasterCard. Kryminaliści mogą wykorzystać lukę XSS do kradzieży danych autoryzujących, bilingów oraz innych danych. Błąd pojawił się w wyniku źle stworzonego skrypt do filtrowania wyników wyszukiwania użytkownika. Jest to kolejne przypomnienie dla użytkowników, że liczą się nie tylko okna i ikony. Nawet widoczność https w adresie oraz loga Verisign nie oznacza, że strona jest w 100% bezpieczna. Jest to również przypomnienie dla twórców aplikacji internetowych: wszystkie skrypty powinny być aktualne i bezpieczne, ze szczególnym naciskiem na aplikacje pochodzące od innych autorów. Tysiące stron różnych blogów WordPress, zawierały groźne kopie złośliwego oprogramowania BlackHole. W sierpniu 2012 roku, Sophos odkrył kampanię spam infekującą użytkowników tą drogą. Użytkownicy otrzymywali wiadomości z legalnych stron blogów Wordpress, zachęcające do kliknięcia i przejścia na ich strony, gdzie następowała infekcja. Użytkownicy korzystający z domeny WordPress.com nie byli zagrożeni - ich provider regularnie aktualizował swoje systemy. Niektóre ataki wydają się być cykliczne. Mimo że zostały pokonane już dawno, są na tyle proste że są znów wykorzystywane. Na przykład, w 2012 roku, Sophos widział ponowne ataki oprogramowania typu ransomware, które blokowały komputer i żądały opłat za przywrócenie dostępu. Aplikacje tego typu nie są niczym nowym - już w 1989 roku, prymitywne aplikacje ransomware były przenoszone na dyskietkach lub wysyłane pocztą elektroniczną. Udawały one aplikacje wyświetlające informacje o HIV/AIDS, a po instalacji uniemożliwiały dostęp do komputera i nakłaniały do zapłaty 189 dolarów na konto bankowe w Panamie, w zamian za ponowne uzyskanie dostępu. Dzisiaj aplikacje tego typu rozprzestrzeniają się za pomocą dużo bardziej współczesnych metod, takich jak zainfekowane strony czy socjotechniki. Część takich programów blokuje dostęp do komputera i żąda pieniędzy, inne szyfrują dane. W przypadku zaszyfrowania danych, są one niedostępne nawet po podłączeniu dysku do innego komputera. Sytuacja jest porównywalna z fizycznym uszkodzeniem laptopa czy utraty dysku. W większości wykrytych przypadków, dostęp do komputera jest tylko blokowany. Ransomware Reveton zwany także jako Citadel lub Troj/Ransom, ukrywa Pulpit w Windows, blokuje programy i wyświetla logo FBI (lub innej rządowej policji). Pojawia się również informacja, że na dysku znaleziono nielegalne aplikacje i dostęp zostanie przywrócony po zapłaceniu 200 dolarów. Hackerzy zaprezentowali, na razie teoretyczne, ataki przeciwko technologii NFC - opłat zbliżeniowych.

22 Ten atak może być łatwo pokonany poprzez skorzystanie z rozwiązania antywirusowego, posiadającego swój system operacyjny (np. Sophos Bootable Anti-Virus). Program jest uruchamiany z płyty CD (lub dysku USB), a następnie odbywa się skanowanie systemu i usuwanie zagrożeń. Niestety, widziano również aplikacje, które dokonywały pełnego szyfrowania dysku silnymi algorytmami kryptograficznymi. W takim przypadku, powyższe rozwiązanie jest bezużyteczne. Praktycznie każde oprogramowanie ransomware jest wykrywane przez zaktualizowane systemy antywirusowe. Niestety, instalacja oprogramowania antywirusowego po ataku szyfrującym dysk, nie pomoże. Niektóre z tych ataków są odwracalne (Sophos udostępnia bezpłatne narzędzie, które może pomóc), ale działają one jedynie, gdy twórcy aplikacji popełnią błędy. Czasem nic się nie da zrobić, dlatego lepiej zapobiegać niż leczyć.

23 OS X i Mac: Więcej użytkowników, rosnące ryzyko Na podstawie badań SophosLabs Większość twórców złośliwego oprogramowania skupia się na atakach na Windows, uważając, że przynoszą one dużo większe zyski, niż ataki na stosunkowo małą społeczność użytkowników OS X. Jednakże, systemy Mac znajdują coraz więcej zwolenników w biznesie, użytkownikach domowych czy instytucjach publicznych, co zaczyna zwracać uwagę cyberkryminalistów. Analityk Frank Gillette z Forrester Research, na podstawie badań donosi, iż prawie połowa firm (mająca 1000 i więcej pracowników) posiada systemy Mac przynajmniej dla niektórych pracowników oraz planuje w 2012 roku zwiększyć ten odsetek o 52%. Należy również pamiętać, że więcej tego typu urządzeń znajduje się w przedsiębiorstwie, jeśli uwzględni się urządzenia przyniesione przez użytkowników z domu. Rosnący udział Mac w rynku musi zwrócić uwagę osób odpowiedzialnych za bezpieczeństwo IT w firmach.

24 Fałszywe antywirusy i inne znajome strategie: nauki z Windows W 2011 roku widziano szereg ataków na użytkowników Mac, np. zagrożenie zidentyfikowane jako MacDefender. Ten malware, fałszywy antywirus był pierwszym znaczącym zagrożeniem skierowanym przeciwko użytkownikom systemów Mac OS X, rozprzestrzeniającym się poprzez zainfekowane strony Web. MacDefender jest wart wspomnienia, ze względu na to, iż dobrze obrazuje w jaki sposób ataki znane od dawna w systemach Windows, przenikają na inne platformy. Na tej podstawie, administratorzy Mac mogą już dziś spodziewać się nowych, precyzowanych ataków, opierających się na polimorficznym kodzie. Przykładem takich działań, może być np. botnet stworzony przez OSX/Flshplyr, który zainfekował ponad systemów Mac. Flashback początkowo pojawił się jako fałszywy instalator Adobe Flash w 2011 roku. W kwietniu 2012 Flashback rozpoczął atak z wykorzystaniem luki w Java, która pozostała niezabezpieczona dla systemów Mac. Apple zabezpieczył systemy OS X 10.6 oraz 10.7, ale nie poprzednie wersje. Podczas szczytu infekcji, darmowe narzędzie Sophos dla Mac zidentyfikowało to zagrożenie na około 2.1% zeskanowanych systemów. Mimo, że dotychczasową walkę z MacDefender oraz Flashback można uznać za wygraną, pokazują one niebezpieczny precedens, obrazujący w jaką stronę podążają twórcy złośliwego oprogramowania dla Mac.

25 Morcut/Crisis: Bardziej zróżnicowany i potencjalnie bardziej niebezpieczny Fałszywe antywirusy działają zazwyczaj na zasadzie przekonywania użytkowników do podania danych kart kredytowych użytych do zakupu oprogramowania, którego nie potrzebują. Dla dużych firm, aplikacje tego typu nie są priorytetem, jednak w przypadku OSX/Morcut-A (znanym również jako Crisis) ryzyko jest dużo większe. OSX/Morcut-A został odkryty w czerwcu 2012 roku, a jego głównym zadaniem jest pełne monitorowanie systemu: ruchy myszki, komunikatory, Skype, kamera i mikrofon, schowek, wciśnięte klawisze, uruchomione aplikacje, adresy Web, zrzuty ekranu, kalendarze, nawet metadane systemu plików. Morcut pojawił się jako plik Java, (plik z rozszerzeniem JAR), który był rzekomo podpisany certfyfikatem Verisign. Jeżeli Morcut został zainstalowany przez użytkownika, ukrywał się jako moduł do jądra systemu, gdzie rozpoczynał swoje działanie. Jeżeli to zagrożenie się rozprzestrzeni, będzie poważnym zagrożeniem dla firm. Będzie on szczególnie groźny dla pracowników wyższego szczebla, o których zbiera on szczegółowe informacje. W porównaniu do innych, wczesnych zagrożeń dla Mac, ta aplikacja jest dobrze napisana i potrafi się ukryć. Przykładem prostej aplikacji może być OSX/NetWrdRC-A, która jest źle napisana, nie potrafi się dobrze ukryć oraz można ją łatwo usunąć bez dodatkowych aplikacji. Niestety, w przyszłości należy spodziewać się rozwoju aplikacji pierwszego z opisywanych typów.

26 Malware z Windows chowa się w Mac OS X Wiele ze znalezionego malware na Mac OS X jest malwarem pochodzącym z Windows. Tradycyjnie, wielu użytkowników Mac nie ma wystarczającej wiedzy na temat zagrożeń dla swojego systemu, żyjąc w przekonaniu, że to system w 100% bezpieczny. W praktyce oznacza to zwiększoną skłonność do ryzykownych zachowań. Na szczęście administratorzy IT pracują na wielu różnych systemach operacyjnych, więc kwestia bezpieczeństwa jest przez nich postrzegana inaczej. Mimo to należy pamiętać, że nawet partycja Windows w systemie dual-boot na Mac może być zainfekowana, jak również wirtualne systemy Windows uruchamiane w VMware, VirtualBox, czy nawet pod WINE. Użytkownicy Mac, którzy muszą okazjonalnie korzystać z systemów Windows, czasem decydują się na pobranie płyty instalacyjnej z niepewnych źródeł, co może wystawić ich nie tylko na ryzyko posiadania nielegalnej licencji, ale również na infekcję malware. Sophos Anti-Virus w wersji na systemy Mac, znalazł na około 7% przeskanowanych systemów trojana Mal/KeyGen-M, ukrywającego się zazwyczaj w programach do generowania kluczy i seriali do aplikacji. Innym popularnym źródłem malware Windows w systemach Mac są fałszywe aplikacje Windows Media lub programy do oglądania TV. Aplikacje tego typu zawierają automatyczne przekierowania do stron internetowych, gdzie użytkownik jest nakłaniany do pobrania dodatkowych kodeków, będących w rzeczywistości złośliwym oprogramowaniem. Pliki Windows Media generalnie nie działają na Mac, ale użytkownicy Mac często je udostępniają np. na torrentach, aby uzyskać lepsze statystyki ( ratio ), nie zdając sobie sprawy, że biorą udział w infekowaniu użytkowników Windows. Najnowsze ulepszenia OS X w dziedzinie bezpieczeństwa oraz ich limity Mac OS X, bazujący na BSD Unix, ma solidny model bezpieczeństwa. W 2009 roku, przy wydaniu OS X 10.6 Snow Leopard, Apple dodało poprzez LSQuarantine skanowanie malware oraz technologię XProtect. W 2011 roku, technologia XProtect zaczęła być dynamicznie aktualizowaną usługą, z większymi możliwościami niż tylko wykrywanie i usuwanie plików na podstawie sum kontrolnych. W połowie 2012 roku, wraz z OS X 10.8 Mountain Lion, Apple zaprezentowało usługę Gatekeeper, umożliwiającą zarządzanie prawami wykonywanych programów. W domyślnych ustawieniach, wszystkie aplikacje podpisane przez oficjalnych deweloperów Apple, mogą się uruchamiać. Gatekeeper jest znacznym i oczekiwanym usprawnieniem w środowisku Mac, jednakże jest to tylko częściowe rozwiązanie problemu. Indywidualni użytkownicy z prawami administratora mogą zmieniać ustawienia Gatekeeper, a więc umożliwić uruchamianie aplikacji nie podpisanych przez Apple. Użytkownicy lub uruchomione procesy mogą usunąć flagę LSQuarantine z pliku. Niepodpisane programy mogą być autoryzowane i łatwo uruchomione poprzez proste kliknięcie prawym klawiszem oraz wybranie akcji Otwórz. Wersje Mac starsze niż 10.8 nie zawierają usługi Gatekeeper. Ostatecznie, interpretatory Java, Flash oraz OS X Shell są autoryzowane przez Apple. Te aplikacje mogą uruchamiać dowolny kod, bez żadnych potwierdzeń. Java i Flash były głównym wektorem ataku na platformie Mac. Na szczęście, problem powoli przestaje być naglący, ponieważ ostatnie wersje Java zostały zaktualizowane, a Adobe Flash jest zastępowany przez HTML5.

27 Implementacja rozwiązania anty-malware dla Mac Jeżeli Gatekeeper, LSQuarantine i XProtect oferują jedynie częściowe rozwiązanie, to co można zrobić, aby zbudować prawdziwe, pełne, rozwiązanie anty-malware dla systemów Mac? Należy skupić się na kilku komponentach: - Edukacja użytkowników. Użytkownicy pracujący na systemach Mac powinni zdawać sobie sprawę z faktu istnienia niebezpieczeństw dla tych systemów. Co więcej, ilość zagrożeń zwiększy się, gdy tylko Mac zdobędzie większy udział w rynku systemów biznesowych -Ochrona na wielu płaszczyznach. Regularna aktualizacja systemów jest obowiązkiem - tak samo jak w przypadku serwerów, serwerów , bram sieciowych czy infrastruktury sieciowej. Należy również pamiętać o aplikacjach takich jak Wordpress czy Drupal, ponieważ ostatnio były często wykorzystywane przeciwko użytkownikom Mac. Należy również sprawdzić posiadane antywirusy na bramach sieciowych - często nie uwzględniają one wykrywania złośliwych plików dla systemów Mac. -Specyficzna polityka dotycząca Mac. Należy posiadać lub zatrudnić osoby, odpowiedzialne za politykę dla tych systemów. Niektóre ustawienia są specyficzne tylko dla tej platformy, np. ustawienia dla mechanizmu pre-caching dla Safari lub wiadomości network discovery wysyłanych przez usługi Bonjour. Odpowiednia skonfigurowany system dual-boot Mac/Windows może dobrze zabezpieczyć systemy przed atakiem -Silne działy IT, odpowiednie polityki. Wszędzie gdzie to tylko możliwe, należy wprowadzić polityki ITIL. Automatyczne aktualizacje oprogramowania, ze szczególnym naciskiem na wrażliwe aplikacje takie jak Java, Flash. Jeżeli to możliwe, należy kontrolować prawa użytkownika do instalacji nowego oprogramowania. Jeżeli oprogramowanie na Mac jest tworzone wewnątrz firmy, należy zadbać, aby deweloperzy podpisywali swoje aplikacje. Ostatecznie, należy wprowadzić odpowiednie zarządzanie logami. Logi w Mac są tworzone wirtualnie w czasie rzeczywistym, umożliwiając szybkie tworzenie polityk chroniących przed nowymi zagrożeniami. -Realizm. Od kiedy systemy Mac są często wykorzystywane przez kadry zarządzające, które potrzebują pełnego dostępu do swoich systemów, wdrożenie powyższych zasad może nie być możliwe. Należy zaakceptować, że niektóre systemy mogą nie być zaufane, ale niezaufane nie znaczy niezabezpieczone. Należy nadal oferować tym użytkownikom ochronę. Firmy nie mogą również zapominać o kwestii legalności oprogramowania, gdy użytkownik ma możliwość instalacji oprogramowania. Wielu konsultantów do spraw bezpieczeństwa sugeruje, aby traktować wszystkie stacje jako potencjalnie niezaufane.

28 Władze dokonują aresztowań twórców malware oraz wyłączają botnety Specjaliści do spraw bezpieczeństwa, powinni zawsze polegać przede wszystkim na swoich umiejętnościach, aby chronić systemy i użytkowników. Jednak w 2012 roku otrzymali oni więcej pomocy od władz, niż w latach ubiegłych. Za największe zwycięstwo może zostać uznane aresztowanie przez władze USA osób z grupy LulzSec. Zostało to dokonane dzięki jednej z kluczowych osób w tym środowisku, Hectora Xaviera Monsegur ( Sabu ). Jako Sabu, Monsegur pracował dla rządu USA i pomagał w identyfikacji członków LulzSec. W sierpniu 2012 roku, prokuratorzy wystąpili o odroczenie wyroku na okres sześciu miesięcy, ze względu na jego współpracę. LulzSec to nie jedyna operacja wymierzona przez władze w cyberprzestępców. Rok 2012 rozpoczął się ekstradycją do USA obywatela Federacji Rosyjskiej, Vladimira Zdorovenina, podejrzanego o instalacje keyloggerów, kradzieże numerów kart kredytowych, kradzieże tożsamości oraz wyłudzenia.

29 Następnie w maju, kierujący botnetem Bredolab - botnetem, który składał się z 30 milionów maszyn - został skazany na 4 lata więzienia w Armenii. Według prokuratorów, Georg Avanesov zarobił euro w ciągu miesiąca, wynajmując botnet do wysyłania spamu i rozsyłania malware. W szczycie swojego działania, botnet wysyłał 3 miliardy i dziennie, reklamując wakacje na Szeszelach. W czerwcu FBI, po dwóch latrach śledztwa w sprawie kradzieży numerów kart kredytowych, aresztowała 24 osoby z m.in USA, Wielkiej Brytaniii, Bośni, Bułgarii oraz Norwegii. Osoby zamieszane w tę sprawę, to również specjaliści od tworzenia złośliwego oprogramowania dla systemów Apple. FBI uratowało około 205 milionów dolarów przed defraudacją, zidentyfikowało skradzionych kart oraz poinformowało 47 firm i organizacji o tym, że padły ofiarą włamania. Stało się to krótko po tym, jak główne serwery został wyłączony w Panamie oraz Rosji. Botnet Grum odpowiadał za 17% światowego spamu. W kolejnych dniach czerwca policja w Tokio aresztowała sześć osób, w związku z aplikacją na Android, która wykradała dane z systemu. Według policji 9252 osoby pobrały aplikację, a 211 z nich zdecydowało się zapłacić - łącznie ponad dolarów. Na początku lipca, policja z Wielkiej Brytanii (Police Central e- crime Unit (PCeU)) poinformowała o wyroku skazującym dla trzech osób z krajów nadbałtyckich, którzy za pomocą oprogramowania SpyEye wykradali dane do kont bankowych w Anglii, Dani, Holandii oraz Nowej Zelandii. Później w lipcu, duńska policja unieszkodliwiła zapasowy serwer zarządzający botnetem Grum.

30 Wzrost ryzyka precyzyjnych ataków Podczas gdy władze stały się skuteczniejsze w walce z cyberkryminalistami, w 2012 roku odnotowano wzrost sponsorowanych, precyzyjnych cyberataków, jak również prób ataków na strategiczne cele. Obserwując precyzję tych ataków oraz ich profesjonalizm, nie tylko prywatni użytkownicy zostaną wystawieni na nowe ryzyko. Oznacza to, że każda firma oraz organizacja, niezależnie od swojego rozmiaru i profilu, powinna skupić się na swoim bezpieczeństwie oraz zastanowić się, jak może szybciej reagować na zmieniające się środowisko ataków. W świetle tych danych, motywacja oraz skuteczność nowych ataków Flame, upublicznionych w 2012 roku, jest daleka od bycia prostą i zrozumiałą. Należy również wspomnieć o trojanie Shamoon (Troj/Mdrop-ELD), który poczynił znaczne straty w sektorze energetycznym na Bliskim Wschodzie. Według BBC oraz The Register, zainfekowano nim około komputerów, wyłączając całą sieć związaną z sektorem paliw w Arabii Saudyjskiej. Niedługo później, firma RasGas z Kataru, została zaatakowana, jej strona została wyłączona, a komputery zostały zniszczone.

31 W tym roku zaobserwowano również wiele ataków kierowanych przeciwko USA. We wrześniu zeszłego roku, senator Joseph Lieberman stwierdził (bez żadnego dowodu), że ataki DDoS na takie strony jak Bank of America, JPMorgan Chase, Wells Fargo, Citigroup and PNC Bank, zostały dokonane przez Iran jako odpowiedź na wprowadzone sankcje. Według agencji Bloomberg, niezależnie od źródła ataków, infrastruktura sieciowa została wystawiona na profesjonalne ataki, które ujawniły słabe punkty. Natura tych ataków jest specyficzna, bardzo trudno jest namierzyć ich rzeczywiste źródło oraz skutecznie bronić się.

32 Polimorfologiczne i precyzowane ataki: Long tail Oparte na badaniach SophosLabs Zwrot long tail stał się popularnym określeniem sposobu infekcji odbiegającym od znanych standardów - zamiast szerokiej kampanii oraz ogromnej ilości wysłanych informacji, małe, sprecyzowane, ograniczone kampanie. Podobne zasady obowiązują w biznesie, gdzie za większą część sprzedaży często odpowiadają spersonalizowane produkty. Niestety, ta zasada obowiązuje również w świecie malware. 75% malware, które zostało do nas przesłane, było widziane tylko w jednej firmie. Taki poziom polimorfizmu jest niespotykany. Co więcej, atakujący zaczęli tworzyć jeszcze bardziej wyrafinowane ataki, aby ukryć się przed działami IT oraz dostawcami oprogramowania antywirusowego. Ta bitwa ma duży wpływ na IT, więc jest ważne, aby wiedzieć co się dzieje i w jaki sposób Sophos może pomóc się chronić.

33 Polimorfizm: nie nowy, ale bardziej problemowy Polimorfizm nie jest ideą nową - autorzy malware stosują ją od 20 lat. Prosty, polimorficzny kod zmienia się, aby uniknąć detekcji, bez zmian w swoim zachowaniu lub zmiany swoich celów. Jeśli program wygląda choć trochę inaczej, atakujący mają nadzieję, że oprogramowanie antywirusowe nie wykryje go. Czasem złośliwe oprogramowanie próbuje zmusić oprogramowanie antywirusowe do wygenerowania wielu informacji o fałszywych pozytywach, prowadząc do wyłączenia go przez użytkownika. W ataku polimorficznym, kod jest często szyfrowany, a aplikacja zawiera w sobie deszyfrator, uruchamiany po starcie programu. Za każdym razem gdy następuje deszyfrowanie, mechanizm mutacji próbuje zmienić składnię lub/oraz semantykę. Przykładem może być malware dla systemów Windows, który często ma skomplikowaną strukturę wyjątków, utrudniających śledzenie wykonywania się aplikacji po uruchomieniu. Tradycyjne polimorficzne oprogramowanie wirusowe zawiera mechanizm mutracji, wykorzystywany do zmian po replikacji. Sophos oraz inne firmy antywirusowe, starają się dostosować do zmieniających się warunków - jeżeli uda się uzyskać dostęp do mechanizmu mutacji danego zagrożenia, można łatwiej przewidzieć jak będą wyglądały przyszłe wersje. Dziś atakujący szybko reagują na zmiany, poprzez korzystania z serwera replikacji (SSP). Teraz mechamizm mutacji znajduje się na odległym serwerze, który może modyfikować kod w locie. Korzystający z tej usługi nie znają algorytmu zmian, widzą tylko efekt końcowy. Firmy antywirusowe bronią się przed tymi atakami, generując wiele różnych kodów wynikowych oraz próbując odgadnąć mechanizm. Walka z polimorfizmem po stronie serwera W Sophos, korzystamy z analogii do genetyki, aby być lepiej przygotowanym do ataków SSP oraz innych. Behawioralny genetyczny silnik Sophos, wykrywa zagrożenie poprzez ekstrakcje głównych mechanizmów aplikacji, nazywanych genami. Każdy z nich jest oceniany w wewnętrznej skali, a suma wskazuje czy aplikacja jest złośliwa czy nie. Taki sposób działania jest bardzo elastyczny i może zostać szybko rozbudowany. Sophos zawsze może dodać lub modyfikować już znane geny, lub dodawać takie, które dopiero się pojawią, a zostały już wcześniej wygenerowane na podstawie silnika mutacji. Autorzy malware często wprowadzają zmiany, które nie mają żadnego znaczenia dla zadań i działań, ale które utrudniają wykrywanie. Poprzez proaktywne dostosowywanie genetycznego profilu, można dużo łatwiej się bronić. Zmiany, które pojawiły się wraz z serwerami SSP, znacznie przyspieszyły tempo pojawiania się nowych wersji aplikacji. Autorzy malware zawsze starają się zgadnąć, która część kodu została zidentyfikowana i sklasyfikowana jako złośliwa. Taki kawałek kodu, może zostać zmieniony w ciągu kilku godzin. Naturalnie, Sophos reaguje również na takie działania. SSP został stworzony z myślą o systemach Windows - jest wykorzystywany głównie do plików wykonywalnych systemu Windows oraz kodu JavaScript. W 2012 roku widziano go pierwszy raz dla systemów Android, a pojawienie się wersji dla Mac OS X jest tylko kwestią czasu. W frameworku Blackhole, SSP jest silnie wykorzystywany, a w połączeniu z innymi technikami, staje się szczególnie niebezpieczny.

34 Precyzyjne ataki: nastawione na cel, szybkie, szczególnie niebezpieczne Jak w większości przypadków SSP, Blackhole próbuje dostarczyć swoje złośliwe aplikacje w dużej ilości i możliwie precyzyjnie. Jednakże równie często się zdarza, że ataki są dużo bardziej precyzyjne. Autorzy malware precyzują swój kod, atakując tylko kilka, szczególnie wyselekcjonowanych firm. W tym przypadku e zachęcające do kliknięcia w załącznik są specjalnie przygotowane, dostosowane do konkretnej firmy. Każdy taki atak jest przygotowywany po dokonaniu rekonesansu. Przykładem takiego działania może być dyrektor finansowy przykładowej firmy. Atakujący może wysłać do niego , z prezentacja w załączniku zawierającą rzekomo kwartalne wyniki finansowe, która jest zainfekowana. Po otwarciu załącznika, pracownik jest infekowany, a atakujący ma dostęp do np. kont bankowych firmy. Celem atakujących są często małe firmy, nie mające silnego zaplecza IT. Jeśli malware jest rozsyłany na małą skalę, może się zdarzyć, że nie jest znany przez systemy antywirusowe i może zostać zainstalowany bez alarmów z ich strony. Jest to kolejna duża zaleta systemów antywirusowych z rodziny Sophos - ochrona klienta końcowego to nie tylko baza znanych zagrożeń, ale również wiele technik proaktywnego wykrywania zagrożeń, które działają również wtedy, gdy malware nie figuruje w bazach sygnatur. Atakujący próbują również infekować strony Web, odwiedzane przez klientów danej firmy. Ochrona przed SSP Działy IT w firmach powinny dobrze przygotować się na zagrożenia typu SSP oraz ściśle profilowane ataki. Przede wszystkim należy wdrożyć ochronę na wielu płaszczyznach, np. botnet ZeroAcess może zostać wykryty po tym w jaki sposób kontaktuje się z twórcą botnetu. Wykrycie tej komunikacji na firewallu oznacza, że komputery w sieci zostały skompromitowane. Wdrożone reguły bezpieczeństwa powinny na podstawie statycznej oraz dynamicznej analizy wykrywać złośliwe oprogramowanie, np. podejrzane treści (np. nietypowe szyfrowanie) skanowane po raz pierwszy mogą zostać później przypisane do nietypowych aktywności (np. nagłe połączenia internetowe do nietypowych hostów). Dobre oprogramowanie powinno być w stanie zidentyfikować i zaklasyfikować takie działanie. Specjaliści IT powinni również zwrócić uwagę na legalne, prawidłowe aplikacje służące do administrowania komputerami. Te aplikacje nie zostaną wykryte jako złośliwe, ale mogą być równie niebezpieczne co malware w rękach cyberprzestępców. Efektywność pracowników może zostać podniesiona, jeśli firma korzysta z oprogramowania do kontrolowania uruchomionych aplikacji. Ostatnim, najważniejszym krokiem, jest zmniejszanie możliwości ataku - dobry firewall, skuteczna polityka, dobre oprogramowanie antywirusowe. Regularne aktualizacje posiadanego oprogramowania, powinny być najwyższym priorytetem w każdej polityce bezpieczeństwa. Małe firmy, poza instalacją oprogramowania antywirusowego, mogą się bronić przed atakiem wydzielając dodatkowy komputer, przeznaczony tylko do operacji finansowych taki, na którym nie będzie przeglądana sieć Web.

35 Kompletne bezpieczeństwo Aby chronić się przed zagrożeniami, być zawsze bezpiecznym, odpowiednio zarządzać użytkownikami i odciążyć działy IT - potrzebna jest strategia bezpieczeństwa, która pokrywa wszystkie te obszary: zmniejszyć obszar infekcji - aktywnie chronić wszystkie posiadane zasoby IT - strony Web, komputery stacjonarne, urządzenia mobilne, aplikacje w chmurze i inne zatrzymać ataki - korzystać z rozwiązań potrafiących samodzielnie zidentyfikować zagrożenie, nawet bez aktualizacji sygnatur wirusów pozwolić ludziom pracować - korzystać z rozwiązań ułatwiających codzienne zadania administracyjne, posiadających dobrą dokumentację i pomoc techniczną, aby dział IT mógł się skupić na innych zadaniach

36 Poznaj dwie ścieżki do osiągnięcia pełni bezpieczeństwa z Sophos Sophos UTM Zintegrowane, pełne środowisko do zapewnienia bezpieczeństwa, znajdujące się w jednym urządzeniu. Sophos UTM pasuje do każdego biznesu i można go łatwo dostosować: korzystając z oprogramowania, sprzętu lub wirtualizacji. Urządzenie dostarcza pełną ochronę, niezależnie czy rozmawiamy o 10 czy 5000 użytkowników. Sophos EndUser Protection Pełna ochrona wszystkich urządzeń: od serwerów i sieci, przez stacje końcowe, do urządzeń mobilnych - wszystko od jednego dostawcy w ramach licencji. Rozwiązanie proste w zarządzaniu, kompatybilne ze sobą, od dostawcy, któremu można zaufać. Endpoint Ochrona stacji końcowych będzie trzymać zagrożenia na odległość. Szyfrowanie Pełne zabezpieczenie poufnych danych przed dostępem osób niepowołanych, zgodnie z najwyższymi standardami. Mobilność Pełna ochrona wszystkich urządzeń mobilnych. UTM Jedno urządzenie, które w pełni chroni sieć, eliminując problemy administracyjne z wieloma rozwiązaniami. Sieć Bezpieczna sieć, niezależnie od stopnia skomplikowania Ochrona przed spamem, szyfrowanie wiadomości, ochrona przed utratą danych. Web Pewność, że korzystanie z sieci Web jest bezpieczne.