SYMANTEC ENTERPIRSE SECURITY Raport firmy Symantec na temat bezpieczeństwa w Internecie Tendencje w okresie lipiec-grudzień 2004 r. Wydanie VII, marzec 2005 r.
Dean Turner Redaktor Prowadzący dział Symantec Security Response Stephen Entwisle Redaktor dział Symantec Security Response Oliver Friedrichs Doradca Techniczny dział Symantec Security Response David Ahmad Kierownik ds. Rozwoju dział Symantec Security Response Daniel Hanson Analityk Zagrożeń (System DeepSight) dział Symantec Security Response Marc Fossi Analityk Zagrożeń (System DeepSight) dział Symantec Security Response Sarah Gordon Starszy Pracownik Badawczy dział Symantec Security Response Peter Szor Architekt Zabezpieczeń dział Symantec Security Response Eric Chien Pracownik Badawczy ds. Zabezpieczeń dział Symantec Security Response David Cowings Sr. Business Intelligence Manager dział Symantec Business Intelligence Dylan Morss Główny Analityk ds. Inteligentnej Analizy Danych dział Symantec Business Intelligence Brad Bradley Starszy Analityk ds. Inteligentnej Analizy Danych dział Symantec Business Intelligence
Wydanie VII, marzec 2005 r. Raport firmy Symantec Spis treści Streszczenie dla kierownictwa................................................... 4 Tendencje dotyczące ataków................................................... 13 Tendencje dotyczące luk w zabezpieczeniach....................................... 33 Tendencje dotyczące destrukcyjnego kodu......................................... 46 Dodatkowe zagrożenia dla bezpieczeństwa......................................... 60 Spojrzenie w przyszłość...................................................... 75 Załącznik A Najlepsze procedury zalecane przez firmę Symantec........................ 80 Załącznik B Metodyka badań tendencji dotyczących ataków........................... 82 Załącznik C Metodyka badań tendencji dotyczących luk w zabezpieczeniach............... 87 Załącznik D Metodyka badań tendencji dotyczących destrukcyjnego kodu................. 91 Załącznik E Metodyka badań dodatkowych zagrożeń bezpieczeństwa..................... 92
Streszczenie dla kierownictwa Niniejszy Raport firmy Symantec zawiera informacje o zagrożeniach internetowych za okres sześciu miesięcy. Obejmuje analizę ataków internetowych, przegląd znanych luk w zabezpieczeniach oraz omówienie najważniejszych rodzajów destrukcyjnego kodu i dodatkowych zagrożeń bezpieczeństwa. Niniejszy rozdział zawiera streszczenie Raportu oraz zwraca uwagę czytelnika na bieżące tendencje i nowe, nieuchronnie zbliżające się zagrożenia. Ponadto w rozdziale tym podajemy nasze zalecenia dotyczące ochrony przed sygnalizowanymi problemami i niwelowania ich skutków. Niniejsze VII wydanie Raportu obejmuje okres sześciomiesięczny od 1 lipca 2004 r. do 31 grudnia 2004 r. Firma Symantec stworzyła jedno z najpełniejszych na świecie źródeł danych o zagrożeniach w Internecie. Dane są zbierane przez ponad 20 tys. czujników zainstalowanych w przeszło 180 krajach w ramach systemu zarządzania zagrożeniami Symantec DeepSight Threat Management System oraz usług zarządzania ochroną Symantec Managed Security Services. Firma Symantec gromadzi ponadto dane na temat destrukcyjnego kodu, oprogramowania szpiegowskiego oraz typu adware z ponad 120 mln systemów klienckich i serwerowych oraz bram działających u użytkowników indywidualnych i w środowiskach korporacyjnych, w których wdrożono produkty antywirusowe firmy Symantec. Ponadto firma Symantec utrzymuje jedną z najbardziej kompleksowych na świecie baz danych na temat luk w zabezpieczeniach, która obejmuje ponad 11 tys. luk w zabezpieczeniach przeszło 20 tys. technologii dostarczanych przez ponad 2 tys. producentów. Firma Symantec prowadzi również serwis BugTraq jedno z najpopularniejszych forów internetowych poświęconych ujawnianiu i omawianiu luk w zabezpieczeniach. Oprócz tego sieć Symantec Probe Network system sond obejmujący ponad 2 mln kont-przynęt zwabia wiadomości e-mail z ponad 20 krajów świata, umożliwiając nam monitorowanie globalnej aktywności w zakresie spamu (rozsyłania niechcianej poczty elektronicznej) i phishingu (oszustw polegających na wyłudzaniu poufnych danych). Wyżej wymienione zasoby stanowią dla analityków firmy Symantec znakomite źródła danych pozwalających na rozpoznawanie nowych tendencji w zakresie ataków i destrukcyjnego kodu. Niniejszy Raport firmy Symantec opiera się głównie na fachowej analizie danych zebranych w wyżej omówiony sposób. Dzięki wiedzy i doświadczeniu firmy Symantec, analiza ta pozwala na sformułowanie przemyślanych i kompetentnych uwag na temat aktualnego stanu zagrożeń internetowych. Firma Symantec ma nadzieję, że analizy zagrożeń internetowych przedstawione w niniejszym Raporcie pomogą społeczności zainteresowanej bezpieczeństwem systemów komputerowych efektywniej zabezpieczać swoje systemy, zarówno dzisiaj jak i w przyszłości. Phishing narastające zagrożenie W poprzedniej edycji Raportu firmy Symantec wskazaliśmy na phishing jako nowe zagrożenie dla bezpieczeństwa 1. Phishing jest to próba wyłudzenia przez nieupoważnioną osobę informacji od osoby, grupy przedsiębiorstwa lub instytucji, często w celu uzyskania nielegalnych korzyści finansowych bądź w innych oszukańczych celach. Próby takie są często przeprowadzane za pośrednictwem przeglądarki WWW i wykorzystują socjotechniki. Phishing stanowi poważne zagrożenie nie tylko dla użytkowników indywidualnych, lecz także dla przedsiębiorstw handlu elektronicznego, instytucji finansowych oraz innych firm i instytucji 4 1 Raport firmy Symantec, wyd. VI (wrzesień 2004 r.), str. 44: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539
przeprowadzających transakcje za pośrednictwem Internetu. Hakerzy stosujący phishing często fałszują adresy źródłowe poczty elektronicznej oraz wykorzystują fałszywe witryny WWW i konie trojańskie dostarczane skrycie za pośrednictwem przeglądarki WWW w celu wprowadzenia użytkownika w błąd i nakłonienia go do ujawnienia poufnych informacji, takich jak numery kart kredytowych, dane pozwalające na przeprowadzanie transakcji bankowych online czy inne tego rodzaju informacje. Jeśli użytkownicy indywidualni stracą zaufanie do transakcji przeprowadzanych za pośrednictwem Internetu, przedsiębiorstwa i instytucje opierające swoją działalność na takich transakcjach poniosą poważne straty finansowe. Świadectwem nasilenia się tych zagrożeń jest wzrost liczby zablokowanych prób phishingu. W połowie lipca 2004 r. filtry przeciwdziałające oszustwom Symantec Brightmail AntiSpam blokowały 9 mln prób phishingu tygodniowo. Do końca grudnia liczba ta wzrosła do średnio ponad 33 mln zablokowanych wiadomości tygodniowo. Firma Symantec przewiduje, że w następnym roku phishing będzie w dalszym ciągu poważnym zagrożeniem. Obrona systemów przed atakami typu phishing jest trudna. W miarę jak rośnie zaawansowanie technik fałszowania poczty elektronicznej i witryn internetowych, coraz trudniej jest odróżniać legalne wiadomości i witryny od fałszywych. Firma Symantec zaleca, aby oprócz stosowania najlepszych procedur postępowania, przedsiębiorstwa i instytucje zadbały o ogólną edukację użytkowników w zakresie phishingu, a w szczególności aby informowały ich o nowych oszustwach tego rodzaju 2. Ponadto firma Symantec radzi użytkownikom, aby nigdy nie ujawniali informacji osobistych czy finansowych w przypadku najmniejszych wątpliwości co do autentyczności jakiejkolwiek wiadomości e-mail lub witryny WWW. Wzrost zagrożeń dla bezpieczeństwa aplikacji internetowych W poprzedniej edycji Raportu firmy Symantec zauważyliśmy wzrost liczby luk w zabezpieczeniach aplikacji internetowych 3. Sytuacja ta wzmaga obawy, że hakerzy będą w najbliższej przyszłości coraz częściej atakować aplikacje internetowe. Jak się wydaje, obawy te doprowadziły do podjęcia w minionym półroczu szeregu działań na rzecz wzmocnienia bezpieczeństwa. Aplikacje internetowe są to technologie, które w charakterze interfejsu użytkownika wykorzystują przeglądarkę i często są udostępniane z serwerów WWW w trybie hostingu. Zapewniają one użytkownikom wygodną metodę współużytkowania, tworzenia lub modyfikowania treści przy użyciu przeglądarki internetowej. Ataki na aplikacje internetowe są szczególnie niepokojące, ponieważ mogą udostępnić informacje publicznie przez Internet. Pozwalają atakującym dostać się do poufnych informacji z bazy danych bez łamania zabezpieczeń żadnego serwera. Umożliwiają również obejście tradycyjnych środków ochrony brzegów sieci, takich jak zapory ogniowe. Ataki takie są szczególnie niebezpieczne, ponieważ mogą zainfekować całą sieć po uzyskaniu dostępu do pojedynczego systemu. Typowe luki w zabezpieczeniach aplikacji internetowych wykorzystywane przez atakujących to błędy kontroli danych wejściowych i niewłaściwa obsługa przysyłanych żądań. Umożliwia to atakującym wykonanie destrukcyjnego kodu na atakowanej maszynie. Na przykład w grudniu 2004 r. został wykryty robak, określany jako Perl.Santy 4, który atakuje popularną aplikację internetową phpbb. 3 Raport firmy Symantec, wyd. VI (wrzesień 2004 r.), str. 30: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539 4 http://securityresponse.symantec.com/avcenter/venc/data/perl.santy.html 5
800 Udokumentowane luki w zabezpieczeniach 600 400 200 369 491 670 0 lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 1. Wzrost liczby luk w zabezpieczeniach aplikacji internetowych w okresie 18 miesięcy Źródło: Symantec Corporation W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec skatalogowała 670 luk w zabezpieczeniach aplikacji internetowych, co stanowi prawie połowę (48%) wszystkich luk wykrytych w tym okresie (patrz rys. 1). Wskaźnik ten jest znacznie wyższy niż w pierwszym półroczu 2004 r., gdy wyniósł 39%. Oznacza to, że najprawdopodobniej w najbliższej przyszłości aplikacje internetowe nadal będą celem ataków. Firma Symantec zaleca, aby administratorzy ds. ochrony stosowali się do najlepszych procedur postępowania opisanych w Załączniku A do niniejszego Raportu. Powinni także stale kontrolować aplikacje internetowe pod kątem ewentualnych luk w zabezpieczeniach oraz jak najszybciej instalować programy korygujące. Oprócz tego powinni oni dogłębnie przeanalizować zasady wdrażania i używania aplikacji internetowych oraz ograniczyć wdrożenia tylko do takich aplikacji, które są absolutnie niezbędne w działalności danego przedsiębiorstwa lub instytucji. Wzrost liczby i stopnia istotności luk w zabezpieczeniach W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec udokumentowała 1403 nowe luki w zabezpieczeniach. Stanowi to wzrost o 13% w stosunku do 1237 luk wykrytych w pierwszym półroczu 2004 r. Wzrost ten oznacza, że badanie luk w zabezpieczeniach staje się popularnym rodzajem działalności oraz że przedsiębiorstwa powinny być stale informowane o najnowszych lukach, które mogą mieć wpływ na ich środowiska. Prawie 97% wszystkich luk w zabezpieczeniach zgłoszonych w drugim półroczu 2004 r. zostało zakwalifikowanych do umiarkowanego lub wysokiego poziomu istotności (co oznacza możliwość 6
częściowego lub całkowitego opanowania systemu). Ponadto, ponad 70% wszystkich zgłoszonych luk w zabezpieczeniach zostało zakwalifikowanych jako łatwe do wykorzystania (co oznacza, że do ich wykorzystania nie jest potrzebny specjalny kod albo że kod taki jest łatwo dostępny). Problem ten jest dodatkowo spotęgowany faktem, że prawie 80% wszystkich udokumentowanych w badanym okresie luk w zabezpieczeniach to luki możliwe do wykorzystania zdalnie, co zwiększa liczbę potencjalnych hakerów, którzy mogliby je wykorzystać. Firma Symantec zaleca, aby poza stosowaniem najlepszych procedur postępowania, przedsiębiorstwa w dalszym ciągu monitorowały swoje systemy pod kątem ewentualnych luk w zabezpieczeniach oraz jak najszybciej instalowały programy korygujące. Ponadto firma Symantec zaleca, aby przedsiębiorstwa rozważyły subskrypcję usługi powiadamiania o lukach w zabezpieczeniach, która zapewni szybkie informowanie o takich lukach. Destrukcyjny kod i narażenie informacji poufnych na ujawnienie Niektóre rodzaje destrukcyjnego kodu są tworzone w celu kradzieży informacji poufnych z opanowanego systemu komputerowego. Niebezpieczeństwo ujawnienia informacji wiąże się z prawie wszystkimi rodzajami destrukcyjnego kodu, w tym z końmi trojańskimi, robakami, wirusami i programami typu tylne wejście do serwera. Po zainfekowaniu komputera przez kod destrukcyjny, atakujący może uzyskać dostęp do takich informacji, jak adresy e-mail, przechowywane w pamięci podręcznej dane umożliwiające zalogowanie, informacje poufne czy informacje finansowe, a także może takie informacje ujawnić bądź zmodyfikować. W ciągu trzech ostatnich badanych okresów półrocznych liczba zagrożeń, w których istnieje możliwość ujawnienia informacji poufnych, stale rosła. W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. zagrożenia tego rodzaju stanowiły 54% spośród 50 najczęściej otrzymywanych przez firmę Symantec próbek destrukcyjnego kodu, podczas gdy w pierwszym półroczu 2004 r. wskaźnik ten wyniósł 44%, a w drugim półroczu 2003 36%. Oznacza to wzrost o 23% w stosunku do okresu poprzedniego oraz o 50% w stosunku do analogicznego okresu poprzedniego roku (patrz rys. 2). Nasilenie zagrożeń związanych z narażeniem informacji wiąże się częściowo z obecnością oprogramowania typu bot i sieci komputerów nim zainfekowanych 5, które dzięki funkcjom zdalnego dostępu mogą ujawniać informacje poufne ze złamanych systemów komputerowych. Udział procentowy wśród 50 najczęściej zgłaszanych zagrożeń 60% 50% 40% 30% 20% 10% 0% 54% 44% 36% lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 2. Zagrożenia dla informacji poufnych ze strony destrukcyjnego kodu Źródło: Symantec 5 Boty (skrót od słowa robot ) to programy instalowane podstępnie w maszynie użytkownika, które pozwalają nieautoryzowanym użytkownikom na zdalny dostęp do 7
Konie trojańskie są w dalszym ciągu szczególnym zagrożeniem dla informacji poufnych. Stanowią one 33% spośród 50 próbek destrukcyjnego kodu najczęściej zgłaszanych do firmy Symantec w okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. Oznacza to poważny wzrost w stosunku do pierwszej połowy tego roku, gdy konie trojańskie stanowiły 17% spośród 50 najczęściej zgłaszanych próbek. Nasilenie zgłoszeń koni trojańskich może być częściowo związane ze wzrostem liczby przypadków wykorzystania luk w zabezpieczeniach przeglądarek internetowych po stronie klienta 6. Koń trojański może być utrzymywany na witrynie WWW hakera, która podejmuje próbę wykorzystania specyficznej luki w zabezpieczeniach przeglądarki WWW w celu dostarczenia kodu destrukcyjnego do atakowanego systemu. Użytkownicy mogą zabezpieczyć się przed takimi zagrożeniami nigdy nie uruchamiając nieznanych aplikacji, zwłaszcza otrzymanych pocztą elektroniczną bądź pobranych ze źródła, którego wiarygodność nie jest pewna. Powinni oni także unikać logowania się do kont poczty elektronicznej opartej na WWW i do witryn bankowych z publicznych terminali komputerowych, gdyż nie można zweryfikować integralności takich systemów. Oprócz tego użytkownicy nie powinni używać tego samego hasła do uwierzytelniania się w różnych aplikacjach, gdyż wówczas złamanie jednego hasła umożliwia hakerowi uzyskanie dostępu do kilku źródeł poufnych danych. Ochronie przed złamaniem hasła sprzyja częsta zmiana haseł. Ponadto firma Symantec zaleca użytkownikom, aby wyłączyli w przeglądarce WWW buforowanie danych (identyfikatora i hasła) umożliwiających logowanie się do witryn internetowych. Luki w zabezpieczeniach nowych przeglądarek W przeszłości celem większości ataków wykorzystujących luki w zabezpieczeniach przeglądarek internetowych był Microsoft Internet Explorer, który jest najpopularniejszą przeglądarką. W związku z tym wielu użytkowników Internetu zwróciło się w stronę innych przeglądarek, takich jak Mozilla, Mozilla Firefox, Opera i Safari, uznając je za bardziej bezpieczne. Jednak w miarę jak użytkownicy zwracający uwagę na bezpieczeństwo odchodzili od przeglądarki Internet Explorer, hakerzy podążali ich śladem. W wyniku tego zmieniła się generalna sytuacja w dziedzinie przeglądarek i stosownie do tego niniejszy Raport firmy Symantec zawiera analizę luk w zabezpieczeniach różnych przeglądarek. Liczba wykrywanych luk w zabezpieczeniach różnych przeglądarek wykazuje tendencję wzrostową (patrz rys. 3). W badanym okresie udokumentowano więcej luk w zabezpieczeniach przeglądarki Mozilla niż przeglądarki Microsoft Internet Explorer. Nastąpiło zatem odwrócenie tendencji występującej w poprzednich okresach, gdy prawie wszystkie luki w zabezpieczeniach przeglądarek dotyczyły wyłącznie przeglądarki firmy Microsoft. W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec udokumentowała 13 nowych luk w zabezpieczeniach przeglądarki Microsoft Internet Explorer. Jest to liczba zdecydowanie niższa niż 21 luk w zabezpieczeniach każdej z przeglądarek Mozilla, wykrytych i udokumentowanych w tym okresie. W przeglądarce Opera wykryto 6 luk w zabezpieczeniach, a w przeglądarce Safari ani jednej. Chociaż udział przeglądarek Mozilla w liczbie wszystkich wykrytych w badanym okresie luk wzrósł, w przeglądarce Microsoft Internet Explorer występuje w dalszym ciągu więcej luk zakwalifikowanych do wysokiego poziomu istotności. Spośród 13 luk w zabezpieczeniach tej przeglądarki udokumentowanych przez firmę Symantec w badanym okresie, 9 zaliczono do wysokiego poziomu istotności. Natomiast spośród 8 komputera. Umożliwiają zdalną kontrolę nad komputerem za pomocą kanałów komunikacyjnych, takich jak IRC. Kanały komunikacyjne używane są przez atakującego do kontroli dużej liczbyrozproszonych komputerów przez jeden, niezawodny kanał w sieci komputerów zainfekowanych oprogramowaniem typu bot. Sieć taka może zostać użyta do uruchomienia skoordynowanych ataków. 6 Luki w zabezpieczeniach po stronie klienta umożliwiają atakowanie systemów użytkowników indywidualnych (w odróżnieniu od serwerów przedsiębiorstw lub instytucji). Obiektem ataku są takie aplikacje, jak przeglądarki WWW, klienty poczty elektronicznej, sieci równorzędne (peer-to-peer), klienty natychmiastowego przesyłania wiadomości (komunikatory internetowe) oraz odtwarzacze multimedialne. Luki takie często, choć nie zawsze, są skutkiem błędów logicznych lub wad systemów kontroli dostępu. Są one, zwłaszcza w przypadku przeglądarek, zazwyczaj łatwe do wykorzystania.
21 luk w zabezpieczeniach przeglądarki Mozilla, do wysokiego poziomu istotności zakwalifikowano 11, a w przypadku przeglądarki Firefox tylko 7. Chociaż wiarygodnych ataków na przeglądarki Mozilla, Mozilla Firefox, Opera i Safari w warunkach rzeczywistej eksploatacji było niewiele (o ile w ogóle jakieś były), dopiero przyszłość pokaże, czy przeglądarki te spełnią oczekiwania wielu użytkowników. 25 Mozilla Firefox Mozilla Browser Microsoft Internet Explorer Apple Safari Opera Udokumentowane luki w zabezpieczeniach 20 15 10 5 0 styczeń-czerwiec 2003 r. lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 3. Luki w zabezpieczeniach przeglądarek udokumentowane w okresie od lipca 2003 r. do grudnia 2004 r. Źródło: Symantec Corporation Powyższe dane wskazują również, że być może zmienia się obszar zainteresowania badaczy. Przedsiębiorstwa, instytucje i użytkownicy indywidualni starają się szybko znaleźć bezpieczniejsze rozwiązania alternatywne wobec przeglądarki Microsoft Internet Explorer, ale powinni przy ich wyborze zachować ostrożność, gdyż jak się wydaje problem luk w zabezpieczeniach może dotyczyć wszystkich przeglądarek. Firma Symantec zaleca, by administratorzy ds. ochrony w przedsiębiorstwach oraz użytkownicy indywidualni poświęcili dostateczną ilość czasu na zbadanie innych przeglądarek i ocenili ich poziom bezpieczeństwa przed wdrożeniem. Ponadto administratorzy powinni subskrybować usługę powiadamiania o lukach w zabezpieczeniach oraz niezwłocznie instalować niezbędne programy korygujące we wszystkich systemach przedsiębiorstwa. Wielka Brytania kraj o największym na świecie udziale komputerów zainfekowanych oprogramowaniem typu bot Przygotowując niniejszą edycję Raportu firmy Symantec, zbadaliśmy rozkład komputerów zainfekowanych oprogramowaniem typu bot w całym Internecie. W tym celu firma Symantec policzyła liczbę znanych komputerów zainfekowanych takim oprogramowaniem na świecie oraz 9
obliczyła, jaki odsetek z nich znajduje się w poszczególnych krajach. Zidentyfikowanie komputerów zainfekowanych oprogramowaniem typu bot ma duże znaczenie, gdyż wysoki wskaźnik zainfekowanych maszyn może oznaczać większe prawdopodobieństwo wystąpienia ataków z użyciem takiego oprogramowania. Ponadto wskaźnik ten sygnalizuje stopień instalowania programów korygujących oraz poziom świadomości użytkowników komputerów w danym regionie. 25,2% komputerów zainfekowanych oprogramowaniem typu bot wykrytych w drugim półroczu 2004 r. było zlokalizowanych w Wielkiej Brytanii, co stawia ten kraj na pierwszym miejscu w rankingu. Według obserwacji poczynionych przez firmę Symantec, oprogramowanie typu bot zwykle infekuje komputery podłączone do Internetu przez łącze szybkie (szerokopasmowe). Jednym z czynników, które prawdopodobnie wpłynęły na wzrost liczby komputerów zainfekowanych przez takie oprogramowanie w Wielkiej Brytanii, jest mający tam miejsce szybki rozwój łączy szerokopasmowych 7. Firma Symantec przypuszcza, że nowi użytkownicy łączy szerokopasmowych mogą nie zdawać sobie sprawy z dodatkowych środków bezpieczeństwa, jakie powinni wdrożyć w związku z używaniem szybkich, stałych łączy internetowych. Oprócz tego pojawienie się wielu nowych użytkowników, co pociąga za sobą rozwój infrastruktury i wzrost kosztów pomocy technicznej, może opóźnić reakcje operatorów Internetu na zgłoszenia dotyczące nadużyć i infekcji. Firma Symantec zaleca, by przedsiębiorstwa i instytucje wdrażały dogłębną obronę 8, obejmującą zapory ogniowe i odpowiednie filtrowanie na brzegach sieci. Ponadto administratorzy powinni subskrybować usługę powiadamiania o lukach w zabezpieczeniach oraz niezwłocznie instalować niezbędne programy korygujące we wszystkich systemach przedsiębiorstwa. Użytkownicy indywidualni powinni bezwzględnie mieć wdrożone oprogramowanie antywirusowe i zaporę ogniową. Ponadto trzeba regularnie aktualizować definicje wirusów. Dalszy wzrost liczby wirusów i robaków na platformę Win32 Zagrożenia na platformę Win32 to programy wykonywalne działające z wykorzystaniem interfejsu programowania (API) Win32, który stanowi podstawę opracowywania oprogramowania na systemy operacyjne Microsoft Windows. Ze względu na szerokie rozpowszechnienie systemów operacyjnych Microsoft Windows w środowiskach przedsiębiorstw i użytkowników indywidualnych, wirusy i robaki na platformę Win32 stanowią poważne zagrożenie dla bezpieczeństwa oraz integralności takich środowisk. Zaniedbania w zakresie zapobiegania takim zagrożeniom, ich wykrywania i usuwania mogą prowadzić do poważnych konsekwencji finansowych, ujawnienia poufnych informacji oraz utraty danych. W 2004 r. liczba wariantów wirusów i robaków na platformę Win32 (patrz rys. 4) 9 znacznie wzrosła. W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec udokumentowała ponad 7360 nowych wirusów i robaków na platformę Win32. Stanowi to wzrost o 64% w stosunku do pierwszego półrocza tego roku, gdy liczba zgłoszonych wirusów i robaków wyniosła 4496, oraz o 332% w stosunku do drugiego półrocza 2003 r., gdy liczba ta wyniosła 1702. W dniu 31 grudnia 2004 r. łączna liczba wariantów na platformę Win32 była bliska 17 500. Obecnie liczba zagrożeń tej kategorii jest większa niż łączna liczba zagrożeń opartych na technikach wykorzystujących skrypty i makra. 10 7 http://news.bbc.co.uk/1/hi/technology/4065047.stm 8 Dogłębna obrona (defense in depth) to podejście do ochrony, przy którym każdy system w sieci jest zabezpieczony w największym możliwym stopniu. Obejmuje wdrożenie systemów antywirusowych, zapór ogniowych i systemów wykrywania włamań. 9 W niektórych przypadkach rodzina kodu destrukcyjnego, np. Mydoom czy Netsky, może obejmować kilka wariantów. Wariant jest to nowa wersja kodu z tej samej rodziny, wykazująca pewne różnice, ale w dalszym ciągu oparta na wersji oryginalnej. W niniejszym Raporcie warianty danej rodziny są liczone jako oddzielne próbki, gdyż różnią się funkcjonalnością.
8,000 7,360 Łączna liczba wirusów i robaków 6,000 4,000 2,000 1,702 4,496 445 687 994 0 I VI 2002 r. VII XII 2002 r. I VI 2003 r. VII XII 2003 r. I VI 2004 VII XII 2004 Okres Rys. 4. Nowe wirusy i robaki na platformę Win 32 w poszczególnych półroczach lat 2002-2004 Źródło: Symantec Corporation Utrzymująca się tendencja wzrostu liczby wariantów destrukcyjnego kodu na platformę Win32 wskazuje, że pomimo szybkiego reagowania na tego typu zagrożenia, autorzy destrukcyjnego kodu w dalszym ciągu publikują nowe mutacje, niekiedy w tempie kilku dziennie. Firma Symantec zaleca, aby administratorzy ds. zabezpieczeń i użytkownicy często aktualizowali swoje rozwiązania antywirusowe oraz stale przestrzegali zalecane najlepsze procedury postępowania. Usługi finansowe sektor, który otrzymuje największy odsetek poważnych ataków W ramach analizy ataków internetowych firma Symantec porównuje poszczególne branże, biorąc pod uwagę udział poważnych (o wysokim poziomie istotności) zdarzeń spowodowanych przez zewnętrznych hakerów, wykrytych przez czujniki zainstalowane w systemach danej branży. Firma Symantec określa stopień istotności ataku na podstawie charakterystyki ataku, środków obronnych podjętych przez klienta, wartości zagrożonych zasobów oraz stopnia powodzenia ataku. Ataki o wysokim poziomie istotności stanowią największe zagrożenie dla przedsiębiorstw i instytucji, gdyż mogą spowodować wielkie szkody oraz złamać zabezpieczenia zaatakowanej sieci. Z tego względu wskaźnik ataków tego poziomu może być miarą ryzyka, na jakie narażona jest dana branża. W drugim półroczu 2004 r. na przedsiębiorstwa i instytucje z sektora usług finansowych skierowano najwięcej w porównaniu z pozostałymi branżami ataków o wysokim poziomie istotności 16 na 10 tys. zdarzeń związanych z bezpieczeństwem. Sektor ten jest atrakcyjnym celem dla hakerów, gdyż zdarzenia w nim przyciągają uwagę opinii publicznej jako mające związek z transakcjami finansowymi. Jest oczywiste, że instytucje finansowe muszą podejmować odpowiednie środki w celu rozpoznania i niwelowania ryzyka takich ataków. 11
Ze względu na poufny charakter danych w sektorze usług finansowych, firma Symantec zaleca, aby administratorzy ds. ochrony stale kontrolowali swoje sieci pod kątem luk w zabezpieczeniach oraz jak najszybciej instalowali programy korygujące. Administratorzy ds. ochrony powinni także ograniczyć dostęp do tylko tych usług, które są absolutnie niezbędne, oraz egzekwować surowe zasady i procedury kontroli połączeń. Główne obserwacje Raportu firmy Symantec Tendencje dotyczące luk w zabezpieczeniach Czas upływający od ujawnienia luki w zabezpieczeniach do opublikowania wykorzystującego ją destrukcyjnego kodu wydłużył się z 5,8 doby do 6,4 doby. Firma Symantec udokumentowała 1403 nowych luk w zabezpieczeniach, co oznacza wzrost o 13% w stosunku do poprzedniego okresu sześciomiesięcznego. Luki w zabezpieczeniach aplikacji internetowych stanowią 48% wszystkich ujawnionych luk, co oznacza wzrost w porównaniu z 39% luk wykrytych w pierwszym półroczu 2004 r. 97% ujawnionych luk w zabezpieczeniach zostało zakwalifikowanych do umiarkowanego lub wysokiego poziomu istotności. W drugim półroczu 2004 r. ujawniono 21 luk w zabezpieczeniach przeglądarek Mozilla, a tylko 13 luk w zabezpieczeniach przeglądarki Microsoft Internet Explorer. 70% zgłoszonych luk w zabezpieczeniach zostało uznanych za łatwe do wykorzystania. Tendencje dotyczące ataków Przez trzeci badany okres z rzędu najpowszechniejszym atakiem był Microsoft SQL Server Resolution Service Stack Overflow Attack (poprzednio określany jako Slammer Attack). Został on użyty przez 22% atakujących. Przedsiębiorstwa i instytucje były atakowane średnio 13,6 raza na dobę, co oznacza wzrost w stosunku do poprzedniego okresu sześciomiesięcznego, gdy liczba ta wyniosła 10,6 raza na dobę. Liczba znanych komputerów zainfekowanych oprogramowaniem typu bot spadła ze średnio 30 tys. dziennie pod koniec lipca do mniej niż 5 tys. dziennie pod koniec roku. Wielka Brytania jest krajem, w którym występuje największy odsetek komputerów zainfekowanych oprogramowaniem typu bot. Stany Zjednoczone w dalszym ciągu są krajem, z którego pochodzi najwięcej ataków. Na kolejnych miejscach tego rankingu są Chiny i Niemcy. W sektorze usług finansowych wskaźnik zdarzeń o wysokim stopniu istotności był najwyższy ze wszystkich branż i wyniósł 16 na 10 tys. 12
Tendencje dotyczące destrukcyjnego kodu W drugim półroczu 2004 r. wśród dziesięciu najczęściej zgłaszanych próbek destrukcyjnego kodu najwięcej było wariantów programów Netsky, MyDoom i Beagle. Firma Symantec udokumentowała ponad 7360 nowych wirusów i robaków na platformę Win32, co stanowi wzrost o 64% w stosunku do pierwszego półrocza tego roku. Programy destrukcyjne, które groziły ujawnieniem informacji poufnych, stanowiły 54% spośród 50 najczęściej zgłaszanych próbek destrukcyjnego kodu, co oznacza wzrost w stosunku do poprzedniego badanego okresu, gdy wskaźnik ten wyniósł 44%. Pod koniec badanego okresu znanych było 21 próbek destrukcyjnego kodu atakujących aplikacje mobilne, podczas gdy w czerwcu 2004 r. znano tylko jeden taki kod. W rankingu dziesięciu najczęstszych próbek destrukcyjnego kodu wystąpiły dwa przykłady oprogramowania typu bot, podczas gdy w poprzednim badanym okresie wystąpił tylko jeden. Zgłoszono 4300 nowych wariantów programu Spybot, co oznacza wzrost o 180% w stosunku do poprzedniego okresu sześciomiesięcznego. Dodatkowe zagrożenia dla bezpieczeństwa W drugim półroczu 2004 r. programy typu adware stanowiły 5% spośród 50 najczęściej zgłaszanych przez klientów firmy Symantec, podczas gdy w poprzednim badanym okresie wskaźnik ten wyniósł 4%. Pięć spośród dziesięciu najczęściej otrzymywanych próbek programów typu adware było instalowanych za pośrednictwem przeglądarki WWW. Dziewięć spośród dziesięciu najczęściej zgłaszanych programów szpiegowskich było włączonych do innego oprogramowania. Najczęściej zgłaszanym w drugim półroczu 2004 r. programem typu adware był Iefeats, którego udział wśród dziesięciu najczęściej zgłaszanych programów tego typu wyniósł 36%. Najczęściej zgłaszanym w drugim półroczu 2004 r. programem szpiegowskim był Webhancer, którego udział wśród dziesięciu najczęściej zgłaszanych programów tego typu wyniósł 38%. W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec wykryła 10 310 nowych ataków typu phishing. Pod koniec grudnia 2004 r. filtry przeciwdziałające oszustwom firmy Symantec blokowały średnio ponad 33 mln prób phishingu tygodniowo, podczas gdy na początku lipca liczba ta wynosiła ok. 9 mln tygodniowo. Firma Symantec stwierdziła 77-procentowy wzrost ilości spamu w przedsiębiorstwach, których systemy były monitorowane pod tym kątem. 13
Tendencje dotyczące ataków Niniejszy rozdział Raportu firmy Symantec zawiera analizę ataków internetowych w okresie od 1 lipca do 31 grudnia 2004 r. Atak może być zdefiniowany jako dowolna działalność o charakterze destrukcyjnym przeprowadzana za pośrednictwem sieci, wykryta przez system wykrywania włamań lub zaporę ogniową. Atak zazwyczaj jest próbą wykorzystania luki w zabezpieczeniach oprogramowania bądź sprzętu. Aktywność ataków w badanym okresie zostanie porównana z dwoma poprzednimi okresami, opisanymi we wcześniejszych wydaniach Raportu firmy Symantec na temat bezpieczeństwa w Internecie 10. W przypadkach, których to dotyczy, podajemy zalecenia dotyczące niwelowania zagrożeń ze strony ataków, w szczególności powołując się na najlepsze procedury postępowania firmy Symantec zawarte w Załączniku A do niniejszego Raportu. Firma Symantec stworzyła jedno z najpełniejszych na świecie źródeł danych o atakach internetowych. Dane są zbierane przez ponad 20 tys. czujników zainstalowanych w przeszło 180 krajach w ramach systemu zarządzania zagrożeniami Symantec DeepSight Threat Management System oraz usług zarządzania ochroną Symantec Managed Security Services. Oprócz tych źródeł, firma Symantec opracowała i wdrożyła system honeypot 11, który służy do rozpoznawania, obserwowania oraz badania pełnego przebiegu ataków, zarówno z użyciem robaków jak i innych. Dostarcza on jakościowe dane na temat niektórych rodzajów ataków omówionych w niniejszym rozdziale. Wszystkie te zasoby łącznie dają firmie Symantec znakomite możliwości rozpoznawania pojawiających się ataków, badania ich oraz reagowania na nie. Poniższe omówienie opiera się na danych dostarczonych przez wszystkie te źródła. Dla celów niniejszego Raportu zdarzenia o charakterze ataków zostały podzielone na trzy kategorie: rekonesanse (sondowanie), ataki z użyciem robaków oraz ataki bez użycia robaków (wykorzystanie luk w zabezpieczeniach). Taka klasyfikacja pozwala analitykom firmy Symantec na rozróżnienie pomiędzy atakami rozprzestrzeniającymi się samodzielnie (robaki), atakami przeprowadzanymi ręcznie (bez użycia robaków) oraz atakami mającymi na celu pozyskanie informacji. W niektórych przypadkach trudno jest jednak stwierdzić, czy zdarzenie o charakterze ataku jest związane z użyciem robaka. W takich przypadkach ataki, które zazwyczaj wiążą się z użyciem robaków, są zaliczane do kategorii robaków. Ponadto dla celów niniejszego Raportu przyjęto, że użycie tylnych wejść i oprogramowania do zdalnego dostępu w celu tworzenia sieci komputerów-zombie (sieci komputerów zainfekowanych oprogramowaniem typu bot) również jest klasyfikowane jako atak z użyciem robaków. Urządzenia ochronne mogą monitorować ataki i inne podejrzane operacje na wielu różnych poziomach sieci. Urządzenia takie jak systemy wykrywania włamań i ochrony przed włamaniami, zapory ogniowe, filtry proxy oraz instalacje antywirusowe zwiększają ogólne bezpieczeństwo przedsiębiorstwa lub instytucji. Symantec gromadzi dane z wielu spośród takich urządzeń. Jedną z konsekwencji takiego gromadzenia danych z wielu źródeł jest to, że dane o destrukcyjnym kodzie i dane o tendencjach w zakresie ataków często dotyczą tych samych zagrożeń, ale widzianych w innym aspekcie. Na przykład dane o tendencjach w zakresie ataków prowadzą do powstania rankingu opartego na liczbie zainfekowanych systemów, z których podejmowane są próby ataków, natomiast dane o destrukcyjnym kodzie są oparte na szeregu różnych źródeł, w tym doniesieniach o infekcjach. Powoduje to, że w poszczególnych rozdziałach niniejszego Raportu, tj. Tendencje dotyczące ataków i Tendencje dotyczące destrukcyjnego kodu, rankingi zagrożeń są różne. 14 10 Raport firmy Symantec, wyd. V (marzec 2004 r.) i VI (wrzesień 2004 r.) oba raporty dostępne są pod adresem http://enterprisesecurity.symantec.com/content.cfm?articleid=1539. 11 Honeypot (dosł. garnek miodu) to system podłączony do Internetu jako przynęta. Umożliwia on hakerom dostanie się do systemu w celu zaobserwowania ich poczynań.
W niniejszym rozdziale Raportu firmy Symantec zostaną omówione następujące tematy: Najczęstsze ataki internetowe Dzienna liczba ataków Rodzaje ataków Najczęściej atakowane porty Sieci komputerów zainfekowanych oprogramowaniem typu bot i ataki typu odmowa usługi Ataki typu odmowa usługi Kraje o największym odsetku komputerów zainfekowanych oprogramowaniem typu bot Kraje najczęściej inicjujące ataki Kraje najczęściej inicjujące ataki w stosunku do liczby użytkowników Internetu Ataki ukierunkowane na poszczególne branże Wskaźnik poważnych ataków w poszczególnych branżach Najczęstsze ataki internetowe Najczęstsze ataki wykrywane przez Symantec Managed Security Services i Symantec DeepSight Threat Management System odpowiadają tym, których prawdopodobieństwo zaobserwowania przez administratorów w ich własnych sieciach jest największe. Ranking ten obejmuje ataki z udziałem robaków, gdyż stanowią one znaczną część ataków, przed którymi nadal muszą się bronić firmy i instytucje. Analiza najczęstszych ataków opiera się na wyznaczeniu procentu wszystkich atakujących adresów IP, z których przeprowadzono atak danego typu. W pierwszym półroczu 2004 r. sześć spośród dziesięciu najczęstszych ataków stanowiły nowe pozycje, co oznacza, że sytuacja w dziedzinie zagrożeń ulega znacznym zmianom. Natomiast w badanym okresie od 1 lipca do 31 grudnia 2004 r. na liście dziesięciu najczęstszych ataków znalazły się tylko trzy nowe pozycje (patrz tab. 1), co wskazuje, że środowisko zagrożeń bezpieczeństwa informacji może się stabilizować. VII XII 2004 I VI 2004 VII XII 2004 I VI 2004 Pozycja Pozycja Procent atakujących Procent atakujących w bieżącym okresie w poprzednim okresie w obecnym okresie w poprzednim okresie 1 1 Microsoft SQL Server Resolution 22% 15% Service Stack Overflow Attack 2 nieujęty w rankingu Generic TCP Syn Flood Denial of 12% brak danych Service Attack 3 10 Microsoft Windows DCOM RPC 7% 1% Interface Buffer Overrun Attack 4 6 Generic SMTP Malformed 5% 2% Command/Header Attack 5 2 W32.HLLW.Gaobot Attack Version 4% 4% 6 nieujęty w rankingu Generic Invalid HTTP String Attack 4% NA 7 7 Generic ICMP Flood Attack 3% 2% 8 3 Generic WebDAV/Source Disclosure 2% 4% Translate: f HTTP Header Request Attack 9 9 Generic HTTP Directory Attack 2% 1% 10 nieujęty w rankingu Generic UTF8 Encoding in URL 2% brak danych Attack Tabela 1. Najczęstsze ataki Źródło: Symantec Corporation 15
Najczęściej występującym atakiem w okresie od 1 lipca do 31 grudnia 2004 r. był Microsoft SQL Server Resolution Service Stack Overflow Attack. Przeprowadzono go z 22% atakujących adresów IP. Jest to kontynuacja tendencji obserwowanej w pierwszym półroczu 2004 r., gdy atak ten również był najbardziej rozpowszechniony. Należy zauważyć, że w poprzednim badanym okresie atak ten był określany jako Slammer Attack, ponieważ większość zdarzeń o tym charakterze była związana z oryginalnym robakiem Slammer. Jednak obecnie znane są również inne przykłady destrukcyjnego kodu używające tego typu ataku, w związku z czym firma Symantec powróciła do jego pierwotnej nazwy. Drugie półrocze 2004 r. jest trzecim z rzędu badanym okresem, w którym atak Microsoft SQL Server Overflow Attack zajął pierwszą pozycję w omawianym tu rankingu. Taka stała wysoka pozycja jest spowodowana trzema czynnikami. Po pierwsze, wiele zagrożeń (łącznie z oryginalnym robakiem Slammer) wykorzystuje tę lukę w zabezpieczeniach używając pojedynczego pakietu UDP. Użycie standardu UDP umożliwia przeprowadzanie tego ataku ze sfałszowanych źródłowych adresów IP 12, co może znacznie zwiększać liczbę obserwowanych źródłowych adresów. Fałszowanie adresów źródłowych ułatwia ukrycie faktycznej lokalizacji źródła ataku, a tym samym znacznie utrudnia badanie ataku i odpowiednie reagowanie. Chociaż Slammer nie fałszował adresów źródłowych, inne mechanizmy ataku oparte na tej samej koncepcji mogą to robić. Analiza adresów źródłowych wskazuje, że nawet do 10% źródłowych adresów atakujących systemów to adresy sfałszowane, które w rzeczywistości nie istnieją. Po drugie, użycie standardu UDP umożliwia hakerowi wysłanie kompletnego ataku 13 na każdy adres IP, bez względu na to, czy SQL Server jest zainstalowany na danym systemie i czy działa. Oznacza to, że systemy wykrywania włamań często interpretują każdą próbę ataku jako pełen atak. Trzecim czynnikiem, który może wpłynąć na liczbę systemów podatnych na ten atak, a tym samym na liczbę atakujących systemów, jest wdrożenie MSDE (Microsoft Desktop Engine). Komponent MSDE jest włączony do wielu aplikacji innych producentów i instalowany wraz z nimi. Jest to wariant mechanizmu serwera SQL firmy Microsoft, co oznacza, że jest w takim samym stopniu, jak SQL Server, wrażliwy na ataki robaka Slammer i inne ataki związane nim. Rozpoznanie takich systemów i zainstalowanie w nich odpowiednich programów korygujących może być trudne, zaś instalowanie w systemie w trakcie jego eksploatacji oprogramowania zawierającego niezabezpieczoną wersję MSDE może spowodować, że bezpieczny dotąd system stanie się podatny na atak. Drugim najczęstszym atakiem w drugim półroczu 2004 r. był TCP Syn Flood Denial of Service Attack, który został przeprowadzony z 12% atakujących systemów. Należy zauważyć, że niektóre związane z tym atakiem sygnatury rejestrowane przez systemy wykrywania włamań mogą sprzyjać występowaniu fałszywych trafień, co z kolei może zwiększyć liczbę wykrywanych ataków. Pomimo to firma Symantec uważa, że częstość występowania tego ataku jest znaczna. Atak ten, mający charakter niespecyficznego ataku typu odmowa usługi (DoS), w poprzednim okresie nie wszedł do rankingu dziesięciu najczęstszych ataków. Jego cechą charakterystyczną jest generowanie ogromnej liczby żądań do usługi internetowej działającej na atakowanym komputerze, co powoduje jego przeciążenie. Każdą sesję TCP inicjuje pakiet SYN. Przeciążenie atakowanego systemu wielką liczbą pakietów SYN z żądaniami, bez zakończenia poprzednich żądań, uniemożliwia przetwarzanie uprawnionych żądań. W przypadku tego typu ataków haker często fałszuje adres źródłowy pakietów, aby uzyskać maksymalny efekt, co może zwiększać liczbę wykrywanych systemów atakujących. 16 12 Określenie sfałszowany (spoofed) odnosi się do praktyki ustanawiania połączenia z podaniem nieprawdziwego adresu nadawcy. Zazwyczaj haker realizuje to przez wykorzystanie relacji zaufania istniejącej pomiędzy adresem lub systemem źródłowym a adresem lub systemem docelowym. Adres IP używany jako sfałszowany adres źródłowy może być zarówno legalnym adresem używanym gdzieś w Internecie, jak i adresem spoza alokowanej przestrzeni adresów IP, czyli adresem nieużywanym. 13 Protokół UDP nie wymaga żadnej synchronizacji przed wysłaniem danych i ich przyjęciem przez usługę docelową, w odróżnieniu od protokołu TCP, gdzie przekazanie właściwych danych poprzedza trzystopniowe uzgodnienie synchronizujące systemy. W związku z tym, ataki wykorzystujące TCP występują jedynie wtedy, gdy atakowana usługa zaakceptuje połączenie. W przypadku UDP, atakujący system po prostu wysyła pełny atak bez sprawdzania, czy usługa znajduje się w trybie nasłuchu.
Nasilenie tego tradycyjnego ataku typu odmowa usługi jest intrygujące. Wskazuje to, że chociaż hakerzy eksperymentowali już z nowymi formami ataków typu DoS (głównie z użyciem sieci komputerów zainfekowanych oprogramowaniem typu bot), teraz przypuszczalnie wracają do bardziej tradycyjnych metod przeprowadzania takich ataków 14. W sytuacji, gdy wzrastała liczba sieci komputerów zainfekowanych oprogramowaniem typu bot i dostępność hostów podatnych na takie ataki (z powodu luk w zabezpieczeniach usług DCOM RPC, LSASS i innych włączonych domyślnie usług systemu Windows), hakerzy mogli stosunkowo łatwo uruchomić setki lub tysiące zainfekowanych komputerów, które przeciążały atakowany system poprawnymi żądaniami. Jednak jak się wydaje wprowadzenie pakietu serwisowego Windows XP SP2 15 i innych środków zapobiegawczych ograniczyło liczbę komputerów podatnych na ten atak. W konsekwencji zmalała także liczba komputerów zainfekowanych oprogramowaniem typu bot, których można używać do skanowania. W sytuacji, gdy hakerzy mają do dyspozycji mniej takich komputerów, wracają do starszych technik atakowania docelowych systemów. (Dokładniejsze omówienie tego tematu znajduje się w podrozdziale Sieci komputerów zainfekowanych oprogramowaniem typu bot i ataki typu odmowa usługi ). Przed atakami typu odmowa usługi można zabezpieczać się na różne sposoby. W przypadku ataku polegającego na zalewie pakietami SYN, często stosuje się takie parametry konfiguracji systemów operacyjnych i zapór ogniowych, które zapewniają dostępność zasobów niezbędnych do obsługi legalnych żądań. Administratorzy powinni zapoznać się z metodami prawidłowego dostrajania swoich systemów oraz zapewnić sobie pomoc operatora Internetu przy filtrowaniu od strony zewnętrznej ruchu przychodzącego związanego z atakami typu odmowa usługi. Trzecią pozycję w rankingu najczęstszych ataków w okresie od 1 lipca do 31 grudnia 2004 r. zajął Microsoft Windows DCOM RPC Interface Buffer Overflow Attack. Jego pozycja w rankingu ponownie wzrosła po spadku na dziesiątą w pierwszym półroczu 2004 r. Atak ten jest znany przede wszystkim z tego, że był użyty przez robaka Blaster 16 do rozprzestrzeniania się w 2003 r., ale później był także używany przez rozmaite przykłady oprogramowania typu bot, takie jak Gaobot, Spybot i Randex 17. Wysoka pozycja omawianego ataku w rankingu wskazuje, że hakerzy w dalszym ciągu używają tej samej luki w zabezpieczeniach do atakowania systemów. Analiza danych z systemu honeypot firmy Symantec wskazuje, że większość prób ataków jest przeprowadzanych z komputerów zainfekowanych różnymi wariantami programów Gaobot i Spybot lub innymi aplikacjami typu bot. Administratorzy systemów mogą zmniejszyć zagrożenie ze strony tej luki w zabezpieczeniach filtrując ruch w portach TCP 135 i TCP 445 na brzegach sieci. Jednak robaki i inne przykłady destrukcyjnego kodu usiłujące wykorzystać luki w zabezpieczeniach za pośrednictwem tych portów mogą niekiedy ominąć zabezpieczenia brzegów wykorzystując komputer łączący się z siecią przedsiębiorstwa przez wirtualną sieć prywatną bądź komputer przenośny, np. notebook. Z tego względu, aby zahamować powiększanie się szkód w przypadku infekcji, należy wdrożyć blokowanie na brzegach sieci oraz mocne filtrowanie pomiędzy jej logicznymi segmentami w celu ograniczenia propagacji. Prawdopodobieństwo infekcji można znacznie zmniejszyć stosując surowe zasady konfigurowania systemów i kontroli we wszystkich komputerach, które nie są chronione zaporą ogniową. Pozycja programu Gaobot w rankingu spadła z drugiej w pierwszej połowie 2004 r. na piątą w drugiej połowie tego roku. Gaobot to program typu bot, którym umożliwia hakerowi przejęcie kontroli nad dużą 14 Dalsze uzasadnienie dla tego wniosku jest podane w podrozdziale Sieci komputerów zainfekowanych oprogramowaniem typu bot i ataki typu odmowa usługi. 15 Microsoft wprowadził pakiet serwisowy SP2 do systemu Windows XP w sierpniu 2004 r. Dokładny termin wprowadzenia był różny dla poszczególnych wersji i wariantów językowych tego systemu. Pakiet SP2 do wersji Windows XP Home Edition został udostępniony w serwisie Windows Update w dniu 16 sierpnia 2005 r. Zawiera on korekty błędów w zabezpieczeniach, korekty ustawień (aktywacja zapory ogniowej XP), funkcję monitorowania statusu aplikacji antywirusowych i zapór ogniowych innych firm oraz funkcję ograniczenia przepływności, która pozwala kontrolować ilość ruchu w połączeniach wychodzących obsługiwanych przez dany komputer. Wszystkie te środki zmniejszają możliwości hakerów włączenia komputera do rozproszonej sieci komputerów zainfekowanych oprogramowaniem typu bot. 16 http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html 17 Pełne omówienie wzrostu liczby wariantów oprogramowania typu bot podajemy w rozdziale Tendencje dotyczące destrukcyjnego kodu niniejszego Raportu. 17
liczbą oddzielnych systemów oraz zmuszenie ich do wyszukiwania nowych systemów, a następnie wykorzystywania luk w ich zabezpieczeniach i przejmowania nad nimi kontroli. Można do niego łatwo dodawać nowe funkcje atakujące nowo odkrywane luki w zabezpieczeniach, co powoduje, że bardzo szybko po opublikowaniu destrukcyjnego kodu wykorzystującego luki w zabezpieczeniach dochodzi do masowej infekcji systemów, na których nie zostały zainstalowane odpowiednie programy korygujące. Wskutek tego Gaobot jest w dalszym ciągu poważnym zagrożeniem dla każdego przedsiębiorstwa i instytucji, które używają systemów Windows, ale nie instalują dostatecznie szybko nowych programów korygujących luki w zabezpieczeniach. Poza szybkim wdrażaniem programów korygujących o znaczeniu krytycznym, ryzyko infekcji można zmniejszyć stosując osobiste zapory ogniowe (zapory ogniowe w komputerach osobistych). (Więcej informacji na temat działania sieci komputerów zainfekowanych oprogramowaniem typu bot podajemy w rozdziale Tendencje dotyczące destrukcyjnego kodu niniejszego Raportu). Dzienna liczba ataków W podrozdziale tym omówiono liczbę ataków obserwowanych każdego dnia przez firmy i instytucje podłączone do Internetu. Liczba prób ataków, których doświadcza firma w danym okresie może być dobrym wskaźnikiem ogólnej skali ataków w Internecie. Dzienna częstość ataków jest określana na podstawie liczby wykrytych ataków skierowanych przeciwko firmie znajdującej się na środkowej pozycji w próbie. W okresie od 1 lipca do 31 grudnia 2004 r. średnia dzienna liczba ataków obserwowanych przez przedsiębiorstwa lub instytucje z badanej próby wyniosła 13,6 (patrz rys. 5). W poprzednim okresie sześciomiesięcznym wskaźnik ten wyniósł 10,6 ataków dziennie. Dla porównania dodajmy, że w drugim półroczu 2003 r. przedsiębiorstwa i instytucje obserwowały średnio 12,6 ataków dziennie. Wzrost liczby ataków o 3 dziennie jest spowodowany zwiększeniem liczby sond oraz wzrostem liczby ataków bez wykorzystania robaków. Poprzednio, gdy w badanym okresie obserwowano wzrost dziennej liczby ataków, było to spowodowane przede wszystkim aktywnością robaków. Natomiast w obecnie badanym okresie było inaczej, gdyż aktywność robaków spadła w porównaniu z poprzednimi okresami, a wzrost liczby ataków był spowodowany w większej części atakami bez wykorzystania robaków. Ta zmiana w strukturze typów ataków została dokładniej omówiona w podrozdziale Rodzaje ataków. 18 12.6 13.6 Dzienna liczba ataków 12 6 10.6 0 VI XII 2003 r. (wyd. V Raportu) I VI 2004 r. (wyd. VI Raportu) VII XII 2004 r. (niniejszy Raport) Okres (wyd. Raportu) Rys. 5. Dzienna liczba ataków w trzech ostatnich okresach półrocznych Źródło: Symantec Corporation 18
Rodzaje ataków W celu lepszego poznania obecnych ataków internetowych oraz wypracowania skutecznych metod ochrony przed nimi, pomocne jest zaznajomienie się z konkretnymi typami ataków występujących w sieci. W niniejszym podrozdziale omówiono ataki, jakie wystąpiły w ostatnim półroczu, w rozbiciu na trzy rodzaje: rekonesanse, ataki z wykorzystaniem robaków oraz ataki bez wykorzystania robaków. W analizie zaprezentowano procentowy udział ataków danego rodzaju w łącznej liczbie wykrytych ataków (patrz rys. 6). 100% Ataki bez wykorzystania robaków Rekonesanse Ataki z wykorzystaniem robaków Udział procentowy we wszystkich atakach 80% 60% 40% 20% 42% 13% 45% 34% 49% 41% 47% 0% 17% VII XII 2003 r. (wyd. V Raportu) I VI 2004 r. (wyd. VI Raportu) VII XII 2004 r. (niniejszy Raport) 12% Okres (wyd. Raportu) Rys. 6. Rozkład ataków poszczególnych kategorii w okresie od 1 lipca do 31 grudnia 2004 r. Źródło: Symantec Corporation W okresie od 1 lipca do 31 grudnia 2004 r., 47% wykrytych ataków zostało zaliczonych do kategorii rekonesanse. Jest to wskaźnik zbliżony do pierwszego półrocza tego roku, gdy jako próby rekonesansów zaklasyfikowano 49% ataków. W dalszym ciągu znaczny udział w atakach tego typu ma skanowanie w poszukiwaniu usług z tylnymi wejściami, udostępnianych w portach o wysokich numerach (tj. powyżej 1023). Zjawisko szeroko zakrojonego skanowania w poszukiwaniu takich usług z tylnymi wejściami stale nasilało się na przestrzeni ostatnich trzech badanych okresów i należy przypuszczać, że będzie się nasilało nadal. Istnieje szereg metod zaradczych, które należy stosować, aby uniemożliwić znalezienie podatnego na atak celu. Administratorzy powinni dopilnować, by w systemach działało oprogramowanie antywirusowe z aktualnymi definicjami. Firma Symantec zaleca także wdrożenie silnego filtrowania na brzegach sieci oraz rejestrowanie połączeń w dzienniku. Oprócz tego administratorzy powinni rejestrować w dzienniku połączenia wychodzące w celu rozpoznania ewentualnych zainfekowanych maszyn wewnątrz sieci. 19
W drugim półroczu 2004 r. udział ataków z wykorzystaniem robaków w ogólnej liczbie ataków wyniósł tylko 12% (patrz rys. 6), co jest najniższym wskaźnikiem na przestrzeni ostatnich czterech badanych okresów półrocznych. Od pierwszego półrocza 2003 r., gdy wskaźnik ten wyniósł 59%, aktywność robaków stale maleje. Największy spadek nastąpił pomiędzy drugim półroczem 2003 r. a pierwszym półroczem 2004 r., gdy wskaźnik ten zmniejszył się z 45% do 17%. Niewielki udział ataków z wykorzystaniem robaków może być wyjaśniony faktem, że w badanym okresie nie wykryto żadnej rozległej infekcji tradycyjnymi robakami. Trzeba jednak zaznaczyć, że duża aktywność oprogramowania typu bot i półautonomicznych narzędzi do wykorzystywania luk w zabezpieczeniach utrudnia rozróżnianie między atakami z wykorzystaniem robaków a atakami bez wykorzystania robaków. Jeśli tendencja ta będzie nadal narastać, może okazać się konieczne zrezygnowanie z rozróżniania między tymi dwiema formami ataków. Podczas gdy na przestrzeni trzech ostatnich badanych okresów aktywność robaków spadała, w dziedzinie ataków bez wykorzystania robaków nie daje się zaobserwować żadnej długoterminowej tendencji. Zwróciliśmy na to uwagę już w poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie 18. Wskaźnik ataków bez wykorzystania robaków zachowywał się w sposób zmienny w drugim półroczu 2003 r. był najwyższy i wynosił 42%, podczas gdy w pierwszym półroczu 2004 r. był najniższy i wynosił 34%. W drugim półroczu 2004 r. znowu wzrósł i wyniósł 41%. Firma Symantec uważa, że zestawy narzędziowe służące do opracowywania ataków bez wykorzystania robaków zawierają kod wykorzystujący zarówno starsze luki w zabezpieczeniach, jak i nowo pojawiające się luki w zabezpieczeniach aplikacji internetowych oraz luki po stronie klienta, co przyczynia się do stosunkowo stabilnego obrazu ataków tego typu. W przeszłości wystarczającym zabezpieczeniem przed zagrożeniami internetowymi były systemy wykrywania włamań do sieci. Jednak obecnie, gdy coraz częściej występują ataki na aplikacje internetowe oraz ataki wykorzystujące luki w zabezpieczeniach po stronie klienta, a zwłaszcza ataki na przeglądarki i ataki z użyciem destrukcyjnego kodu osadzonego np. w plikach graficznych, skuteczność tradycyjnych systemów wykrywania włamań staje się problematyczna. Równocześnie utrudnia to podział na rekonesanse, ataki z wykorzystaniem robaków i ataki bez wykorzystania robaków. W miarę rozwoju tych tendencji, zwłaszcza w dziedzinie ataków na aplikacje internetowe i ataków na systemy klienckie, niezbędne będzie opracowanie nowej klasyfikacji oraz nowych systemów wykrywania włamań spełniających nowe wymagania. Należy przypuszczać, że ten rozdział Raportu firmy Symantec będzie musiał w przyszłości stosować rozszerzoną typologię, która uwzględni pojawiającą się klasę ataków na aplikacje internetowe. Najczęściej atakowane porty System Symantec DeepSight Threat Management System śledzi najczęściej atakowane porty w oparciu o zdarzenia wykrywane przez czujniki zainstalowane w zaporach ogniowych objętych badaniem (patrz tab. 2). Najlepszym kryterium oceny intensywności atakowania danego portu jest liczba adresów IP (bez powtórzeń), z których wychodzą ataki na niego. Miara ta odzwierciedla jedynie zainteresowanie hakera tym portem, natomiast nie zakłada, że z wykrytym zdarzeniem musi się wiązać atak (np. na specyficzną usługę) bądź usiłowanie uzyskania informacji przydatnych do ataku. Niedostępność informacji definitywnie wskazujących na atak powoduje, że niemożliwe jest oddzielenie ataków z wykorzystaniem robaków od 20 18 Raport firmy Symantec, wyd. VI, wrzesień 2004 r., str. 10: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539