RAPORT O ZAGROŻENIACH BEZPIECZEŃSTWA WITRYN INTERNETOWYCH 2013 CZĘŚĆ 2

Transkrypt

1 RAPORT O ZAGROŻENIACH BEZPIECZEŃSTWA WITRYN INTERNETOWYCH 2013 CZĘŚĆ 2

2 POWITANIE Zapraszamy do zapoznania się z raportem firmy Symantec o zagrożeniach bezpieczeństwa witryn internetowych w 2013 roku. Niniejszy dokument został utworzony na podstawie publikowanego przez nas co rok większego raportu o zagrożeniach bezpieczeństwa pochodzących z Internetu, Internet Security Threat Report. W niniejszej skróconej wersji opisano zagrożenia, które mają wpływ na witryny internetowe firm i działalność biznesową online. Analizując miniony rok kalendarzowy, przedstawiamy informacje ilustrujące obecny stan Internetu. W Internecie reputacja i sukces firmy często są mierzone skalą zaufania klientów wobec zabezpieczeń firmowej witryny internetowej. Warto więc wiedzieć, jak to zaufanie zbudować i utrzymać. Od ponad dekady kluczem do wiarygodności w Internecie jest technologia SSL/TLS. Ten standard nadal będzie dominować tam, gdzie potrzebny jest najwyższy poziom ochrony przed ewoluującymi zagrożeniami pochodzącymi z Internetu. I choć jest to zaawansowana technologia najwyższej klasy, jej cel jest prosty: sprawić, aby Internet był bezpieczniejszym miejscem do zawierania transakcji dla firm, ich klientów i każdego, kto komunikuje się online. Niniejszy dokument stanowi źródło wiedzy na temat występujących zagrożeń oraz możliwości zabezpieczania przed nimi firmy i jej infrastruktury. Aby uzyskać więcej informacji, zadzwoń do nas pod numer lub odwiedź witrynę Symantec-wss.com/pl. s. 2

3 LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI

4 LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI Wprowadzenie Z badań przeprowadzonych przez Ponemon Institute wynika, że koszty cyberprzestępstw wzrosły w 2012 r. o 6%, a liczba cyberataków zwiększyła się o 42%. Średni koszt ponoszony w związku z tym przez firmę jest niebagatelny i wynosi USD1. Jeśli weźmiemy pod uwagę większą dostępność luk w zabezpieczeniach i liczbę okazji do ich wykorzystania, nikogo nie powinno dziwić, że cyberprzestępcy coraz bardziej rozszerzają swoją działalność. Znajdowanie luk w zabezpieczeniach, wymyślanie sposobów na ich wykorzystanie, a następnie przeprowadzenie samego ataku wymaga posiadania wielu różnych umiejętności. Z pomocą cyberprzestępcom przychodzi czarny rynek, na którym można te umiejętności kupić w postaci gotowych zestawów narzędzi. Hakerzy znajdują i wykorzystują luki, a także sprzedają informacje na ich temat. Autorzy zestawów narzędzi znajdują lub kupują kod wykorzystujący luki i umieszczają go w swoich produktach. Z kolei cyberprzestępcy kupują lub wykradają najnowsze wersje tych zestawów narzędzi i za ich pomocą przeprowadzają zakrojone na szeroką skalę ataki, nie mając nawet umiejętności wymaganych do zrealizowania całej operacji. Dane Luki w zabezpieczeniach przeglądarek Źródło: Symantec W skrócie Liczba przypadków wykorzystania luk zero-day wzrosła w 2012 r. z 8 do 14. Na czarnym rynku pojawiają się coraz bardziej wyspecjalizowane rozwiązania wspierające przestępczość internetową (wartość tej branży szacuje się na wiele miliardów dolarów). Znalezione luki są sprzedawane i dodawane do zestawów narzędzi służących do przygotowywania ataków z użyciem witryn internetowych (zwykle po tym, jak zostaną podane do publicznej wiadomości). W 2012 r. liczba ataków typu drive-by (pobieranie bez wiedzy użytkownika) wzrosła o jedną trzecią, prawdopodobnie na skutek działania malvertisingu (szkodliwego oprogramowania reklamowego). W tym roku około komputerów Mac zostało zainfekowanych szkodliwym oprogramowaniem Flashback. Zestaw narzędzi Sakura, który w roku 2011 stanowił niewielkie zagrożenie, obecnie jest używany w około 22% ataków z użyciem witryn internetowych, w niektórych okresach roku ciesząc się większą popularnością niż zestaw Blackhole. Luki w zabezpieczeniach wtyczek Źródło: Symantec 50% Apple Safari Google Chrome Mozilla Firefox Microsoft Internet Explorer Opera 50% Adobe Flash Player Oracle Sun Java Adobe Acrobat Reader Apple QuickTime s. 4

5 LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI Całkowita liczba luk w zabezpieczeniach Źródło: Symantec STY LUT 527 MAR KWI 422 MAJ CZE LIP SIE WRZ 517 PAŹ LIS 292 GRU W 2012 r. zgłoszono 5291 luk w zabezpieczeniach, w porównaniu z 4989 lukami rok wcześniej. Miesięcznie liczba luk wykrywanych w 2012 r. wahała się między 300 a 500. W 2012 r. wykryto i podano do publicznej wiadomości 85 luk w zabezpieczeniach systemów SCADA (systemy nadzorujące przebieg procesów technologicznych lub produkcyjnych), co w porównaniu ze 129 przypadkami w 2011 r. było znacznym spadkiem. W 2012 r. zgłoszono 415 luk w zabezpieczeniach urządzeń przenośnych, w porównaniu z 315 lukami rok wcześniej. Luki zero-day Źródło: Symantec Lukami typu zero-day są nazywane te luki w zabezpieczeniach, które zostały wykorzystane przed podaniem do publicznej wiadomości i udostępnieniem użytkownikom odpowiedniej poprawki. W 2012 r. zgłoszono 14 luk tego typu. Każdego miesiąca wykrywano do 3 luk zero-day. STY LUT MAR KWI MAJ CZE LIP SIE WRZ PAŹ LIS GRU s. 5

6 LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI Analiza Coraz więcej ataków z użyciem witryn internetowych Według naszych danych liczba ataków z użyciem witryn internetowych wzrosła prawie o jedną trzecią. W atakach tego typu komputer użytkownika korporacyjnego lub indywidualnego zostaje niepostrzeżenie zainfekowany po odwiedzeniu zhakowanej witryny. Innymi słowy, infekcja może nastąpić nawet podczas odwiedzin w wiarygodnej witrynie. Atakujący zwykle infiltrują witrynę i instalują w niej narzędzia oraz szkodliwe oprogramowanie bez wiedzy właściciela i potencjalnych ofiar ataku. Szkodliwe oprogramowanie rozpowszechniane przez zestawy narzędzi do ataków z użyciem witryn internetowych to często polimorficzny lub generowany dynamicznie kod instalowany na serwerze. Firmy korzystające z ochrony antywirusowej opartej na sygnaturach są bezbronne wobec takich cichych ataków. Ukryte instrukcje JavaScript lub kilka wierszy kodu tworzących łącze do innej witryny może spowodować zainstalowanie szkodliwego oprogramowania, które jest niezwykle trudne do wykrycia. Kod sprawdza system każdego użytkownika witryny pod kątem luk w przeglądarce lub systemie operacyjnym, aż znajdzie odpowiednią ofiarę. Następnie wykorzystuje lukę i instaluje szkodliwe oprogramowanie na komputerze. Ataki są skuteczne, ponieważ systemy użytkowników zarówno w firmach, jak i w domach nie są regularnie aktualizowane przy użyciu najnowszych poprawek. Dotyczy to wtyczek do przeglądarek, np. Flash Player czy Acrobat Reader firmy Adobe, a także platformy Java firmy Oracle. W przypadku klientów indywidualnych takie zaniedbania mogą wynikać z nieuwagi, ale w większych firmach systemy oprogramowania biznesowego często wręcz wymagają używania starszych wersji tych wtyczek, co dodatkowo utrudnia aktualizację do najnowszych wersji. Przez tego typu utrudnienia w zarządzaniu poprawkami i rzadkie instalowanie poprawek firmy są szczególnie narażone na ataki z użyciem witryn internetowych. Należy ponadto wspomnieć, że poziom ryzyka nie jest bezpośrednio zależny od liczby luk w zabezpieczeniach. Wystarczy jedna odpowiednio wykorzystana luka w aplikacji, aby poważnie zagrozić bezpieczeństwu całej firmy. Firma Symantec przygotowuje analizę zagrożeń spowodowanych wykorzystaniem luk przez zestawy narzędzi do ataków z użyciem witryn internetowych w 2013 r. Najważniejszy wniosek jest taki, że to nie najnowsze luki typu zero-day przyczyniły się do wzrostu liczby ataków z użyciem witryn internetowych. Liczba ataków przeprowadzonych za pośrednictwem zhakowanych witryn wzrosła o 30%, podczas gdy wykryto zaledwie o 6% więcej nowych luk w zabezpieczeniach. Po prostu najwięcej systemów jest atakowanych przy użyciu starszych luk, dla których wciąż nie zainstalowano poprawek. Wyścig zbrojeń przestępców i wydawców oprogramowania W tym roku byliśmy świadkami wzrostu liczby luk typu zero-day. W ciągu 2012 r. wykryto użycie 14 niezgłoszonych wcześniej luk w zabezpieczeniach. W roku 2011 wykryto 8 takich przypadków. Ogólna liczba zgłoszonych luk wzrosła nieco z 4989 w roku 2011 do 5291 w roku Podobnie ma się kwestia luk w zabezpieczeniach urządzeń przenośnych 315 w roku 2011 i 415 w roku Zorganizowane grupy przestępcze, np. zespół stojący za atakami Elderwood, wciąż pracują nad znalezieniem kolejnych słabych punktów w popularnym oprogramowaniu, takim jak przeglądarki internetowe czy wtyczki do nich. Zaraz po podaniu do publicznej wiadomości jednej luki natychmiast wykorzystują kolejną, co świadczy o poziomie zaawansowania takich grup. Możemy tu mówić o wyścigu zbrojeń między przestępcami internetowymi a wydawcami legalnego oprogramowania. Przestępcy potrafią szybciej znajdować i wykorzystywać nowe luki niż producenci oprogramowania są w stanie tworzyć i publikować eliminujące je poprawki. Niektórzy wydawcy oprogramowania udostępniają poprawki raz na kwartał, inni zbyt późno dowiadują się o nowych lukach. Nawet jeśli wydawca szybko przygotuje aktualizację, jej instalacja w firmach jest często spóźniona. s. 6

7 LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI Wiadomo, że luki typu zero-day stanowią poważne zagrożenie bezpieczeństwa, ale także znane luki (w tym takie, dla których wydano poprawki) są niebezpieczne, jeśli zostaną zignorowane. Wielu klientów (są to zarówno firmy, jak i osoby prywatne) nie instaluje regularnie publikowanych aktualizacji. Dzięki zestawom narzędzi wykorzystującym dobrze znane luki przestępcy mogą łatwo sprawdzać miliony komputerów w poszukiwaniu tych, które wciąż można zaatakować. Co ciekawe, najnowsze luki nie są wcale najczęściej wykorzystywane. Malvertising i hakowanie witryn internetowych W jaki sposób haker dodaje swój kod do wiarygodnej witryny? Ułatwiają mu to dostępne gotowe zestawy narzędzi. Na przykład w maju 2012 r. zestaw narzędzi LizaMoon zainfekował co najmniej milion witryn przy użyciu techniki SQL injection 2. Dostępne są także inne metody: Wykorzystanie znanej luki w oprogramowaniu do hostingu witryn internetowych lub zarządzania treścią. Uzyskanie hasła webmastera za pomocą phishingu, oprogramowania szpiegującego lub sztuczek socjotechnicznych. Zhakowanie wewnętrznej infrastruktury serwera WWW (np. paneli sterowania lub baz danych). Wykupienie reklamy zawierającej kod rozprzestrzeniający infekcję. Ostatnia z wymienionych technik, nazywana malvertisingiem (malicious advertising szkodliwe oprogramowanie reklamowe), pozwala na infekowanie witryn bez potrzeby ich wcześniejszego zhakowania. Ta forma ataku jest bardzo powszechna. Firma Symantec, korzystając z eksperymentalnego oprogramowania skanującego, stwierdziła obecność malvertisingu w połowie testowanych witryn. Internetowe ogłoszenie o sprzedaży zestawu narzędzi do infekcji szkodliwym oprogramowaniem. Malvertising otwiera hakerom drogę do ataku na witrynę internetową bez potrzeby bezpośredniego hakowania samej witryny. Szkodliwe oprogramowanie reklamowe pozwala im niepostrzeżenie infekować komputery użytkowników, często przez zainstalowanie tworzonego dynamicznie kodu, którego program antywirusowy nie jest w stanie samodzielnie wykryć. Jest to o tyle poważny problem, że Google i inne wyszukiwarki skanują witryny pod kątem obecności szkodliwego oprogramowania i tworzą tzw. czarne listy na podstawie wyników tego skanowania. Zdarzały się przypadki, że ofiarą ataku przy użyciu malvertisingu padały znane sieci reklamowe, często związane z największymi graczami na rynku multimediów w Internecie 3. Takie sytuacje mogą być groźne dla witryn, których działanie zależy głównie od przychodów mogą nawet powodować spadek wiarygodności w oczach czytelników. W Internecie działają obecnie dziesiątki sieci reklamowych, a nowe reklamy powstają w ogromnym tempie. Śledzenie i blokowanie malvertisingu jest więc poważnym wyzwaniem. s. 7

8 LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI Zestawy narzędzi do przygotowywania ataków z użyciem witryn internetowych Czym innym jest znajdowanie nowych luk w zabezpieczeniach, a czym innym wymyślanie sposobów na ich wykorzystanie. Co bardziej przedsiębiorczy przestępcy grupują te sposoby i tworzą z nich zestawy narzędzi, które następnie sprzedają mniej zaawansowanym użytkownikom. Podobnie jak w przypadku oprogramowania komercyjnego, świadczą nawet pomoc techniczną i wystawiają gwarancje. Zapłatę za swoją pracę przyjmują za pomocą usług płatności online z anonimowymi numerami kont. Istnieją zestawy narzędzi służące do tworzenia różnorodnych szkodliwych programów oraz do atakowania witryn internetowych. Najbardziej znanym przykładem jest popularny zestaw narzędzi Blackhole. Jego strategia aktualizacji świadczy o tym, że mamy tu do czynienia z czymś w rodzaju lojalności marce i że autorzy budują wartość swoich produktów, wydając aktualizacje i nowe wersje, podobnie jak producenci legalnego oprogramowania. Skutki ciągłej popularności zestawu Blackhole w 2012 r. były dotkliwe użyto go w 41% ataków z użyciem witryn internetowych. W wrześniu została wydana zaktualizowana wersja o nazwie Blackhole 2.0. Wygląda jednak na to, że pozycja zestawu Blackhole może być zagrożona. W drugiej połowie 2012 r. na czoło wybił się inny zestaw narzędzi do ataków z użyciem witryn internetowych. Nowy produkt nazywa się Sakura i w okresie największej popularności odpowiadał nawet za 60% wszystkich ataków przygotowanych za pomocą gotowych zestawów narzędzi. Jego łączny udział w tego typu działalności wyniósł 22% w 2012 r. Procentowy rozkład popularności zestawów narzędzi do przygotowywania ataków z użyciem witryn internetowych Źródło: Symantec Sakura 22% Blackhole 41% Inne 20% 10% Phoenix 7% Redkit W 2012 r. około 41% przypadków złamania zabezpieczeń za pomocą zestawów narzędzi do ataków z użyciem witryn internetowych było związanych z zestawem Blackhole. W 2011 r. było to 44%. Zestaw Sakura był poza pierwszą dziesiątką w 2011 r., a obecnie jego udział wzrósł do ok. 22%, co w niektórych okresach roku było wynikiem lepszym od tego osiągniętego przez Blackhole. Rozkład popularności zestawów narzędzi do przygotowywania ataków z użyciem witryn internetowych w czasie Źródło: Symantec 90% Inne Blackhole Sakura Nuclear Redkit Phoenix STY LUT MAR KWI MAJ CZE LIP SIE WRZ PAŹ LIS GRU s. 8

9 LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI Skanowanie witryn internetowych pod kątem szkodliwego oprogramowania i ocena luk w zabezpieczeniach witryn W 2012 r. oddział firmy Symantec, Website Security Solutions (dawniej VeriSign), przeskanował ponad 1,5 mln witryn internetowych w ramach usług skanowania pod kątem szkodliwego oprogramowania i oceny luk w zabezpieczeniach witryn. Każdego dnia w poszukiwaniu szkodliwego oprogramowania skanowano ponad adresów URL. Okazało się, że 1 na 532 witryny jest zainfekowana. Najczęstszą formą łamania zabezpieczeń były ataki typu drive-by (pobieranie bez wiedzy użytkownika). Ponadto w ramach oceny potencjalnych luk w zabezpieczeniach skanowano ponad 1400 witryn dziennie. W około 53% przeskanowanych witryn znaleziono starsze luki, dla których wciąż nie zastosowano poprawek (w 2011 r. było to 36%). W 24% wykrytych przypadków były to luki krytyczne (w 2011 r. było to 25%). Najczęstszym rodzajem luk były luki umożliwiające nieautoryzowane osadzanie skryptów. Więcej bezpiecznych połączeń Jednym ze sposobów oceny wskaźnika wzrostu użycia technologii SSL jest monitorowanie zmian statystyk zapytań OCSP (Online Certificate Status Protocol protokół stanu certyfikatów online służący do odwoływania certyfikatów cyfrowych) oraz list CRL (Certification Revocation List lista odwołań certyfikatów). Podczas inicjowania bezpiecznego połączenia SSL następuje sprawdzenie, czy certyfikat nie został odwołany, za pomocą protokołu OCSP lub list CRL. Śledzimy liczbę takich zapytań w naszych systemach. Na tej podstawie wyznaczamy wskaźnik wzrostu liczby sesji online zabezpieczonych certyfikatami SSL. Większa wartość tego wskaźnika informuje, że rośnie liczba osób korzystających z bezpiecznych połączeń podczas używania Internetu (co odpowiada np. rosnącej liczbie transakcji online w witrynach internetowych). Może to także oznaczać upowszechnienie standardu SSL w kolejnych miejscach i zastosowaniach. Przykładem takiego zastosowania są coraz popularniejsze certyfikaty Extended Validation (EV) SSL, które nakazują przeglądarkom informowanie użytkowników, że dana witryna jest bezpieczna, przez wyświetlenie zielonego paska adresu. Inny przykład to technologia Always On SSL (Zawsze aktywne certyfikaty SSL), która w 2012 r. była masowo wykorzystywana w serwisach społecznościowych, wyszukiwarkach i usługach pocztowych online. Do tej tendencji mogą przyczyniać się także urządzenia inne niż tradycyjne komputery stacjonarne i przenośne, np. smartfony i tablety, które także umożliwiają korzystanie z Internetu. W 2012 r. według szacunków firmy Symantec średnia liczba zapytań OCSP wzrosła o 31% w porównaniu z rokiem Każdego dnia 2012 r. rejestrowano ponad 4,8 mld takich operacji. Wartością maksymalną w jednym dniu było 5,8 mld zapytań. Należy przy tym pamiętać, że protokół OCSP jest stosunkowo nową metodą kontroli odwołanych certyfikatów. Ponadto, jeśli porównamy lata 2011 i 2012, liczba zapytań na listach CRL firmy Symantec wzrosła o 45%. Każdego dnia odnotowywano 1,4 mld operacji, a wartością maksymalną było 2,1 mld. Listy CRL to starsza technologia zastępowana obecnie przez protokół OCSP. Pieczęć Norton Secured Seal i symbole wiarygodności W 2012 r. wzrosła liczba klientów odwiedzających witryny internetowe oznaczone symbolami wiarygodności (np. pieczęcią Norton Secured Seal) w stosunku do roku Analizując dane statystyczne dotyczące tylko symboli wiarygodności firmy Symantec, zaobserwowaliśmy 8-procentowy wzrost w 2012 r. Pieczęć Norton Secured Seal była w tym roku wyświetlana nawet 750 mln razy dziennie, co świadczy o tym, że coraz więcej użytkowników poszukuje silniejszych zabezpieczeń w celu ochrony swoich działań w Internecie. Kradzieże certyfikatów do podpisywania kluczy W 2012 r. w dalszym ciągu mogliśmy obserwować, jak wiele dużych i małych firm nieświadomie uczestniczy w rozpowszechnianiu szkodliwego oprogramowania na całym świecie. Przyczyną jest coraz częstsze zjawisko podpisywania szkodliwego oprogramowania za pomocą autentycznych certyfikatów do podpisywania kodu. Szkodliwy kod jest podpisany, więc wygląda na wiarygodny, co ułatwia jego rozprzestrzenianie. Twórcy szkodliwego oprogramowania często używają skradzionych kluczy prywatnych do podpisywania kodu. Atakują podmioty certyfikujące i gdy dostaną się do ich sieci, szukają kluczy prywatnych, a następnie je wykradają. Czasem zdarza się, że przez słabe mechanizmy zabezpieczeń mogą kupić autentyczne s. 9

10 ZALECENIA certyfikaty, posługując się fałszywymi tożsamościami. Na przykład w maju 2012 r. firma Comodo, duży podmiot certyfikujący, uwierzytelnił i wystawił prawdziwe certyfikaty do podpisywania kodu fikcyjnej firmie stworzonej przez cyberprzestępców 4. Korzystaj z kompleksowych technologii ochrony Gdyby współczesne zagrożenia nie były tak złożone, do ochrony przed infekcjami szkodliwym oprogramowaniem wystarczyłyby programy do skanowania plików (nazywane programami antywirusowymi). Nie jest to jednak wystarczające zabezpieczenie, gdy dostępne są zestawy narzędzi do tworzenia szkodliwego kodu na żądanie i oprogramowania polimorficznego, a także do wykorzystywania luk typu zero-day. Aby lepiej zapobiegać atakom, w punktach końcowych należy wdrożyć ochronę sieciową i technologię oceny reputacji. W znajdowaniu szkodliwego oprogramowania, które przeniknęło przez zabezpieczenia prewencyjne, pomagają funkcje blokad na podstawie zachowania i regularne skanowanie plików. Chroń witryny internetowe dostępne publicznie Dobrym pomysłem jest wprowadzenie szyfrowania interakcji gości technologią Always on SSL (Zawsze aktywne certyfikaty SSL) w całej witrynie, nie tylko na stronach zarządzania kontem i realizacji zakupu. Należy pamiętać o regularnym aktualizowaniu oprogramowania systemu zarządzania treścią i serwera WWW (tak jak aktualizuje się komputery klienckie). Aby szybko wykrywać problemy, witryny należy skanować pod kątem szkodliwego oprogramowania i luk w zabezpieczeniach. Silne hasła do kont administratorów i innych usług pomagają w ochronie ważnych poświadczeń przed sztuczkami socjotechnicznymi i phishingiem. Możliwość logowania do ważnych serwerów WWW należy ograniczyć tylko do użytkowników potrzebujących dostępu do tych serwerów. Dzięki wdrożeniu technologii zawsze aktywnych certyfikatów SSL można lepiej chronić dane kont przed przesyłaniem przez nieszyfrowane połączenia, co z kolei stanowi zabezpieczenie przed atakami typu man-in-the-middle. Chroń certyfikaty do podpisywania kodu Właściciele certyfikatów powinni bezwzględnie przestrzegać rygorystycznych zasad ochrony kluczy. Oznacza to stosowanie skutecznych zabezpieczeń fizycznych, używanie sprzętowych kryptograficznych modułów zabezpieczających oraz zabezpieczeń na poziomie sieci i punktów końcowych. Zalecane jest wdrożenie funkcji zapobiegania utracie danych na serwerach biorących udział w podpisywaniu kodu oraz zastosowanie najwyższej klasy zabezpieczeń w aplikacjach służących do podpisywania. Poza tym podmioty certyfikujące muszą zapewnić zgodność z najlepszymi praktykami w zakresie bezpieczeństwa na każdym etapie procesu uwierzytelniania. Niezwłocznie instaluj aktualizacje i wprowadź zmiany w procesach wdrażania poprawek Większość ataków z użyciem witryn internetowych polega na wykorzystaniu 20 najczęstszych luk w zabezpieczeniach. W związku z tym aby zapobiec większości ataków, wystarczy instalować poprawki usuwające znane luki. Aktualizowanie oprogramowania i instalowanie poprawek jest niezwykle istotne. Niedawne ataki za pośrednictwem platformy Java pokazały, że lepiej zrezygnować z korzystania z danego oprogramowania niż używać jego nieaktualnej wersji. Dotyczy to w równym stopniu dyrektorów działów informatycznych zarządzających tysiącami kont, właścicieli firm zatrudniających kilkadziesiąt osób i użytkowników domowych. Należy używać mechanizmów automatycznego aktualizowania opracowanych przez producentów oprogramowania, które umożliwiają szybkie stosowanie aktualizacji i poprawek oraz wycofywanie przestarzałych, niezabezpieczonych przeglądarek, aplikacji i wtyczek do przeglądarek (dotyczy to szczególnie najczęściej wykorzystywanych luk w zabezpieczeniach). Większość producentów stara się regularnie wydawać poprawki usuwające luki w zabezpieczeniach. Skuteczność takich poprawek zależy jednak od ich właściwego zastosowania. Podczas wdrażania w firmie standardowych obrazów oprogramowania należy pamiętać, że mogą one zawierać przestarzałe i niebezpieczne wersje przeglądarek, aplikacji i wtyczek. Warto usuwać podatne na ataki wtyczki z obrazów systemów przeznaczonych dla pracowników, którzy ich nie potrzebują. Gdy tylko jest to możliwe, należy stosować mechanizmy automatycznego instalowania poprawek, aby skutecznie usuwać luki w zabezpieczeniach w całej firmie. s. 10

11 SERWISY SPOŁECZNOŚCIOWE, URZĄDZENIA PRZENOŚNE I CHMURY

12 SERWISY SPOŁECZNOŚCIOWE, URZĄDZENIA PRZENOŚNE I CHMURY Ofensywa spamu i phishingu w mediach społecznościowych W ostatnich latach można było zauważyć znaczny wzrost aktywności związanej ze spamem i phishingiem w serwisach społecznościowych. Przestępcy zaczęli chętniej odwiedzać te popularne witryny. Wzrost popularności Facebooka i Twittera wśród użytkowników wiąże się niestety ze wzrostem aktywności przestępczej. W ubiegłym roku przestępcy internetowi zaczęli jednak atakować także nowe, szybko rozwijające się witryny, takie jak Instagram, Pinterest czy Tumblr. Częstą metodą stosowaną przez oszustów są fałszywe bony upominkowe i ankiety. Tego typu oszustwa to ponad połowa (56%) wszystkich ataków w mediach społecznościowych. Oto przykład takiego oszustwa: ofiara widzi na tablicy jakiejś osoby na Facebooku lub na kanale informacyjnym usługi Pinterest (pojawiają się tam wpisy obserwowanych osób lub należące do wybranych kategorii) wpis o treści Kliknij tutaj, a otrzymasz bon na 100 PLN. Po kliknięciu łącza następuje przejście do witryny, w której użytkownik jest proszony o zarejestrowanie się w celu skorzystania z ciekawej oferty, a przy okazji o podanie danych osobowych. Oszuści otrzymują zapłatę za każdą rejestrację, a o żadnych bonach oczywiście nie ma mowy. Sfałszowana witryna z fikcyjną ankietą. Typowe oszustwo w serwisie społecznościowym. Inny podstęp polega na nakłonieniu ofiary do podania danych osobowych i haseł (np. danych konta na Facebooku lub Twitterze) przy użyciu sfałszowanej witryny internetowej. Tego typu przebiegłe próby wyłudzenia danych (phishingu) często wykorzystują fascynację sławnymi osobami, np. sportowcami, aktorami czy piosenkarzami. Zaobserwowaliśmy wzrost liczby przypadków phishingu nakierowanych na konkretne kraje i związanych z pochodzącymi z nich sławnymi ludźmi. W 2012 r. mieliśmy do czynienia z ogromną liczbą zagrożeń związanych z serwisami społecznościowymi. Powstawały także coraz to nowe kanały i platformy dające przestępcom jeszcze więcej możliwości. Szczególnie niebezpieczne są te z nich, z których można korzystać wyłącznie za pomocą aplikacji dla urządzeń przenośnych. Jest bardzo prawdopodobne, że właśnie kanały umożliwiające mobilny dostęp do serwisów społecznościowych staną się ważnym celem ataków w 2013 r., zwłaszcza tych wymierzonych w nastolatków i młodych dorosłych, którzy mogą nie być w stanie ich rozpoznać, a przy tym często nie mają zwyczaju odpowiednio chronić swoich danych osobowych. s. 12

13 ZALECENIA Zagrożenia z serwisów społecznościowych to problem firm Firmy zwykle nie chcą zupełnie blokować dostępu do serwisów społecznościowych, więc potrzebują ochrony przed szkodliwym oprogramowaniem rozpowszechnianym w tych i innych witrynach internetowych. Oznacza to potrzebę instalacji zabezpieczeń wielowarstwowych w całej sieci firmy i na komputerach klienckich. Wymagane jest także regularne instalowanie poprawek i aktualizacji w celu zmniejszenia ryzyka infekcji przez pobranie kodu bez wiedzy użytkownika (ataki drive-by ). Konieczne jest również szkolenie użytkowników i wprowadzenie klarownych zasad, szczególnie dotyczących zakresu danych osobowych, które można podawać w Internecie. s. 13

14 SZKODLIWE OPROGRAMOWANIE, SPAM I PHISHING

15 SZKODLIWE OPROGRAMOWANIE, SPAM I PHISHING Szkodliwe oprogramowanie i sztuczki socjotechniczne stanowią powszechny problem już od dłuższego czasu. Ataki wykorzystujące te techniki są znane od bardzo dawna, ale wciąż ewoluują i są poważnym zagrożeniem dla użytkowników indywidualnych oraz firm. Ich dodatkowa szkodliwość polega na osłabieniu wiarygodności wszelkich działań prowadzonych w Internecie. Te obecne od dłuższego czasu zagrożenia nie pojawiają się w nagłówkach gazet, ponieważ są traktowane jak szum w tle, ale to nie znaczy, że są nieistotne. Dobrym porównaniem będzie różnica między wypadkami lotniczymi i drogowymi. Jedna katastrofa lotnicza od razu trafia na pierwsze strony wszystkich gazet, a nikt nie pisze o liczbie zabitych na drogach, chociaż każdego roku jest ich znacznie więcej 5. Przykładem tego zjawiska jest popularność oprogramowania ransomware. Jego działanie polega na trwałym zablokowaniu dostępu do komputera, chyba że jego właściciel zapłaci ustaloną grzywnę twórcom. Skutkuje to dalszą utratą zaufania, a naprawa szkód jest kosztowna. Przy okazji widać też bezwzględność i stopień zaawansowania sprawców. O skali zagrożenia świadczą liczby. Na przykład wykryto próbę zainfekowania komputerów w ciągu 18 dni przez szkodliwe oprogramowanie o nazwie Reveton (znane też jako Trojan.Ransomlock.G). Według przeprowadzonych niedawno badań firmy Symantec, którym poddano dorosłych osób w 24 krajach, średnie straty poniesione na skutek cyberprzestępstw wynosiły 197 USD 6. Szacuje się, że w ciągu ostatnich 12 miesięcy 556 mln osób dorosłych miało do czynienia z jakąś formą cyberprzestępczości. W skrócie Pojawiają się coraz bardziej przebiegłe i dochodowe formy szkodliwego oprogramowania (np. ransomware). Ilość spamu w poczcie ponownie spadła (o 29% w 2012 r.), ponieważ spamerzy przenieśli działalność do serwisów społecznościowych. Phishing jest bardziej wyrafinowany, a jego głównym celem są serwisy społecznościowe. Oprogramowanie ransomware blokuje dostęp do komputera, chyba że jego właściciel zapłaci ustaloną grzywnę twórcom. W większości przypadków zapłata nie owocuje jednak odblokowaniem komputera. s. 15

16 SZKODLIWE OPROGRAMOWANIE, SPAM I PHISHING Szkodliwe oprogramowanie W 2012 r. jedna wiadomość na 291 zawierała wirusa. W 2011 r. była to jedna na 239 wiadomości. 23% tych niebezpiecznych wiadomości zawierało adresy URL do szkodliwych witryn internetowych. Ta wartość także zmalała w porównaniu z 2011 r., kiedy to łącza do szkodliwych witryn można było znaleźć w 39% wiadomości uznanych za niebezpieczne. Podobnie jak w przypadku spamu i phishingu spadek liczby wiadomości zawierających wirusy niekoniecznie oznacza, że zmniejszyła się liczba ataków na użytkowników. Bardziej prawdopodobne jest, że nastąpiła zmiana taktyki, a celem ataków będą teraz inne obszary aktywności w Internecie, np. serwisy społecznościowe. 5 głównych celów ataków z użyciem szkodliwego oprogramowania wg branż Branża 1 na Sektor publiczny 1 na 72 Edukacja 1 na 163 Finanse 1 na 218 Marketing/multimedia 1 na 235 Zakwaterowanie/gastronomia 1 na głównych celów ataków z użyciem szkodliwego oprogramowania wg krajów Kraj 1 na Holandia 1 na 108 Luksemburg 1 na 144 Wielka Brytania 1 na 163 Republika Południowej Afryki 1 na 178 Niemcy 1 na głównych celów ataków z użyciem szkodliwego oprogramowania wg wielkości firm Wielkość firmy 1 na na na na na na 252 Ponad na 252 Stosunek liczby wiadomości zawierających wirusy do łącznej liczby wiadomości lata 2012 i 2011 Źródło: Symantec 1 na 50 1 na na na na 250 Ogólna liczba zmniejszyła się, wirusa zawierała 1 na 291 wiadomości. W 2011 r. średni wskaźnik zainfekowanych wiadomości wynosił 1 na na na na 400 STY LUT MAR KWI MAJ CZE LIP SIE WRZ PAŹ LIS GRU s. 16

17 SZKODLIWE OPROGRAMOWANIE, SPAM I PHISHING Udział wiadomości zawierających szkodliwe adresy URL w łącznej liczbie zainfekowanych wiadomości lata 2012 i 2011 Źródło: Symantec 70% STY LUT MAR KWI MAJ CZE LIP SIE WRZ PAŹ LIS GRU Liczba wiadomości zawierających szkodliwe adresy URL w 2012 r. znacznie spadła. W niektórych miesiącach była o więcej niż połowę niższa od wartości odnotowanej w danym miesiącu w 2011 r. W 2012 r. ok. 23% zainfekowanych wiadomości zawierało szkodliwe adresy URL zamiast załączników. W 2011 r. było to 39%. Liczba blokowanych dziennie ataków z użyciem szkodliwych witryn internetowych Źródło: Symantec TYSIĄCE W 2012 r. codziennie blokowano ok ataków z użyciem witryn internetowych. W 2011 r. było to ok ataków dziennie. Oznacza to wzrost na poziomie 30% LIP SIE WRZ PAŹ LIS GRU STY LUT MAR KWI MAJ CZE LIP SIE WRZ PAŹ LIS GRU s. 17

18 SZKODLIWE OPROGRAMOWANIE, SPAM I PHISHING Infekcje według typów witryn Na podstawie danych z Norton Safe Web rozwiązania firmy Symantec skanującego Internet w poszukiwaniu witryn zawierających szkodliwe oprogramowanie ustaliliśmy, że 61% szkodliwych witryn to w rzeczywistości zwykłe witryny internetowe zainfekowane szkodliwym kodem. Pierwsze miejsce pod względem liczby infekcji w tym roku zajmują witryny biznesowe, do których należą witryny firm z sektora klientów indywidualnych, przemysłu i usług. Przyczyną może być duża liczba zhakowanych witryn małych i średnich firm, które nie przeznaczają odpowiednich środków na ich ochronę. Witryny hakerskie, czyli służące do promocji i rozpowszechniania narzędzi przeznaczonych dla hakerów, wskoczyły od razu na drugie miejsce, mimo że nie było ich w ogóle w pierwszej piętnastce w 2011 r. Na trzecim miejscu uplasowały się witryny związane z technologią i telekomunikacją (komputery, Internet i rozwiązania telekomunikacyjne). Do tej kategorii należy 5,7% wszystkich zainfekowanych witryn, a to zaledwie o 1,2% mniej niż w 2011 r. Piąte miejsce utrzymały witryny służące do kupowania produktów i usług online, jednak ich udział zmalał o 4,1%. Warto zauważyć, że witryny usług hostingowych zajęły dopiero siódme miejsce, podczas gdy w 2011 r. były na drugim miejscu. Usługi hostingowe umożliwiają użytkownikom i firmom dostęp do systemów, witryn internetowych i pamięci masowej online. Wprowadzenie szerokiej oferty rozwiązań tego typu przez Google, Dropbox i inne firmy spowodowało zmniejszenie popularności mniej wiarygodnych rozwiązań hostingowych, co mogło być przyczyną tego spadku. Również witryny blogowe zanotowały znaczny spadek, plasując się w 2012 r. na czwartej pozycji. Zdaje się to potwierdzać teorię, że użytkownicy wolą korzystać z serwisów społecznościowych i tam wymieniać informacje. Twórcy szkodliwego oprogramowania z łatwością umieszczają swój kod w witrynach tego typu i rozpowszechniają go na wiele sposobów. Infekcje według typów witryn Źródło: Symantec Miejsce 10 najpopularniejszych szkodliwych programów w 2012 r. Źródło: Symantec Główne kategorie z największą liczbą zainfekowanych witryn 1 Biznes 7,7% 2 Hakowanie 7,6% 3 Technologia i telekomunikacja 5,7% 4 Blogowanie 4,5% 5 Sklepy internetowe 3,6% 6 Znane szkodliwe domeny 2,6% 7 Hosting 2,3% 8 Motoryzacja 1,9% 9 Opieka zdrowotna 1,7% 10 Edukacja 1,7% Udział witryn z tej kategorii w łącznej liczbie infekcji Miejsce Nazwa szkodliwego oprogramowania Odsetek 1 W32.Sality.AE 6,9% 2 W32.Ramnit.B 5,1% 3 W32.Downadup.B 4,4% 4 W32.Virut.CF 2,2% 5 W32.SillyFDC 1,1% 6 W32.Mabezat.B 1,1% 7 W32.Xpaj.B 0,6% 8 W32.Changeup 0,6% 9 W32.Downadup 0,5% 10 W32.Imaut 0,4% s. 18

19 SZKODLIWE OPROGRAMOWANIE, SPAM I PHISHING Ukryte szkodliwe oprogramowanie o działaniu długofalowym Przestępcy internetowi zarabiają także na oprogramowaniu, które pozostaje w ukryciu na komputerach ofiar. Takie programy działają na tysiącach komputerów i są koordynowane przez botnety. Ich działanie polega na wysyłaniu spamu lub generowaniu kliknięć reklam w witrynach internetowych (które z kolei generują przychody dla właścicieli witryn). Te techniki nie przynoszą natychmiastowych zysków jak oprogramowanie ransomware, jednak dość trudno jest je wykryć, a jeszcze trudniej usunąć szkodliwy kod (który jest bardzo zmyślnie napisany). W związku z tym mogą generować stałe przychody w długim okresie. Zaawansowany phishing W 2012 r. spadła ilość spamu, wzrosła za to liczba ataków z użyciem phishingu. Przestępcy używają niezwykle wymyślnych metod do przygotowania fałszywych witryn internetowych (czasem są to idealne repliki prawdziwych witryn), których zadaniem jest oszukanie użytkowników w taki sposób, aby przekazali swoje dane osobowe, hasła, numery kart kredytowych i dane kont bankowych. W przeszłości używane były głównie fałszywe wiadomości , jednak obecnie ofiary są wabione także wpisami w serwisach społecznościowch. Wystarczy kliknąć umieszczone tam łącze, aby nieświadomie przejść do zaawansowanej witryny wyłudzającej informacje. Gdy przestępcom uda się przechwycić dane logowania do serwisu społecznościowego, mogą wysyłać kolejne fałszywe wiadomości do znajomych ofiary. Wiadomość wysłana z konta znajomego wygląda bardziej wiarygodnie. Innym sposobem użycia skradzionego konta w serwisie społecznościowym jest wysyłanie wiadomości do znajomych z prośbą o pomoc. Na przykład: Jestem na wczasach, a ktoś mi ukradł portfel. Proszę, wyślij mi szybko 200 zł. Aby ominąć zabezpieczenia i filtry, przestępcy tworzą skomplikowane adresy witryn i używają usług skracania adresów URL. Korzystają także ze sztuczek socjotechnicznych, aby nakłonić ofiary do klikania łączy. W ubiegłym roku wysyłane przez nich wiadomości dotyczyły głównie sławnych osób, filmów, sportowców oraz atrakcyjnych gadżetów, np. smartfonów i tabletów. W 2012 r. liczba witryn służących do phishingu, które miały certyfikaty SSL w celu przekonania użytkowników o swojej wiarygodności, wzrosła o 46% w porównaniu z poprzednim rokiem. Zaobserwowaliśmy znaczny (trzykrotny) wzrost aktywności związanej z phishingiem w krajach nieanglojęzycznych. Szczególnie dotyczy to Korei Południowej. Języki inne niż angielski, w których powstaje najwięcej witryn wyłudzających informacje, to francuski, włoski, portugalski, chiński i hiszpański. Zwykle fałszowane są witryny banków i wystawców kart kredytowych (jak można się spodziewać), ale także popularne serwisy społecznościowe. W 2012 r. liczba witryn wyłudzających informacje, które udawały serwisy społecznościowe, wzrosła o 123%. s. 19

20 ZALECENIA Chroń się przed sztuczkami socjotechnicznymi Zarówno użytkownicy indywidualni, jak i firmy muszą nauczyć się rozpoznawać cechy charakterystyczne sztuczek socjotechnicznych, takie jak wywieranie nadmiernej presji, niezasłużone pochlebstwa, fałszywe wrażenie pośpiechu, podejrzanie korzystne oferty, oficjalny język lub dane służbowe mające wywołać wrażenie autentyczności (np. długie numery referencyjne), mało wiarygodne okoliczności (np. telefon od przedstawiciela firmy Microsoft z informacją o znalezieniu wirusa na komputerze), a także fałszywe oferty wymiany (np. prezent w zamian za podanie danych osobowych lub innych poufnych informacji). Zachowuj ostrożność Należy pamiętać, że każda niespodziewana wiadomość od znajomych lub rodziny (np. od matki lub współpracownika) może być fałszywa. Konto drugiej osoby mogło zostać skutecznie zaatakowane przy użyciu sztuczki socjotechnicznej. s. 20

21 SPOJRZENIE W PRZYSZŁOŚĆ

22 SPOJRZENIE W PRZYSZŁOŚĆ Przedstawiamy główne wyzwania i problemy czekające nas w przyszłym roku: Więcej cyberataków sponsorowanych przez rządy państw W ostatnich kilku latach nasiliły się cyberataki z użyciem coraz bardziej zaawansowanych technik. W czasie pokoju można łatwo wyprzeć się odpowiedzialności za nie; w czasie wojny są to niezwykle przydatne narzędzia. W cyberprzestrzeni nadal będzie dochodzić do spięć między państwami, które prowadzą spory polityczne. Ponadto oprócz ataków sponsorowanych przez rządy wciąż będą miały miejsce ataki sponsorowane przez inne organizacje, np. organizacje nacjonalistyczne chcące zaszkodzić prawdziwym lub wymyślonym przeciwnikom swojego kraju. Producenci zabezpieczeń oraz zwykłe firmy muszą przygotować się na niezamierzone skutki tych ataków, a także (jak zawsze) dołożyć wszelkich starań, aby uniknąć wszelkiego rodzaju ataków ukierunkowanych. Rosnąca popularność zaawansowanych technik ataków Wiedza uzyskana na potrzeby szpiegostwa przemysłowego i wojen w cyberprzestrzeni zostanie spożytkowana przez hakerów w celu zwiększenia ich zysków. Na przykład luki typu zero-day wykorzystane przez grupę Elderwood Gang zostaną użyte przez innych autorów szkodliwego oprogramowania. Twórcy szkodliwego kodu będą też mogli korzystać z zestawów narzędzi do tworzenia takiego oprogramowania rozpowszechnianych metodą open source (przykładem jest zestaw Zeus, znany także jako Zbot), prawdopodobnie w celu utrudnienia organom ścigania znalezienia prawdziwych autorów. Wzrost zagrożenia ze strony witryn internetowych Infekcje typu drive-by (pobieranie bez wiedzy użytkownika) staną się jeszcze powszechniejsze i trudniejsze do zablokowania bez zaawansowanego oprogramowania zabezpieczającego. Przestępcy będą częściej atakować przy użyciu witryn internetowych, infekując komputery użytkowników za pomocą malvertisingu i gotowych narzędzi do przygotowywania ataków. Od producentów oprogramowania będzie się wymagać szybszego usuwania luk w zabezpieczeniach. Użytkownicy i zatrudniające ich firmy muszą bardziej skupić się na ochronie prywatności i bezpieczeństwa swoich danych w nowym świecie mediów społecznościowych. Znaczny wzrost natężenia ataków w mediach społecznościowych Serwisy społecznościowe stanowią dziś połączenie elementów systemu operacyjnego, platformy komunikacyjnej i sieci reklamowej. Gdy staną się powszechne na urządzeniach przenośnych i zostanie w nich dodana obsługa płatności, zyskają jeszcze większą popularność wśród cyberprzestępców zajmujących się szkodliwym oprogramowaniem, phishingiem, spamem i oszustwami. Liczba ataków z użyciem tradycyjnego spamu, phishingu i szkodliwego oprogramowania utrzyma się lub nieznacznie spadnie, spodziewamy się natomiast ogromnego skoku liczby ataków w mediach społecznościowych. W miarę powstawania nowych narzędzi społecznościowych i zdobywania przez nie popularności przestępcy będą nakierowywać swoją działalność na te obszary. Uważamy ponadto, że ważnym obszarem ataków przestępców będą aplikacje społecznościowe na smartfony, ponieważ ich głównymi użytkownikami są nastolatkowie, młodzi dorośli i inne osoby, które mogą nie mieć w zwyczaju odpowiednio chronić swoich danych osobowych ani zabezpieczać urządzeń przed oszustwami. s. 22

23 SPOJRZENIE W PRZYSZŁOŚĆ Więcej ataków na dostawców usług w chmurze Dotychczas największe przypadki naruszenia integralności danych dotyczyły firm gromadzących duże ilości danych osobowych, np. zakładów opieki zdrowotnej, sklepów online czy firm świadczących usługi związane z grami. W 2013 r. spodziewamy się wielu różnych rodzajów ataków skierowanych przeciw dostawcom oferującym oprogramowanie w chmurze. Coraz bardziej przebiegłe rodzaje szkodliwego oprogramowania Szkodliwe oprogramowanie początkowo służyło głównie do kradzieży danych i obsługi botnetów (i wciąż jest powszechnie używane do tych celów), później używano go m.in. do informowania o fałszywych infekcjach wirusowych, a w 2012 r. popularne było blokowanie komputerów w celu wyłudzenia okupu (ransomware). Spodziewamy się, że w miarę upływu czasu tego typu ataki będą jeszcze groźniejsze i szkodliwsze, a przy tym przygotowane na coraz bardziej profesjonalnym poziomie. Gdy przestępcy przekonają się, jak zyskowne są działania związane z wymuszeniami, mogą wymyślić ich różne odmiany, np. programy grożące usunięciem zawartości dysku twardego, a następnie rzeczywiście wymazujące dysk. Szkodliwy program o nazwie Shamoon wykryty w sierpniu usuwał dane z zainfekowanych komputerów. Można zakładać, że jeśli to możliwe, ktoś spróbuje to zrobić, a jeśli okaże się to opłacalne, zrobi to wiele kolejnych osób. Wzrost znaczenia szkodliwego oprogramowania na urządzenia przenośne Serwisy społecznościowe zaczynają pełnić rolę systemu operacyjnego w przypadku komputerów, a telefony komórkowe i tablety stają się nową platformą sprzętową. Tablety i smartfony będą coraz popularniejsze i z pewnością przyciągnie to przestępców. Mechanizmy i zjawiska, które w przypadku komputerów potrzebowały do osiągnięcia obecnego stanu ponad dekady, na smartfonach i tabletach staną się naprawdę groźne dużo szybciej. Już w przyszłym roku na tych nowych platformach można spodziewać się infekcji oprogramowaniem typu ransomware i drive-by. W 2013 r. będzie to poważnym problemem dla firm korzystających z urządzeń tego typu lub pozwalającym pracownikom na korzystanie z nich w pracy. Ciągłe zagrożenie phishingiem Tożsamości użytkowników są cenne, więc przestępcy będą nadal próbować je wykradać. Ataki z użyciem phishingu będą coraz bardziej sprytne i wymyślne. Na przykład można się spodziewać jeszcze doskonalszych kopii witryn, a także witryn wyłudzających informacje z szyfrowaniem SSL. Zjawisko phishingu będzie bardziej zróżnicowane regionalnie i obejmie większą liczbę języków, co zapewni mu większą skuteczność i utrudni blokowanie groźnych witryn. Przewidujemy, że będzie się ono nadal dynamicznie rozwijać w serwisach społecznościowych, wykorzystując ich popularność i łatwy dostęp do użytkowników za pośrednictwem wiadomości, które wyglądają na wiarygodne. s. 23

24 ŹRÓDŁA Na przykład w USA wg Narodowej Rady Bezpieczeństwa Transportu w 2010 r. w wypadkach lotniczych zginęły 472 osoby, a w wypadkach drogowych osób s. 24

25 WSS KRÓTKIE WPROWADZENIE Extended Validation SSL Stosowanie certyfikatów Extended Validation (EV) SSL sprawdziło się w przypadku firm mających bardzo popularną markę jako skuteczny sposób obrony przed phishingiem. Jest to też jeden z najlepszych sposobów na budowanie wiarygodności w Internecie. W firmach prowadzących działalność online wdrożenie certyfikatów SSL z technologią EV może bardzo pozytywnie wpłynąć na osiągane wyniki finansowe. Najważniejsze cechy certyfikatów EV firmy Symantec Technologia Extended Validation powoduje wyświetlanie zielonego paska adresu w przeglądarkach internetowych potwierdzającego, że witryna przeszła szeroko zakrojony proces weryfikacyjny Szyfrowanie kluczem o długości do 256 bitów Pieczęć Norton Secured Seal wraz z technologią Symantec Seal-in-Search (pieczęć w wynikach wyszukiwania) zapewnia maksymalne wskaźniki klikalności i konwersji Ocena luk w zabezpieczeniach witryny oraz codzienne skanowanie pod kątem szkodliwego oprogramowania poprawiają ochronę przed atakami Pomoc techniczna dostępna przez 24 godziny na dobę, 7 dni w tygodniu Rozwiązanie Symantec SSL Assistant automatycznie generuje żądania CSR i instaluje certyfikaty Ponadto: narzędzie SSL Installation Checker, bezpłatne odwoływanie i wymienianie certyfikatów oraz gwarancja finansowa na poziomie USD. Zdobądź zielony pasek adresu. Identified by Norton Pasek stanu zabezpieczeń przełącza się między nazwą firmy a nazwą podmiotu certyfikującego, który przeprowadził procedurę uwierzytelniania Extended Validation. Pieczęć Norton Secured Seal Zmień gości w lojalnych klientów, umieszczając w witrynie pieczęć, która jest rozpoznawana i uznawana za wiarygodną przez dużą grupę klientów online. Pieczęć Norton Secured Seal jest wyświetlana ponad 750 milionów razy dziennie w witrynach internetowych w ponad 170 krajach na całym świecie. Rozwiązanie Symantec AdVantage Oprogramowanie Symantec AdVantage monitoruje witrynę w czasie rzeczywistym i wykrywa problem, gdy tylko szkodliwa zawartość zostanie umieszczona w witrynie. Twoja witryna nie trafi już na czarne listy wyszukiwarek (o czym zwykle dowiadujesz się, gdy ustaje w niej ruch) teraz można podjąć działanie i zablokować sieć, z której pochodzi podejrzana reklama, zachowując bezpieczeństwo klientów i nieskalaną reputację. s. 25

26 INFORMACJE O FIRMIE SYMANTEC Firma Symantec zajmuje się ochroną informacji i jest światowym liderem w dziedzinie zabezpieczeń oraz rozwiązań do tworzenia kopii zapasowych i zapewniania dostępności systemów. Nasze innowacyjne produkty i usługi chronią ludzi oraz informacje w każdym środowisku od najmniejszych urządzeń przenośnych przez centra przetwarzania danych w przedsiębiorstwach aż do systemów w chmurze. Nasza ceniona na świecie specjalistyczna wiedza w zakresie ochrony danych, tożsamości i interakcji zapewnia klientom poczucie bezpieczeństwa w globalnej sieci. Więcej informacji można uzyskać na stronie lub kontaktując się z firmą Symantec pod adresem: go.symantec.com/socialmedia Dodatkowe informacje Zestawienie zagrożeń globalnych z usług Symantec.cloud: Zespół firmy Symantec ds. reagowania na zagrożenia bezpieczeństwa (Symantec Security Response): Raport Internet Security Threat Report (strona zasobów): Narzędzie Norton Threat Explorer: Narzędzie Norton Cybercrime Index: Rozwiązania firmy Symantec w zakresie zabezpieczeń witryn internetowych: s. 26 Raport o o zagrożeniach bezpieczeństwa witryn internetowych 2013

27 ŚLEDŹ NASZE WPISY UDOSTĘPNIAJ Adresy biur lokalnych i numery kontaktowe można znaleźć w naszej witrynie internetowej. Informacje o naszych produktach można uzyskać pod numerem telefonu: lub wybierz opcję 2, a następnie 1 Symantec w Polsce Symantec Poland Sp. z o.o. ul. Postępu 17A, Warszawa Polska Symantec Corporation. Wszelkie prawa zastrzeżone. Nazwa Symantec, logo Symantec, logo Checkmark Circle oraz logo Norton Secured są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Symantec Corporation lub jej oddziałów w USA i innych krajach. Inne nazwy mogą być znakami towarowymi odpowiednich podmiotów. s. 27 Raport Raport o zagrożeniach o bezpieczeństwa witryn internetowych 2013