Raport Bezpieczeństwa IT 2013

Transkrypt

1 Raport Bezpieczeństwa IT 2013 Nowe platformy i zmieniające się zagrożenia

2 Spis treści Słowo wstępne... 1 Rok 2012 w skrócie: Nowe platformy i zmieniające się zagrożenia... 2 Ataki powiązane z Facebook oraz innymi platformami społecznościowymi Rosnące ryzyko ze strony chmur obliczeniowych... 4 Blackhole: Lider oprogramowania malware Cztery stopnie cyklu życia Blackhole... 7 Co robimy w sprawie Blackhole i jak użytkownicy mogą nam pomóc Ataki na Java osiągnęły masę krytyczną...10 Czego można nauczyć się z przypadków utraty danych? Android: Najpopularniejszy cel ataków Łatwe, ale przynoszące zysk: fałszywe oprogramowanie i nieautoryzowane wiadomości SMS Grafiki Ankieta Naked Security Blackhole Kraje hostujące Blackhole Ankieta: Spam na smartfonach Ankieta: Czynniki wpływające na wybór aplikacji dla Android Ankieta: Przeglądarka internetowa. 19 Charakterystyka malware dla MAC OS X w wybranym przedziale czasowym krajów, z których pochodzi najwięcej spamu Źródła spamu według kontynentów Wskaźnik narażenia na zagrożenia w Android (TER) Dołączenie do botnetu Przechwytywanie wiadomości oraz dostępu do konta bankowego PUA: nie całkiem malware, ale ryzykowne Minimalizacja ryzyka Różne platformy i technologie zwiększają możliwości ataku. 18 Ransomware wraca ponownie OS X i Mac: Więcej użytkowników, rosnące ryzyko Fałszywe antywirusy i inne znajome strategie: wiedza zaczerpnięta z Windows Morcut/Crisis: Bardziej zróżnicowany i potencjalnie bardziej niebezpieczny Malware z Windows chowa się w Mac OS X Najnowsze ulepszenia OS X w dziedzinie bezpieczeństwa oraz ich limity Raport Bezpieczeństwa IT 2013

3 Władze dokonują aresztowań twórców malware oraz wyłączają botnety Wzrost ryzyka precyzyjnych ataków...28 Polimorficzne i ukierunkowane ataki: Long tail...30 Polimorfizm: nie nowy, ale bardziej problematyczny Walka z polimorfizmem po stronie serwera Precyzyjne ataki: nastawione na cel, szybkie, szczególnie niebezpieczne Ochrona przed SSP Pełne bezpieczeństwo Dwie drogi do osiągnięcia pełni bezpieczeństwa z Sophos Czego oczekiwać w Słowo końcowe Źródła...38 Adware Adware to oprogramowanie, które wyświetla reklamy w komputerze. Raport Bezpieczeństwa IT 2013

4 Raport Bezpieczeństwa IT 2013

5 Słowo wstępne Nawiązując do bardzo pracowitego roku pod względem bezpieczeństwa sieciowego, chciałbym podkreślić kilka trendów zaobserwowanych w 2012 roku. Bez cienia wątpliwości rosnąca mobilność danych w przedsiębiorstwach jest jednym z największych wyzwań, z którymi zmagaliśmy się w zeszłym roku. Użytkownicy w pełni wykorzystują wszechobecną dostępność danych z każdego miejsca. Gwałtowny wzrost użytkowania prywatnych urządzeń w firmach (bring your own device - BYOD) oraz wykorzystanie chmur danych powodują nowe zagrożenia w polityce bezpieczeństwa firmy. Innym zaobserwowanym trendem jest ewolucja urządzeń końcowych, zmieniająca tradycyjne homogeniczne środowisko systemów Windows w sieci z wieloma systemami operacyjnymi. Współczesne złośliwe oprogramowanie jest efektywne w atakowaniu nowych platform, ze szczególnym naciskiem na urządzenia mobilne. Podczas gdy jeszcze kilka lat temu zagrożenia dla systemu Android były tylko przykładami widzianymi w laboratoriach, dziś stały się poważnym problemem. Trend przynoszenia swoich urządzeń do firmy przez użytkowników jest coraz większym zagrożeniem dla naszych klientów. Pracownicy są zainteresowani korzystaniem ze swoich smartfonów, tabletów czy notebooków nowej generacji w firmowych sieciach. Dla działów IT oznacza to coraz więcej zapytań o bezpieczeństwo danych na urządzeniach, nad którymi nie mają kontroli. Ideą BYOD (bring your own device) może być sytuacja win-win zarówno dla pracownika, jak i pracodawcy, jednakże wyzwania stojące pomiędzy dostępnością danych prywatnych wymieszanych z firmowymi mogą okazać się zbyt wielkie. Kwestie dotyczące tego, kto jest właścicielem danych, kto zarządza urządzeniem oraz kto odpowiada za bezpieczeństwo znajdujących się tam danych pozostają często otwarte. Ostatecznie sieć Web pozostaje zdecydowanym źródłem dystrybucji złośliwego oprogramowania - w szczególności wykorzystywana jest socjotechnika lub ataki precyzyjne na przeglądarki bądź aplikacje. Przykładem może być framework o nazwie Blackhole będący zbiorem złośliwego oprogramowania wykorzystującym najmniejsze z luk bezpieczeństwa, jak również braki w aktualizacjach. Od dawna znanym trendem w dziedzinie przełamywania zabezpieczeń jest skupianie się na najsłabszym ogniwie w polityce bezpieczeństwa, a gdy to stanie się mało efektywne poszukiwanie kolejnych potencjalnych luk. Przykładem takiego działania może być rewolucja BYOD oraz chmury obliczeniowe. Ochrona danych w środowisku, gdzie systemy często się zmieniają, a informacje mogą być dowolnie wymieniane, wymaga skoordynowanego systemu, który potrafi jednocześnie ochraniać stacje końcowe, bramy sieciowe, urządzenia mobilne oraz dane w chmurach obliczeniowych. Bezpieczeństwo IT ewoluuje z podejścia skupionego na urządzeniach na podejście skupione na użytkowniku, wraz ze wszystkimi konsekwencjami tej zmiany. Oznacza to, że nowoczesne rozwiązania muszą skupiać się jednocześnie na wielu płaszczyznach, włączając w to wymuszenia stosowania polityki, szyfrowanie danych, bezpieczny dostęp do korporacyjnej sieci, produktywność, filtrowanie treści, zarządzanie bezpieczeństwem oraz aktualizacjami, jak również ochronę przed malware. Z poważaniem, Gerhard Eschelbeck CTO, Sophos Raport Bezpieczeństwa IT

6 Rok 2012 w skrócie: Nowe platformy i zmieniające się zagrożenia W 2012 roku zaobserwowaliśmy wzmożone ataki na nowe platformy, od popularnych sieci społecznościowych przez chmury obliczeniowe do urządzeń mobilnych z systemem Android. Odpowiedzi cyberkryminalistów na nowe sposoby ochrony były szybsze, a wykorzystywanie luk 0-day było bardziej efektywne. W latach ubiegłych autorzy malware próbowali wdrożyć nowy model biznesowy wraz z nowymi sposobami tworzenia oprogramowania, aby rozwijać coraz groźniejsze ataki. Przykładem mogą być twórcy Blackhole - nielegalnego zestawu malware dostarczanego w postaci oprogramowania jako usługi (model SaaS). Musieli oni uznać wyższość firm antywirusowych, które pokrzyżowały im plany, jednak obiecali powrót do gry w 2012 roku i wydanie nowej wersji. Nieskoordynowane grupy cyberkryminalistów najwidoczniej dołączyły do zorganizowanych grup, przygotowujących zaawansowane ataki na strategiczne cele. W 2012 pojawiły się raporty mówiące o atakach złośliwego oprogramowania na sektor energetyczny na Bliskim Wschodzie, skoordynowanym ataku DDoS na globalne banki oraz precyzyjnych atakach na kluczowe instytucje. Bardziej tradycyjni twórcy złośliwego oprogramowania kontynuowali ataki na nieprawidłowo skonfigurowane serwery Web lub bazy danych, po raz kolejny udowadniając niefrasobliwym administratorom, jak ważna jest polityka bezpieczeństwa oraz regularne instalowanie aktualizacji. W międzyczasie użytkownicy musieli zmagać się z żądaniami zwrotu fałszywej nadpłaty czy atakami socjotechniki takiej jak: fałszywe oprogramowanie antywirusowe czy wpłata okupu za odszyfrowanie danych zaszyfrowanych przez złośliwe oprogramowanie. W 2012 roku zauważono również pozytywne tendencje. Jedną z nich jest wzrost świadomości administratorów IT w kwestii zapewnienia ochrony na wielu poziomach. Wiele firm rozpoczęło tworzenie polityk dla smartfonów oraz tabletów, jak również zwróciło uwagę na szybsze aktualizacje oraz potrzebę redukcji korzystania z takich aplikacji jak Java czy Flash, zapewniając sobie większą ochronę. Należy również wspomnieć o bardziej zdecydowanym działaniu władz państwowych, prowadzącym m.in. do postawienia zarzutów rosyjskim kryminalistom odpowiedzialnym za zainfekowanie 4,5 miliona komputerów w celu Raport Bezpieczeństwa IT

7 wyłudzenia danych bankowych, aresztowaniu osób odpowiedzialnych za stworzenie botnetu Bredolab czy działaniu Microsoft u, który skutecznie zareagował przeciwko chińskim usługom przydzielania dynamicznych usług DNS, które zapewniały anonimowość cyberkryminalistom, włączając w to twórców botnetu Nitol. 1 Operacje te pokazały również, że osoby finansujące lub ochraniające tego typu działalności również mogą zostać pociągnięte do odpowiedzialności. W 2013 roku wraz z rosnącą migracją usług w chmury obliczeniowe podążą tam również cyberkryminaliści. Działy IT oraz użytkownicy będą musieli zadać sobie pytanie, w jaki sposób ich dane oraz urządzenia mogą być systematycznie ochraniane oraz jakie są procedury szybkiej odpowiedzi na nieznane zagrożenia. My jesteśmy po to, by pomóc - w każdej minucie każdego dnia. Ataki powiązane z Facebook oraz innymi platformami społecznościowymi W 2012 miliony użytkowników dołączyło do sieci społecznościowych - podobnie postąpili cyberkryminaliści. Budują oni nowe ataki, bazujące na kwestiach kluczowych dla użytkowników, jak np. sceptycyzm w kwestii osi czasu czy polityki zarządzania udostępnianymi zdjęciami. Atakujący próbują również wykorzystywać dojrzałe platformy takie jak Twitter czy szybko rosnące usługi jak np. Pinterest. 2 We wrześniu 2012 roku Sophos odnotował rozprzestrzenianie się bezpośrednich wiadomości na Twitterze (DMs) z nowo przejętych kont. W wiadomościach znajdował się link wraz z informacją, że dany użytkownik jest na nagraniu video aktualnie znajdującym się na Facebooku. Po kliknięciu w link użytkownik był przenoszony na stronę, która rekomendowała aktualizację YouTube player, aby odtworzyć video. Jeżeli użytkownik zgadzał się na aktualizację, był infekowany backdoorem Troj/Mdrop-EML. 3 We wrześniu odnotowano także pierwszą infekcję przejętego konta w sieci społecznościowej Pinterest. Z tego konta wysyłano spam obrazkowy do innych sieci społecznościowych - Twitter a oraz Facebook a. Użytkownicy, którzy przyłączyli konta Pinterest do tych sieci, znaleźli na swoich ścianach w Facebooku oraz na Twitterze wiadomości nakłaniające do wzięcia udziału w schemacie pracy w domu ( work-at-home scheme ). 4 Z miliardem użytkowników Facebook jest największą siecią społecznościową, a jednocześnie najczęściej atakowaną platformą. W kwietniu Facebook wraz z Sophosem oraz innymi dostawcami oprogramowania antywirusowego podniósł poziom ochrony przed malware. Facebook teraz może skanować podejrzane linki dużo szybciej, dzięki czemu lepiej chroni użytkowników. 5 Oczywiście jest to tylko jeden z komponentów ochrony. Badacze z Sophos oraz z innych firm nie ustają w wysiłkach, by znaleźć i zdeaktywować nowe wektory ataku. Przykładowo Dark Reading donosi, że naukowcy z University of California stworzyli aplikację Facebook, która wykrywa około 97% ataków socjalnych oraz ataków scam. Innowacyjne sposoby uwierzytelnienia, jak np. pokazywanie losowo wybranego zdjęcia profilowego z grupy znajomych oraz prośba o identyfikację mogą także pomóc. 7 Więcej informacji o atakach na platformy społecznościowe na 4 zagrożenia współczesnej ochrony danych Beth Jones z SophosLabs o inżynierii społecznej Ankieta Naked Security Czy firma powinna prowokować pracowników do otwierania nieodpowiednich wiadomości w celu ich edukacji? Tak 85.21% Nie 14.79% Na podstawie 933 głosów oddanych przez respondentów Źródło: Naked Security Raport Bezpieczeństwa IT

8 Rok 2012 w skrócie: Nowe platformy i zmieniające się zagrożenia Rosnące ryzyko ze strony chmur obliczeniowych W 2012 roku korzyści finansowe oraz administracyjne przekonały wiele firm do przeniesienia usług w chmury obliczeniowe. Dodatkowo rozwój tego typu wygodnych usług, jak np. DropBox przekonał firmy do inwestycji w prywatność danych przechowywanych w wirtualnych środowiskach. Migracja sprowokowała wiele pytań dotyczących tego, jakie dane powinny się tam znaleźć i w jaki sposób powinny być chronione. Opinia bezpieczeństwa chmur obliczeniowych została nadszarpnięta w wyniku kompromitacji pracowników DropBox w 2012 roku. Loginy i hasła użytkowników skradzione z zewnętrznej witryny zostały wykorzystane do uzyskania dostępu do kilku kont pracowników DropBox. Pracownicy DropBox korzystali z tych samych danych, aby uzyskać dostęp do wszystkich swoich kont, włączając w to konta z dostępem do wrażliwych danych firmowych. Ta sytuacja powinna być przestrogą dla wszystkich, którzy korzystają z jednego hasła w wielu miejscach. To nie był jedyny problem DropBox w minionym roku. Przypadkowo usunięto wszystkie hasła użytkowników na blisko 4 godziny. Dodatkowo, VentureBeat odkrył, że w firmowej aplikacji na ios dane do logowania były przechowywane w formie czystego tekstu każdy kto miał fizyczny dostęp do smartfonu mógł je zobaczyć. 8 Od tego czasu DropBox poprawił bezpieczeństwo swoich usług, poprzez wprowadzenie dwustopniowej autoryzacji, 9 ale problem pojawił się w usługach konkurencyjnych firm. W maju 2012 roku Fraunhofer Institute for Secure Information Technology donosił o lukach w rejestracji, logowaniu, szyfrowaniu oraz udostępnianiu danych w siedmiu innych witrynach świadczących usługi chmur obliczeniowych. 10 W świetle tych danych zabezpieczenia DropBox oraz innych usługodawców polegające na szyfrowaniu przechowywanych oraz przesyłanych danych nie są wiele warte. Chronią one jedynie w przypadku próby ich przejęcia bez wykorzystania prawidłowych danych dostępowych. Dane przechowywane w publicznie dostępnych chmurach obliczeniowych podlegają jurysdykcji prawnej kraju, w którym znajdują się serwery firmy. Więcej informacji o serwisach w chmurze na Wykorzystanie szyfrowania do przechowywania plików na serwerach internetowych Jak rozwiązać problemy związane z Dropbox? CTO Gerhard Eschelbeck o serwisie w chmurze i BYOD. Raport Bezpieczeństwa IT

9 Problemy DropBox zwróciły uwagę na temat bezpieczeństwa danych przechowywanych w ten sposób. Najważniejsze pytanie brzmi, w jaki sposób chronić dane znajdujące się w infrastrukturze, nad którą nie ma się kontroli? Dwustopniowa autoryzacja jest podstawą, ale czy to wystarczające zabezpieczenie? Kwestie, które wymagają rozważenia to: 11 Jak wygląda polityka w przypadku wycieku informacji? W szczególności, w jaki sposób firma może ustalić, że doszło do wycieku? W jaki sposób zarządzać danymi, które zostały skopiowane przez użytkowników do prywatnych urządzeń? 12 W jaki sposób można weryfikować jakość pracy administratorów chmur? Czy standardy obowiązujące w firmie są również stosowane w przypadku partnerów biznesowych mających dostęp do wrażliwych danych? Czy można zabezpieczyć kopie snapshot wirtualnych serwerów przed zapisywaniem danych z pamięci RAM, włączając w to wszystkie pracujące klucze szyfrowania? Każdy, kto zdecyduje się na przeniesienie swoich usług w chmury obliczeniowe, powinien wykonać trzy proste kroki, zwiększające bezpieczeństwo danych: 1. Wdrożyć reguły Web bazujące na filtrowaniu URL, kontroli dostępu do publicznych usługodawców, z których nie korzysta firma. 2. Wdrożyć politykę kontroli aplikacji, aby blokować lub udostępniać poszczególne aplikacje dla zaufanych użytkowników korporacyjnej sieci. 3. Automatycznie szyfrować wszystkie dane wysyłane do chmur obliczeniowych z zarządzanych stacji. Rozwiązanie powinno umożliwiać użytkownikowi wybór usługodawcy, ponieważ pliki zawsze są szyfrowane odpowiednim kluczem. Operacja szyfrowania przebiega po stronie klienta, więc nawet w przypadku problemów pod stronie usługodawcy dane są bezpieczne. Centralne klucze dają autoryzowanym grupom lub grupom użytkowników dostęp do danych, podczas gdy dane są niedostępne dla wszystkich innych osób. Nawet w przypadku zgubienia czy zapomnienia hasła przez użytkownika, administrator ma możliwość dostępu do danych oraz nadania nowego. Niektórzy eksperci, jak np. Mel Beckman czy System inews uważają, że wirtualne maszyny powinny podlegać takim samym regulacjom i zasadom jak urządzenia fizyczne. Dobrym przykładem jest tutaj zestaw reguł HIPAA. 13 Raport Bezpieczeństwa IT

10 Blackhole: Lider oprogramowania malware Na podstawie badań SophosLabs Szczegółowe badanie Blackhole pokazuje jak bardzo wyrafinowani stali się twórcy malware. Blackhole jest aktualnie najpopularniejszym frameworkiem - zestawem do pokonywania zabezpieczeń. Jest niezwykle elastyczny pod względem technicznym, a jego model biznesowy mógłby być użyty jako przykład w Harvard Business School MBA. Niestety unieszkodliwienie go przez służby, dostawców oprogramowania bezpieczeństwa czy organizacje IT zajmie lata. Framework - zestaw do pokonywania zabezpieczeń ( exploit-kit ) to zestaw programów instalowanych na serwerze Web, umożliwiających instalację oprogramowania wirusowego w systemie użytkownika bez jego wiedzy. Poprzez identyfikację oraz posiadanie oprogramowania do wykorzystywania wielu luk, aplikacja dobiera odpowiedni atak do odwiedzającego. Jest to moment, w którym poprzez różne luki w funkcjonalnościach, jak np. automatyczne pobieranie plików PDF czy przeglądanie plików różnego typu w przeglądarce, na komputerze odwiedzającego instalowane jest złośliwe oprogramowanie. Identycznie jak w przypadku innych dostawców tego typu aplikacji, Blackhole potrafi instalować dowolne aplikacje na komputerze odwiedzających, włączając w to fałszywe antywirusy, klientów DDoS, malware Zeus czy rootkit ZeroAccess. Blackhole potrafi atakować Windows, OS X oraz Linux. Raport Bezpieczeństwa IT

11 Pomiędzy wrześniem 2011 a marcem 2012 blisko 30% zagrożeń wykrytych przez SophosLabs pochodziło bezpośrednio od Blackhole lub zostało przekierowanych do Blackhole ze skompromitowanych stron. Blackhole jest tak popularny nie tylko ze względu na swoją skuteczność, ale również dlatego, że korzysta z modelu biznesowego Oprogramowanie jako Usługa (Softwareas-a-Service) podobnego do modelu biznesowego chmur. Istnieje możliwość wynajęcia aplikacji na np. tydzień, jak również wynajęcie dodatkowych domen. Podobnie jak w przypadku klasycznego oprogramowania, aktualizacje są darmowe dopóki trwa licencja. Klienci, którzy chcą uruchomić własny serwer Blackhole mogą wykupić dłuższą licencję. Wersja oprogramowania dostarczana do klientów jest zabezpieczona przed nieautoryzowanym kopiowaniem za pomocą techniki zaciemniania kodu, a jest to tylko jeden ze sposobów kontroli nad oprogramowaniem. Metody te muszą być skuteczne, ponieważ dotychczas w SophosLabs nie widziano jeszcze wersji nie pochodzącej od autorów. Cztery stopnie cyklu życia Blackhole 1. Wysyłanie użytkowników do strony Blackhole Atakujący, którzy włamują się na legalnie działającą stronę internetową dodają złośliwy kod do kodu źródłowego strony (najczęściej jako wtyczka JavaScript). Kiedy użytkownik wejdzie na zainfekowaną stronę, złośliwy kod jest automatycznie pobierany z serwerów Blackhole. 14 Strony, na których znajduje się serwer Blackhole często się zmieniają, korzystając z popularnych usług dynamicznego DNS, np. ddns., 1dumb. com czy dlinkddns.com. Te strony potrafią być otwarte tylko kilka godzin i zniknąć tego samego dnia. Zdolność Blackhole do tak szybkiego przekierowywania ruchu świadczy o dobrze zaprojektowanym silniku kontroli. Blackhole stosuje kilka sposobów, aby generować ruch od użytkowników. Widziano np. wolontariuszy dodających kod Blackhole w projektach opensource, prawdopodobnie nie zdając sobie sprawy z tego, co robią. Widziano również spam w starym stylu, nakłaniający użytkownika do kliknięcia w link, np. poprzez fałszywe informacje o problemach z kontem bankowym czy prośbą o przeglądnięcie załącznika w ważnej sprawie. Blackhole reprezentuje około 27% zainfekowanych stron W 2012 roku 80% zagrożeń, które rozpoznano były przekierowaniami, głównie z uznanych stron. Jest to bardzo wyraźne ostrzeżenie, uświadamiające jak ważne jest aktualizowanie i doglądanie swojego serwera Web. Strona z zagrożeniem framework Blackhole Strona z przekierowaniem do framework Blackhole Strona z zagrożeniem innym framework Blackhole 0.7% 26.7% 1.8% Ładunek (payload) 7.5% Strona z przekierowaniem innym niż framework Blackhole 58.5% SEO 1.1% Fałszywy antywirus 0.4% Inne 3.4% Źródło: SophosLabs Raport Bezpieczeństwa IT

12 Blackhole: Lider oprogramowania malware 2. Ładowanie kodu Blackhole ze strony Po tym jak przeglądarka załaduje zestaw złośliwych aplikacji z serwera BlackHole, następuje rozpoczęcie ataku. Złośliwy kod, najczęściej w JavaScript, w pierwszej kolejności określa, w jaki sposób trafiono do serwera Blackhole, aby na tej podstawie móc pobrać opłatę. Następnie złośliwy kod profiluje użytkownika na podstawie systemu operacyjnego, przeglądarki oraz zainstalowanych pluginów Flash, PDF, Java i innych. Mimo, że Blackhole pozwala na przeprowadzanie wielu różnych ataków, najpopularniejszym z nich jest atak na silnik Java. Blackhole stara się wykorzystać wszystkie możliwe sposoby na infekcję, np. ładuje swój kod poprzez Java Open Business Engine, który jest wykorzystywany na wielu różnych stronach i w wielu systemach, włączając w to np. stronę prezydenta USA daily Terrorist Threat Matrix raport Dostarczanie ładunku Po zaatakowaniu i i skompromitowaniu stacji Blackhole dostarcza odpowiedni ładunek ( payload ). Ładunek jest poliformiczny, zmieniany po każdej infekcji, co ma za zadanie utrudnić wykrycie. Twórcy Blackhole agresywnie atakują systemy, dbając o częstą zmianę kodu oraz wysoki stopień zaciemnienia. Wszystkie aktualizacje są dostarczane bardzo szybko, nawet w porównaniu do innych rozwiązań tego typu. Dodatkowo wszystkie aplikacje instalowane przez Blackhole są szyfrowane, a za dodatkową opłatą można wykupić usługę cyklicznie testującą aktualnie posiadany przez ofiarę program antywirusowy, celem infekcji w chwili znalezienia luki. 4. Statystyki, nauka, rozwój Blackhole cały czas sprawdza, które ataki zakończyły się powodzeniem oraz w jakich dokładnie warunkach to się odbyło (przeglądarka, system operacyjny, zainstalowane dodatki etc). Na tej podstawie twórcy Blackhole są w stanie ocenić skuteczność danych rozwiązań. Ta technika nie jest nowa, ale w tym przypadku twórcy dbają o ciągłą, maksymalną skuteczność swojego rozwiązania. Blackhole jest bardzo skuteczny w wykorzystywaniu luk 0-day, np. w sierpniu 2012 roku, wykorzystywał dopiero co odkrytą dziurę w usłudze Microsoft Help and Support Center. Włączenie ładunku przeciwko Java 7 (CVE ) do swojego repozytorium, zajęło Blackhole około 12 godzin od pojawieniu się publicznie kodu PoC. 16 Dla kontrastu Oracle dostarczyło łatę pod koniec sierpnia, ale nawet do dnia dzisiejszego wiele systemów pozostaje niezaktualizowanych. 17 Na tym poziomie profesjonalizmu SophosLabs był zaskoczony, że mimo wszystko pewne części ich kodu pozostają niezmienione, jak np. ścieżki URL, nazwy plików czy struktura ciągów zapytań. Niestety Sophos spodziewa się, że te niedoskonałości zostaną szybko poprawione i Blackhole stanie się jeszcze bardziej niebezpiecznym narzędziem. Więcej informacji o Blackhole na Malware od B do Z: Analiza zagrożenia od środka (od Blackhole do ZeroAccess) Mark Harris - wprowadzenie do SophosLabs Fraser Howard z Sophos Labs przedstawia zagadnienie Blackhole Raport Bezpieczeństwa IT

13 Co robimy w sprawie Blackhole i jak użytkownicy mogą nam pomóc W SophosLabs monitorujemy Blackhole 24/7, by być pewnym, że nasza generyczna ochrona oraz filtry reputacji działają prawidłowo w tym zmiennym środowisku. Gdy tylko Blackhole uczy walczyć uczy z nimi, natychmiast reagujemy dostarczając aktualizacje dla naszych klientów. Niezależnie od tego rozwijamy nasze techniki wykrywania zagrożeń, aby chronić naszych klientów przed polimorficznymi atakami nie tylko Blackhole. Najlepszą ochroną jest ochrona na wielu płaszczyznach. Co można zrobić aby się chronić? 1. Szybka aktualizacja systemów operacyjnych oraz aplikacji jest zawsze bezwzględnie wymagana. Najlepiej w pełni zautomatyzować ten proces. 2. Aby zmniejszyć możliwości ataku, dobrze jest wyłączyć na wrażliwych systemach Java oraz Flash, jeśli nie są wymagane do pracy. 3. Blokować zainfekowane strony za pomocą kombinacji filtrów reputacji oraz silników przeszukiwania treści. 4. Redukować ataki socjotechniczne oraz zwalczać spam za pomocą rozwiązań antyspamowych oraz bardziej edukować użytkowników. 5. Jeżeli aktualne rozwiązanie antywirusowe ma funkcjonalność HIPS (host intrusion prevention system), korzystać z niej. Gdzie najczęściej hostowany jest Blackhole? Kraje, które hostowały Blackhole w 2012 roku: Brazylia 1.49% Wielka Brytania 2.24% Holandia 2.55% Niemcy 3.68% Chiny 5.22% Turcja 5.74% Włochy 5.75% Chile 10.77% Rosja 17.88% Stany Zjednoczone 30.81% Inne 13.88% Źródło: SophosLabs Raport Bezpieczeństwa IT

14 Ataki na Java osiągnęły masę krytyczną To był ciężki rok dla silnika Java w przeglądarkach internetowych. Nowe luki pojawiające się w dużej ilości sprawiły, że wiele firm wyłącza i deinstaluje ją, gdzie to tylko możliwe. W kwietniu 2012 ponad użytkowników MAC odkryło, że są częścią globalnego botnetu Flashback, ponieważ Java nie została zaktualizowana przed długi czas dla użytkowników MAC OS X. Po tym jak Apple zaczęło dostarczać narzędzie do usuwania Javy, Oracle obiecało wziąć na siebie bezpośrednią odpowiedzialność za dostarczanie poprawek dla OS X w tym samym czasie co dla systemów Windows. 18 Niedługo po tym deweloperzy Java mieli okazję do wykazania się. Kilka dni później pojawiła się nowa luka dla Java 7, występująca we wszystkich systemach operacyjnych. Została ona szybko włączona do frameworków malware, takich jak np. Blackhole. 19 Zainicjowano nawet kampanie spam, która ją wykorzystywała. Według jednej z dogłębnych analiz, złośliwe oprogramowanie za jej pomocą mogło uzyskać dostęp nawet do funkcji managera bezpieczeństwa Java. 20,21 Zgodnie z obietnicą Oracle udostępniło łatę szybciej niż większość obserwatorów się tego spodziewała. Kilka tygodni później badacze bezpieczeństwa znaleźli kolejną lukę umożliwiającą wydostanie się z bezpiecznej strefy aplikacji ( sandbox ) - tym razem luka występowała nie tylko w Java 7, ale również w Java 5 oraz Java 6 22 na wszystkich przeglądarkach. Szacuje się, że miliard urządzeń został narażony na atak. Raport Bezpieczeństwa IT

15 Wielu użytkowników ma małe potrzeby korzystania z apletów Java lub nie ma ich wcale. JavaScript oraz inne techniki przejęły większość zastosowań apletów. Jeżeli korzystanie z apletów nie jest wymagane do pracy, Sophos zaleca wyłączenie ich w przeglądarce. Na stronie internetowej Sophos można znaleźć informację, jak można to zrobić dla przeglądarek Internet Explorer, Firefox, Google Chrome, Safari, oraz Opera. 23 Jeżeli aplety Java są wymagane do pracy, dobrze jest rozważyć instalację drugiej przeglądarki, wykorzystywanej tylko do stron z apletami. Nie tylko Java jest dodatkiem do przeglądarki, który może powodować problemy. W przeszłości Flash od Adobe również był celem priorytetowym dla cyberkryminalistów. Na szczęście, potrzeba posiadania Flasha zanika, a jego miejsce coraz częściej zajmuje HTML5, umożliwiający odtwarzanie filmów i muzyki na stronach www. Duże firmy nadal umożliwiają stosowanie słabych haseł Luki zabezpieczeń w postaci słabych haseł powinny być rzadkością. Dobrze znane i łatwe do zastosowania techniki generowania oraz przechowywania silnych haseł powinny być podstawą polityki bezpieczeństwa, zwłaszcza w firmach. Niestety w 2012 roku widzieliśmy wiele wycieków haseł, pochodzących z dużych organizacji. Ì Ì Rosyjscy cyberkryminaliści udostępnili około 6.5 miliona haseł serwisu LinkedIn w internecie. Hackerzy rozpoczęli ich łamanie i odszyfrowali ponad 60% z nich w ciągu kilku dni. Zadanie było prostsze, ponieważ LinkedIn nie skorzystał z solenia ( salt ) haseł losowymi danymi przed ich zapisaniem. 23 Randkowy portal eharmony w niedługim czasie poinformował o nielegalnym pozyskaniu 1.5 miliona haseł ze swojej bazy. Dostęp uzyskano tą samą drogą co do LinkedIn. 24 Formspring odkrył, że haseł swoich użytkowników jest dostępnych online i wymusił zmianę haseł od wszystkich swoich 28 milionów użytkowników. 25 Yahoo Voices przyznał się do utraty haseł. 26 Firma Philips została zaatakowana przez grupę r00tbeer. W wyniku ich działalności utracono tysiące danych osobowych. 27 IEEE, największa na świecie organizacja skupiająca profesjonalistów w dziedzinie nowych technologii, udostępniła pliki logów z ponad 400 milionami zapytań Web. Znaleziono w nich unikatowych użytkowników wraz z hasłami zapisanymi czystym tekstem. 28 Raport Bezpieczeństwa IT

16 Ataki na Java osiągnęły masę krytyczną Więcej informacji o nowoczesnych zagrożeniach na Toolkit: IT Security DOs and DON Ts 5 sposobów na zredukowanie ryzyka wobec nowoczesnych zagrożeń w sieci Czego można nauczyć się z przypadków utraty danych? Rady dla użytkowników: Wybierać silne hasła oraz korzystać z różnych haseł dla różnych witryn. Korzystać z oprogramowania do zarządzania hasłami, jak np. 1Password, KeePass czy LastPass niektóre z nich są w stanie wygenerować silne hasła. 29 Rady dla administratorów: Nie przechowywać haseł w czystym tekście. Korzystać z losowo dobieranego współczynnika salt przed operacją szyfrowania hasła. Nie tylko korzystać ze współczynnika salt, ale wielokrotnie szyfrować te same dane, aby zwiększyć złożoność korzystać ze sprawdzonych algorytmów, jak np. bcrypt, scrypt czy PBKDF2. Często sprawdzać administrowane witryny w poszukiwaniu błędów. 30 Chronić bazy danych, serwery i sieć za pomocą wielowarstwowej ochrony. Raport Bezpieczeństwa IT

17 Android: Najpopularniejszy cel ataków Na podstawie badań SophosLabs Ponad 100 milionów urządzeń z Androidem pojawiło się w drugiej połowie 2012 roku na rynku. 31 W USA we wrześniu 2012 ankieta dotycząca systemów operacyjnych na urządzeniach mobilnych wykazała, iż Android jest wykorzystywany na około 52.2% urządzeń. 32 Taka ilość urządzeń jest kusząca dla twórców złośliwego oprogramowania, na co wskazują statystyki ataków na ten system, obrazując gwałtowną tendencję wzrostową wykrytych zagrożeń. Jak poważne są ataki? Co użytkownicy i administratorzy powinni wiedzieć? Jakie kroki powinny podjąć działy IT, aby zapewnić bezpieczeństwo swoim klientom? Raport Bezpieczeństwa IT

18 Android: Najpopularniejszy cel ataków Łatwe, ale przynoszące zysk: fałszywe oprogramowanie i nieautoryzowane wiadomości SMS Aktualnie najpopularniejszym sposobem działania złośliwych aplikacji w systemie Android jest niezauważona instalacja i wysyłanie wiadomości SMS na kosztowne numery Premium. Zaobserwowane wersje oprogramowania tego typu były instalowane wraz z Angry Birds Space, Instagram oraz wraz z fałszywym oprogramowaniem antywirusowym. 33 W maju 2012 roku jeden z operatorów mobilnych w Wielkiej Brytanii odkrył, że 1391 użytkowników jego sieci jest zainfekowanych tego typu oprogramowaniem. Firma anulowała rachunki oraz zwróciła pobrane kwoty swoim abonentom. Jednakże użytkownicy z Wielkiej Brytanii stanowią tylko 10% z zaobserwowanych zainfekowanych smartfonow infekcje odnaleziono również w 18 innych krajach. Aktualnie jedna z rodzin złośliwego oprogramowania Andr/Boxer odpowiedzialna za największą ilość infekcji (około ⅓) jest połączona z domeną.ru, której serwer znajduje się na Ukrainie. Aplikacja wyświetla komunikaty w języku rosyjskim oraz atakuje użytkowników, którzy zdecydowali się odwiedzić stronę reklamowaną przez atrakcyjną kobietę. Po kliknięciu na link pojawiał się losowo dobrany monit o pobranie i zainstalowanie aplikacji, np. aktualizacji do Opera czy Skype. W niektórych przypadkach uruchamiał się fałszywy antywirus, który wykrywał zagrożenia i zachęcał do instalacji antywirusa. Po instalacji złośliwe oprogramowanie rozpoczynało wysyłanie płatnych wiadomości SMS. Wiele z tych trojanów zainstalowało się z prawami do późniejszej instalacji oprogramowania, co oznacza, że mogą one pobierać aktualizacje w przyszłości. Zagrożenia dla Androida rosną W Australii oraz USA Sophos zauważa wzrost infekcji systemów mobilnych, które przewyższają ilość infekcji na PC. Więcej informacji o zarządzaniu urządzeniami mobilnymi (MDM) na Darmowe narzędzie: Mobile Security dla Androida Mobile Security Toolkit Przewodnik dla kupujących dot. zarządzania urządzeniami mobilnymi Kiedy malware jest mobilny Vanja Svajcer z SophosLabs o malware na Androidzie Wskaźnik narażenia na zagrożenia w Android (TER) Android TER PC TER Australia Brazylia Stany Inne Malezja Niemcy Indie Francja Wielka Iran Zjednoczone Brytania Statystyki opierają się na wskaźniku TER (Threat exposure rate) mierzy on procent komputerów, który spotkał się z atakiem malware, niezależnie od powodzenia jego zainfekowania. Źródło: SophosLabs Raport Bezpieczeństwa IT

19 Dołączenie do botnetu Dotychczas większość zagrożeń dla Android była stosunkowo niegroźna. Niektóre z aplikacji próbowały ukryć się za pomocą prymitywnych metod polimorfizmu, polegającego na linkowaniu się z losowymi obrazkami celem zmiany sumy kontrolnej, aby uniknąć wykrycia. Czołowe firmy antywirusowe nauczyły się radzić sobie z tą metodą wiele lat temu. Niestety twórcy tego typu oprogramowania robią postępy. Za przykład może posłużyć malware sklasyfikowany jako Andr/KongFu-L infekujący aplikację Angry Birds Space. Ta wersja aplikacji jest dostępna jedynie w nieoficjalnych marketach z aplikacjami i jest dużo bardziej wyrafinowana. Wykorzystuje lukę znaną w GingerBreak, aby uzyskać dostęp do systemu root, gdzie może instalować złośliwe oprogramowanie, komunikować się ze zdalnym serwerem, pobierać i instalować dodatkowe aplikacje. Sprawne wykorzystanie tej luki może zapobiec wykryciu aplikacji oraz włączyć telefon do globalnego botnetu. Przechwytywanie wiadomości oraz dostępu do konta bankowego Jednym z odnotowanych zachowań aplikacji malware w systemach Android jest przechwytywanie wiadomości SMS i przekierowywanie ich na inny numer telefonu lub do serwera. Tego typu zachowania są zagrożeniem zarówno dla zwykłych użytkowników, jak i firm. Złośliwe aplikacje zachowują się w ten sposób, ponieważ ich celem jest przechwycenie wiadomości SMS uwierzytelniąjacych transakcje bankowe. Wiele instytucji bankowych wysyła kody TAN do każdej transakcji bankowej za pomocą SMS. Oznacza to, że samo zdobycie hasła i loginu do konta bankowego nie jest wystarczające, aby uzyskać dostęp do pieniędzy. Jednakże z malware tego typu, jak np. Andr/Zitmo, staje się to możliwe. Można rozważyć hipotetyczny scenariusz, w którym za pomocą konwencjonalnego ataku phishing, atakujący uzyskuje wszystkie niezbędne dane do konta bankowego wraz z numerem telefonu, pod który się podszywa (sytuacje tego typu zdarzały się). Atakujący posiada wszystkie informacje niezbędne do tego, by wykonać przelew. Ankieta Naked Security Czy spam w SMS jest dla ciebie problemem? TAK 43.78% TAK, ale ściągnąłem aplikację i nie mam już z tym problemu 2.36% NIE, nigdy nie otrzymałem spamu w SMS na mój telefon 45.29% Na podstawie 552 głosów Źródło: Naked Security Raport Bezpieczeństwa IT

20 Android: Najpopularniejszy cel ataków PUA: nie całkiem malware, ale ryzykowne Warto wspomnieć o istnieniu potencjalnie niechcianych aplikacji (PUA) w systemie Android. Aplikacji tego typu nie można zakwalifikować jako malware, jednakże mają one negatywny wpływ na bezpieczeństwo i mogą powodować problemy. Wiele osób instaluje aplikacje, które są agresywnie reklamowane. Większość z nich umożliwia śledzenie aplikacji oraz lokalizacji, jak również przechwycenie danych kontaktowych. Źródłem zarobku w tym przypadku jest wyświetlanie reklam, również o charakterze erotycznym lub pornograficznym. Wiele firm i organizacji walczy z nimi, ze względu na ryzyko ujawnienia potencjalnie istotnych informacji lub ze względu na wydajność smartfonu oraz pracownika. Przykładem takiej aplikacji może być np. Andr/DrSheep-A. Podobnie jak jej klasyczny odpowiednik Firesheep, aplikacja ta umożliwia przechwytywanie ruchu wifi oraz wyszukiwanie niezaszyfrowanych cookies, zawierających hashe z popularnych portali, takich jak np. Facebook czy Twitter. Aplikacja została zaprojektowana w celu testowania sieci, jednak często jest wykorzystywana niezgodnie ze swoim przeznaczeniem. Zagrożenie nie jest marginalne, ponieważ została ona wykryta na 2.6% telefonów chronionych przez Sophos Mobile Security. Jednym z zadań działów IT w każdej firmie jest ochrona przed działaniami tego typu. Użytkownicy często zdobywają prawa root na swoich urządzeniach. Nazwa root pochodzi od systemów Unixopodobnych, takich jak np. Android i oznacza osobę mającą najwyższy stopień uprawnień. Zdobywanie root jest popularne przez użytkowników, ponieważ zwiększa to kontrolę nad urządzeniem i umożliwia usunięcie niechcianych aplikacji, takich jak np. oprogramowania zainstalowanego przez dostawcę sieci komórkowej. To działanie łamie model bezpieczeństwa obowiązujący w systemach Android polegający na tym, że żadna aplikacja nie ma prawa dostępu do innych aplikacji. Dla aplikacji malware telefon, w którym te prawa są odblokowane jest łatwiejszym celem i pozwala lepiej się ukryć przed wykryciem. Dla firm stosujących politykę BYOD telefony odblokowane w ten sposób znacznie zwiększają zagrożenie. Minimalizacja ryzyka W większości firm i organizacji ryzyko pochodzące z systemów Android nie jest brane pod uwagę jako znaczące. Niestety trend migracji zagrożeń jest wzrostowy, co jest zauważane nawet przez Google. Często są wydawane poprawki, które zabezpieczają tę platformę przed coraz to nowymi zagrożeniami. Niestety już dziś istnieje zagrożenie, że malware z systemów Android wystawi firmowe dane na niebezpieczeństwo. Osoby odpowiedzialne za IT w firmie powinny mieć na uwadze zagrożenia pochodzące z urządzeń mobilnych i wdrożyć rozwiązania umożliwiające ochronę systemów Android przed malware czy m.in utratą danych. Sophos sugeruje następujące kroki umożliwiające zmniejszenie ryzyka (należy pamiętać, że żadne z tych rozwiązań nie powinno działać samoistnie w idealnym przypadku wszystkie rady powinny zostać zastosowane): Ì Ì Rozszerzenie istniejących polityk bezpieczeństwa o urządzenia mobilne. Uniemożliwienie korzystania z urządzeń, które zostały złamane i których użytkownik ma prawa root. Należy rozważyć pełne szyfrowanie urządzeń, aby chronić się przed utratą danych. Rozwiązanie powinno wspierać zdalne oczyszczanie urządzenia w przypadku kradzieży. Ważne jest również szyfrowanie kart SD, które często zawierają wrażliwe dane. Gdy to możliwe, należy uruchomić automatyczne aktualizacje. Należy pamiętać, aby ustawić je nie tylko dla systemu operacyjnego, ale również dla wszystkich aplikacji znajdujących się na urządzeniu. Wysoce zalecane jest ograniczenie możliwości korzystania ze sklepów z aplikacjami innymi niż Google Play Store. Złośliwe aplikacje znajdują się również w oficjalnym sklepie, ale ryzyko zarażenia się nimi poprzez inne źródła, zwłaszcza te z Europy Wschodniej i Azji jest nieporównywalnie większe. Raport Bezpieczeństwa IT

21 W przypadku autoryzacji sklepu innego niż Google Play Store należy ograniczać dostęp użytkowników do tylko tych aplikacji, które mają pozytywną historię i są polecane. Należy zwracać uwagę na to, z jakimi uprawnieniami ma działać instalowana aplikacji, np. jeżeli zwykła gra chce uzyskać uprawnienia do wysyłania SMS, powinno to być bardzo wyraźnym ostrzeżeniem. 34 Ostatecznie należy rozważyć korzystanie z programu antywirusowego dla systemów Android. Sophos poleca korzystanie z Sophos Mobile Security. Jednakże niezależnie od wyboru należy sprawdzić, czy firma ma doświadczenie oraz jak radzi sobie z wyzwaniami bezpieczeństwa. Wynika to z faktu, iż następuje migracja zagrożeń z tradycyjnych platform, a dostawca oprogramowania powinien wiedzieć, jak sobie z tym poradzić. Ankieta Naked Security Na co zwracasz największą uwagę podczas instalacji nowej aplikacji na urządzeniu z systemem Android? Reputacja twórcy 43.78% Popularność aplikacji 28.65% Koszt aplikacji 13.24% Lokalizacja pobierania plików 14.32% Na podstawie 370 głosów respondentów Źródło: Naked Security Drugą ważna kwestią jest globalna infrastruktura, dostępna przez cały czas (24h, 7 dni w tygodniu, 365 dni w roku) umożliwiająca szybkie wykrywanie globalnych zagrożeń i reagowanie na nie. Trzecią rzeczą, na którą należy zwrócić szczególna uwagę jest postrzeganie bezpieczeństwa jako całości działań. W świecie dzisiejszych zagrożeń rozwiązanie powinno chronić przedsiębiorstwo na wielu płaszczyznach, zaczynając od sieci, a kończąc na każdym pojedynczym urządzeniu, włączając w to szyfrowanie. Raport Bezpieczeństwa IT

22 Różne platformy i technologie zwiększają możliwości ataku Cyberkryminaliści atakują Windows. Praktycznie każdy korzysta z Windows. Antywirusy bronią systemów Windows. Te czasy dawno minęły. W 2012 roku pojawiło się wiele luk specyficznych dla systemów Windows. Dla przykładu, Windows Sidebar and Gadgets w Windows Vista oraz Windows 7 okazały się podatne na ataki, więc Microsoft szybko zdecydował się na wydanie narzędzia umożliwiającego ich wyłączenie. Windows Sidebar oraz małe programy korzystające z tej usługi (tzw. gadżety) jak np. wiadomości, notowania giełdowe czy prognozy pogody miały być odpowiedzią na popularną usługę w Mac OS X - Dashboard and Widgets. Jednakże osoby związane z bezpieczeństwem: Mickey Shkatov oraz Toby Kohlenberg znaleźli i zademonstrowali 36 złośliwych gadżetów oraz odnaleźli luki w już istniejących. 35 W związku z tym zdarzeniem oraz z nowym podejściem do interfejsu użytkownika w Windows 8, Microsoft zrezygnował z tego problematycznego dodatku. Mimo że większość komputerów pracuje pod kontrolą systemu Windows, dużo więcej aplikacji jest tworzonych dla systemów Web oraz urządzeń mobilnych. Oznacza to, że firmy oraz użytkownicy indywidualni muszą skupić się na bezpieczeństwie mniej tradycyjnych środowisk, takich jak np. Android. Raport Bezpieczeństwa IT

23 Poniższy przykład dobrze obrazuje to, co wydarzyło się w 2012 roku i jest próbą tego, z czym każdy, kto ma do czynienia z bezpieczeństwem IT, będzie musiał sobie radzić wielopoziomowa ochrona na wielu płaszczyznach, proaktywne wykrywanie zagrożeń oraz ich heterogeniczność. W lutym 2012 roku hakerzy zidentyfikowali lukę XSS w 25 sklepach na terenie Wielkiej Brytanii, które były zabezpieczone certyfikatami Verisign, Visa oraz MasterCard. 36 Kryminaliści mogą wykorzystać lukę XSS do kradzieży danych autoryzujących, bilingów oraz innych danych. Błąd pojawił się w wyniku źle stworzonego skryptu do filtrowania wyników wyszukiwania użytkownika. Jest to kolejne przypomnienie dla użytkowników, że liczą się nie tylko okna i ikony. Nawet widoczność https w adresie oraz loga Verisign nie oznaczają, że strona jest w 100% bezpieczna. Jest to również przypomnienie dla twórców aplikacji internetowych: wszystkie skrypty powinny być aktualne i bezpieczne, ze szczególnym naciskiem na aplikacje pochodzące od innych autorów. Tysiące stron różnych blogów WordPress zawierały groźne kopie złośliwego oprogramowania BlackHole. 37 W sierpniu 2012 roku Sophos odkrył kampanię spam infekującą użytkowników tą drogą. Użytkownicy otrzymywali wiadomości z legalnych stron blogów Wordpress zachęcające do kliknięcia i przejścia na ich strony, na których występowała zainfekowana aplikacja. Użytkownicy korzystający z domeny WordPress.com nie byli zagrożeni ich operator regularnie aktualizował swoje systemy. Hakerzy zaprezentowali, na razie teoretyczne, ataki przeciwko technologii NFC opłat zbliżeniowych. 38 Ransomware wraca ponownie Niektóre ataki wydają się być cykliczne. Mimo że zostały pokonane już dawno, są na tyle proste, iż znów są wykorzystywane. Na przykład w 2012 roku Sophos widział ponowne ataki oprogramowania typu ransomware, które blokowały komputer i żądały opłat za przywrócenie dostępu. Aplikacje tego typu nie są niczym nowym już w 1989 roku prymitywne aplikacje ransomware były przenoszone na dyskietkach lub wysyłane pocztą elektroniczną. Udawały one aplikacje wyświetlające informacje o HIV/AIDS, a po instalacji uniemożliwiały dostęp do komputera i nakłaniały do zapłaty 189 dolarów na konto bankowe w Panamie, w zamian za ponowne uzyskanie dostępu. 39 Dzisiaj aplikacje tego typu rozprzestrzeniają się za pomocą dużo bardziej współczesnych metod, takich jak zainfekowane strony czy socjotechniki. Część takich programów blokuje dostęp do komputera i żąda pieniędzy, inne szyfrują dane. W przypadku zaszyfrowania danych są one niedostępne nawet po podłączeniu dysku do innego komputera. Sytuacja jest porównywalna z fizycznym uszkodzeniem laptopa czy utraty dysku. W większości wykrytych przypadków dostęp do komputera jest tylko blokowany. Ransomware Reveton zwany także jako Citadel lub Troj/Ransom, ukrywa Pulpit w Windows, blokuje programy i wyświetla logo FBI (lub innej rządowej policji). Pojawia się również informacja, że na dysku znaleziono nielegalne aplikacje i dostęp zostanie przywrócony po zapłaceniu 200 dolarów. Ankieta Naked Security Jaką przeglądarkę internetową polecasz? Internet Explorer 5.95% Chrome 28.9% Firefox 23.09% Safari 3.25% Opera 36.75% Brak preferencji 2.06% Na podstawie 370 głosów respondentów Źródło: Naked Security Raport Bezpieczeństwa IT

24 Różne platformy i technologie zwiększają możliwości ataku Ten atak może być łatwo pokonany poprzez skorzystanie z rozwiązania antywirusowego, posiadającego swój system operacyjny (np. Sophos Bootable Anti-Virus). Program jest uruchamiany z płyty CD (lub dysku USB), a następnie odbywa się skanowanie systemu i usuwanie zagrożeń. 40 Niestety widziano również aplikacje, które dokonywały pełnego szyfrowania dysku silnymi algorytmami kryptograficznymi. W takim przypadku powyższe rozwiązanie jest bezużyteczne. 41 Praktycznie każde oprogramowanie ransomware jest wykrywane przez zaktualizowane systemy antywirusowe. Niestety instalacja oprogramowania antywirusowego po ataku szyfrującym dysk nie pomoże. Niektóre z tych ataków są odwracalne (Sophos udostępnia bezpłatne narzędzie, które może pomóc), ale działają one jedynie, gdy twórcy aplikacji popełnią błędy. Czasem nic się nie da zrobić, dlatego lepiej zapobiegać niż leczyć. Więcej informacji o ransomware na 5 mitów na temat bezpiecznego przeglądania stron internetowych James Lyne, dyrektor techniczny ds. strategii wyjaśnia zagadnienie ransomware Raport Bezpieczeństwa IT

25 OS X i Mac: Więcej użytkowników, rosnące ryzyko Na podstawie badań SophosLabs Większość twórców złośliwego oprogramowania skupia się na atakach na Windows, uważając, że przynoszą one dużo większy zysk niż ataki na stosunkowo małą społeczność użytkowników OS X. Jednakże systemy Mac znajdują coraz więcej zwolenników w biznesie, użytkownikach domowych czy instytucjach publicznych, co zaczyna zwracać uwagę cyberkryminalistów. Analityk Frank Gillette z Forrester Research na podstawie badań donosi, iż prawie połowa firm (mająca 1000 i więcej pracowników) posiada systemy Mac przynajmniej dla niektórych pracowników oraz planuje w 2012 roku zwiększyć ten odsetek o 52%. Należy również pamiętać, że więcej tego typu urządzeń znajduje się w przedsiębiorstwie, jeśli uwzględni się urządzenia przyniesione przez użytkowników z domu. Rosnący udział Mac w rynku musi zwrócić uwagę osób odpowiedzialnych za bezpieczeństwo IT w firmach. Raport Bezpieczeństwa IT

26 OS X i Mac: Więcej użytkowników, rosnące ryzyko Fałszywe antywirusy i inne znajome strategie: wiedza zaczerpnięta z Windows W 2011 roku widziano szereg ataków na użytkowników Mac, np. zagrożenie zidentyfikowane jako MacDefender. Ten malware, fałszywy antywirus był pierwszym znaczącym zagrożeniem skierowanym przeciwko użytkownikom systemów Mac OS X rozprzestrzeniającym się poprzez zainfekowane strony internetowe. MacDefender jest wart wspomnienia ze względu na to, iż dobrze obrazuje, w jaki sposób ataki znane od dawna w systemach Windows przenikają na inne platformy. Na tej podstawie administratorzy Mac mogą już dziś spodziewać się nowych, precyzowanych ataków, opierających się na polimorficznym kodzie. Przykładem takich działań może być np. botnet stworzony przez OSX/Flshplyr, który zainfekował ponad systemów Mac. Flashback początkowo pojawił się jako fałszywy instalator Adobe Flash w 2011 roku. W kwietniu 2012 Flashback rozpoczął atak z wykorzystaniem luki w Java, która pozostała niezabezpieczona dla systemów Mac. Apple zabezpieczył systemy OS X 10.6 oraz 10.7, ale nie poprzednie wersje. Podczas największej fazy zainfekowania darmowe narzędzie Sophos dla Mac zidentyfikowało to zagrożenie na około 2.1% zeskanowanych systemów. Mimo że dotychczasową walkę z MacDefender oraz Flashback można uznać za wygraną, pokazują one niebezpieczny precedens, obrazujący w którą stronę podążają twórcy złośliwego oprogramowania dla Mac. Zagrożenia dla Mac OSX Statystycznie w tygodniu SophosLabs identyfikuje 4900 zagrożeń dla systemów Mac. Poniższy wykres pokazuje rozkład zagrożeń w dniach 1-6 sierpnia 2012 roku. OSX/FkCodec-A 26% OSX/FakeAV-DWN 13.28% OSX/FakeAVZp-C 13% OSX/FakeAVDI-A 8.6% OSX/FakeAV-DPU 7.1% OSX/FakeAVDI-B 6.2% OSX/SafExinj-B 4.1% OSX/FakeAV-FFN 3.3% OSX/Flshplyer-D 3.2% OSX/FakeAV-A 2.8% OSX/DnsCha-E 2.7% OSX/RSplug-A 2.4% OSX/Flshplyr-E 2.4% OSX/FakeAV-FNV 2.3% OSX/Jahlav-C 2.1% Źródło: SophosLabs Raport Bezpieczeństwa IT

27 Morcut/Crisis: Bardziej zróżnicowany i potencjalnie bardziej niebezpieczny Fałszywe antywirusy działają zazwyczaj na zasadzie przekonywania użytkowników do podania danych kart kredytowych użytych do zakupu oprogramowania, którego nie potrzebują. Dla dużych firm aplikacje tego typu nie są priorytetem, jednak w przypadku OSX/ Morcut-A (znanym również jako Crisis) ryzyko jest dużo większe. OSX/Morcut-A został odkryty w czerwcu 2012 roku, a jego głównym zadaniem jest pełne monitorowanie systemu: ruchy myszki, komunikatory, Skype, kamera i mikrofon, schowek, wciśnięte klawisze, uruchomione aplikacje, adresy Web, zrzuty ekranu, kalendarze, nawet metadane systemu plików. Morcut pojawił się jako plik Java (plik z rozszerzeniem JAR), który był rzekomo podpisany certfyfikatem Verisign. 43 Jeżeli Morcut został zainstalowany przez użytkownika, ukrywał się jako moduł do jądra systemu, gdzie rozpoczynał swoje działanie. Jeżeli to zagrożenie się rozprzestrzeni, będzie poważnym zagrożeniem dla firm. Jest on szczególnie groźny dla pracowników wyższego szczebla, o których zbiera szczegółowe informacje. W porównaniu do innych, wczesnych zagrożeń dla Mac, ta aplikacja jest dobrze napisana i potrafi się ukryć. Przykładem prostej aplikacji może być OSX/NetWrdRC-A, która jest źle napisana, nie potrafi się dobrze ukryć oraz można ją łatwo usunąć bez dodatkowych aplikacji. 44 Niestety w przyszłości należy spodziewać się rozwoju aplikacji pierwszego z opisywanych typów. Więcej informacji o ryzykach na OS X na Darmowe narzędzie: program antywirusowy Sophos dla Mac Andrew Ludgate z SophosLabs o malware na Mac Raport Bezpieczeństwa IT