Raport Kaspersky Lab: Java pod ostrzałem ewolucja exploitów w okresie

Podobne dokumenty
Technologia Automatyczne zapobieganie exploitom

Zabezpieczanie danych użytkownika przed szkodliwym oprogramowaniem szyfrującym

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Kaspersky Security Network

OCHRONA PRZED RANSOMWARE

Wprowadzenie do Kaspersky Value Added Services for xsps

Ochrona przed najnowszymi zagrożeniami dzięki funkcji Kontrola systemu firmy Kaspersky Lab

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Zagrożenia mobilne w maju

Necurs analiza malware (1)

Rozwiązania Kaspersky Lab dla małych i średnich firm

Kaspersky Security Network

sprawdzonych porad z bezpieczeństwa

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

KASPERSKY FRAUD PREVENTION FORENDPOINTS

SIŁA PROSTOTY. Business Suite

Kaspersky Anti-Virus 2013 Kaspersky Internet Security Lista nowych funkcji

Polityka ochrony danych osobowych w programie Norton Community Watch

Produkty. MKS Produkty

Włącz autopilota w zabezpieczeniach IT

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Kaspersky Hosted Security

Obsługa e-marketingowa Salonu z Aplikacją Gabi.NET.pl. Natalia Waldowska, Gabi.NET w sieci

Najwyższa jakość ochrony na każdym poziomie.

Memeo Instant Backup Podręcznik Szybkiego Startu

Największe zagrożenia dla biznesu w roku 2015

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE

NAJLEPSZA OCHRONA DLA TWOJEJ FIRMY

FIRMA BEZPIECZNA W SIECI RANSOMWARE JAK ZABEZPIECZYĆ SIĘ PRZED CYBERATAKAMI?

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Raport CERT NASK za rok 1999

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Scoring w oparciu o Big Data. 8 kwietnia 2014 roku

POLACY KOCHAJĄ SAMOCHODY

Otwock dn r. Do wszystkich Wykonawców

BEZPIECZNIE I KULTURALNIE W INTERNECIE

Temat: Windows 7 Centrum akcji program antywirusowy

RAPORT SKANOWANIA ANTY-EXPLOITOWEGO kont hostingowych Smarthost.pl za rok 2016

Copyright by K. Trybicka-Francik 1

WSPÓŁCZESNE CYBERZAGROŻENIA - JAK Z NIMI WALCZYĆ

BEZPIECZNY BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI. Protection Service for Business

Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A.

Windows Defender Centrum akcji

4383: Tyle podatności wykryto w 2010 r. Przed iloma jesteś chroniony? 2010 IBM Corporation

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

CENTRALA ŚWIATOWA Stevens Creek Blvd. Cupertino, CA USA

CERT POLSKA. Raport Przypadki naruszające bezpieczeństwo teleinformatyczne

Wyższy poziom bezpieczeństwa

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Rozsądni Polacy w akcji, czyli najbardziej poszukiwane lokaty bankowe

SZCZEGÓŁOWY RAPORT NASK ZA DRUGI KWARTAŁ 2011 ROKU. Ranking cctld z obszaru UE, stan na koniec drugiego kwartału 2011

RAPORT MIESIĘCZNY ALEJASAMOCHODOWA.PL S.A. za miesiąc październik 2017 R.

Windows Serwer 2008 R2. Moduł x. IIS

Państwowa Wyższa Szkoła Zawodowa w Gorzowie Wlkp. Laboratorium architektury komputerów

Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa

Rynek mieszkaniowy - Poznań

RAPORT MIESIĘCZNY ALEJASAMOCHODOWA.PL S.A. za miesiąc sierpień 2017 R.

Informacja na temat zatrudniania cudzoziemców w 2018 roku w województwie pomorskim

Sytuacja na niemieckim rynku budowlanym w 2017 roku

OFERT PRZYBYWA, ALE NIE DLA WSZYSTKICH

Najważniejsze cyberzagrożenia 2013 r.

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

- komputer (stacja robocza) ma być naprawiony i skonfigurowany w siedzibie firmy,

R U C H B U D O W L A N Y

Reklama w wyszukiwarce

Okoliczności powstania raportu

Bezpieczeństwo dzieci w internecie: 4 rzeczy, które może zrobić rodzic MODUŁ 6 B

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

5 lat funduszu Lyxor WIG20 UCITS ETF na GPW w Warszawie rynek wtórny

Rynek ERP. dr inż. Andrzej Macioł

Misja. O firmie. NOD32 Antivirus

Bezpieczeństwo systemów i lokalnej sieci komputerowej

Laboratorium - Monitorowanie i zarządzanie zasobami systemu Windows 7

Znak sprawy: KZp

SZCZEGÓŁOWY RAPORT NASK ZA PIERWSZY KWARTAŁ 2011 ROKU. ranking cctld z obszaru UE, stan na koniec pierwszego kwartału 2011

9. System wykrywania i blokowania włamań ASQ (IPS)

Pełna specyfikacja pakietów Mail Cloud

Raport prasowy SCENA POLITYCZNA

PŁACA MINIMALNA W KRAJACH UNII EUROPEJSKIEJ

R U C H B U D O W L A N Y

Polskie firmy odzieżowe są potrzebne na rynku w Niemczech!

Informacja na temat zatrudniania cudzoziemców w I półroczu 2019 roku w województwie pomorskim

Panda Internet Security 2017 przedłużenie licencji

WZMOCNIJ SWOJĄ POWIERZCHNIĘ ATAKU. F-Secure Radar - zarządzanie lukami w zabezpieczeniach

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

Przedstawiamy produkt KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Średnia satysfakcja użytkowników klientów platformy opiniac.com

Re_Forms 21 Często zadawane pytania (FAQ)

F-Secure Anti-Virus for Mac 2015

MAMP: Można to pobrać i zainstalować z XAMPP: Można go pobrać i zainstalować z

RAPORT MIESIĘCZNY ALEJASAMOCHODOWA.PL S.A. za miesiąc grudzień 2017 R.

RYNEK NAZW DOMENY.PL

World Wide Web? rkijanka

RAPORT MIESIĘCZNY ALEJASAMOCHODOWA.PL S.A. za miesiąc styczeń 2017 R.

Zagrożenia mobilne Nowy poziom niebezpieczeństwa. Maciej Ziarek, Analityk zagrożeń, Kaspersky Lab Polska

Transkrypt:

Raport : Java pod ostrzałem ewolucja exploitów w okresie 2012-2013 Październik 2013

Wprowadzenie: Dlaczego postanowiliśmy zbadać Javę Jednym z największych problemów napotykanych w branży bezpieczeństwa IT jest wykorzystywanie luk w zabezpieczeniach legalnego oprogramowania w celu przeprowadzania ataków za pośrednictwem szkodliwego oprogramowania. Poprzez takie luki szkodliwe programy mogą zainfekować komputery w taki sposób, że użytkownik niczego nie zauważy a w niektórych przypadkach oprogramowanie bezpieczeństwa nie aktywuje nawet alarmu. Właśnie z tego powodu ataki te, zwane exploitami, stanowią preferowaną przez cyberprzestępców metodę infekcji. W przeciwieństwie do socjotechniki, która jest swoistą loterią, wykorzystywanie luk w zabezpieczeniach wciąż daje pożądane rezultaty. Exploity to specjalne programy tworzone w celu wykorzystywania luk w zabezpieczeniach popularnego oprogramowania użytkowanego przez miliony ludzi na całym świecie. Działają ukradkiem, a użytkownicy mogą paść ich ofiarą poprzez samo odwiedzenie strony, która zawiera szkodliwy kod exploita, lub poprzez otwarcie pozornie legalnego pliku, który w rzeczywistości kryje szkodliwy kod. Exploity są tworzone w celu atakowania określonych wersji oprogramowania zawierającego luki w zabezpieczeniach. Dlatego jeśli użytkownik posiada taką wersję oprogramowania i użyje jej do otwarcia szkodliwego obiektu lub jeśli strona internetowa wykorzystuje do swego działania takie oprogramowanie, exploit zostanie uruchomiony. Po uzyskaniu dostępu za pośrednictwem luki exploit załaduje dodatkowe szkodliwe oprogramowanie z serwera przestępców, które, w zależności od celu ataku, wykona swoje szkodliwe działanie, takie jak kradzież danych osobistych, włączenie komputera do botnetu w celu rozprzestrzeniania spamu lub przeprowadzania ataków DDoS itd. Exploity nadal stanowią zagrożenie, nawet jeśli użytkownik ma świadomość, jak bardzo są niebezpieczne, jest obeznany w kwestiach bezpieczeństwa IT i sumiennie aktualizuje swoje oprogramowanie. Wynika to z tego, że po odkryciu luki w zabezpieczeniach mogą upłynąć tygodnie, zanim zostanie opublikowana dla niej łata. Przez ten czas exploity bez przeszkód wykonują swoje działania, zagrażając bezpieczeństwu niemal wszystkich użytkowników internetu. Ryzyko to można znacznie zredukować, pod warunkiem że użytkownicy mają zainstalowane na swoich komputerach wysokiej jakości rozwiązania bezpieczeństwa, w tym technologię potrafiącą zablokować ataki inicjowane przez exploity. Exploity to specjalne programy tworzone w celu wykorzystywania luk w zabezpieczeniach popularnego oprogramowania użytkowanego przez miliony ludzi na całym świecie. 1

Rozwijając wysokiej jakości rozwiązania bezpieczeństwa dla użytkowników indywidualnych i korporacyjnych, nieustannie monitoruje krajobraz cyberzagrożeń. Dzięki temu eksperci firmy mogą regularnie udoskonalać technologie ochrony i zwiększać bezpieczeństwo w odniesieniu do najbardziej palących zagrożeń. Obejmuje to między innymi analizę danych uzyskanych za pośrednictwem Kaspersky Security Network opartej na chmurze infrastrukturze, która łączy ponad 60 milionów użytkowników firmy na całym świecie i dostarcza informacje niezbędne do regularnego monitorowania sytuacji w obszarze cyberzagrożeń. Dane uzyskane za pośrednictwem Kaspersky Security Network stanowiły podstawę wcześniejszego raportu firmy, zatytułowanego Ocena poziomu zagrożenia, jakie stanowią luki w oprogramowaniu, w którym eksperci firmy dokonali analizy sytuacji związanej z najczęściej wykorzystywanym legalnym oprogramowaniem. Raport ten ujawnił, że ogromna liczba użytkowników nie aktualizuje dziurawych wersji zagrożonych aplikacji nawet po upływie tygodnia od opublikowania aktualizacji. W raporcie wskazano również najczęstsze cele ataków exploitów: środowisko oprogramowania Oracle Java, aplikację do wyświetlania zawartości multimedialnej Adobe Flash Player oraz jego siostrzany produkt Adobe Reader, wykorzystywany do przeglądania plików PDF. W naszym nowym badaniu postanowiliśmy skoncentrować się na platformie Oracle Java. Wybór ten został podyktowany dużym wzrostem liczby ataków na ten produkt na przestrzeni ostatniego roku, jak pokazuje tabela poniżej. 2

Pytania i odpowiedzi dotyczące Javy Co to jest Java? Java to język programowania obiektowego, który pozwala stosunkowo szybko i łatwo stworzyć wieloplatformowe elementy multimedialne, w tym aplikacje, które mogą działać na dowolnej maszynie wirtualnej Java, niezależnie od architektury komputera. Innymi słowy, programista nie musi pisać aplikacji od nowa za każdym razem, gdy napotka nowy system operacyjny lub przeglądarkę. Głównym wymogiem jest aktualna wersja wirtualnej maszyny Javy dla tego systemu operacyjnego lub przeglądarki. Z tego powodu narzędzie to stało się niezwykle popularne wśród programistów rozwijających strony internetowe i oprogramowanie dla różnych narzędzi. Dlaczego Java zawiera tak dużo luk w zabezpieczeniu? Po pierwsze, Java zaczęła być rozwijana w czasie, gdy szkodliwe ataki za pośrednictwem luk w zabezpieczeniach praktycznie nie istniały. Dlatego też twórcy oprogramowania ogółem nie tylko ci pracujący na Javie nie mogli przewidzieć tego potencjalnego ryzyka dla bezpieczeństwa i ich oprogramowanie nie było tworzone z myślą o bezpieczeństwie. Po drugie, ogromna liczba luk zidentyfikowanych w Javie wskazuje na to, że wielu specjalistów koncentruje się na szukaniu takich luk. Według Oracle, właściciela Javy, produkt ten jest wykorzystywany na ponad 3 miliardach różnych urządzeń na całym świecie. Te ogromne rzesze użytkowników stanowią jeden z kluczowych czynników, jakie biorą pod uwagę cyberprzestępcy, wybierając cel swoich ataków. Im więcej osób wykorzystuje dany produkt, tym większe szanse mają przestępcy na wzbogacenie się. A zatem, nie można powiedzieć, że Java stanowi najbardziej podatną na ataki platformę oprogramowania przestępcy mają po prostu świadomość, że miliony ludzi wykorzystują ten produkt, i uważają, że rozsądnie jest przeznaczyć zasoby na znalezienie sposobów wykorzystania tej sytuacji. Co to jest pakiet exploitów? Jest to nielegalny pakiet oprogramowania, który zawiera panel kontroli oraz zestaw exploitów przeznaczonych dla szeregu różnych legalnych aplikacji. Pakiety exploitów przypominają zestawy kluczy, z tą różnicą, że tutaj każdy klucz to oddzielny exploit uruchamiany w zależności od rodzaju oprogramowania wykorzystywanego przez ofiarę. Exploity wykorzystujące luki w Javie mogą być również używane niezależnie od pakietu exploitów. Występują również w atakach ukierunkowanych, gdzie na etapie przygotowań przestępcy 3

wykrywają luki w infrastrukturze IT swojego celu, a następnie tworzą stronę internetową, na której znajduje się Exploit Javy. W jaki sposób przeprowadzane są ataki wykorzystujące exploity Javy? Zazwyczaj cyberprzestępcy zwabiają użytkowników na specjalnie stworzoną stronę, która zawiera odpowiedni zestaw exploitów. Gdy użytkownik załaduje tę stronę, wbudowany moduł zidentyfikuje wykorzystywaną przeglądarkę oraz zainstalowane wersje wtyczek Javy. Na podstawie tych informacji zostanie wybrany exploit, który automatycznie załaduje swoje szkodliwe oprogramowanie na komputer. Metodologia zastosowana podczas tworzenia raportu: co i jak obliczaliśmy Dla celów związanych z tym badaniem wykorzystaliśmy informacje uzyskane od ponad 40 milionów użytkowników produktów firmy na całym świecie, którzy wyrazili zgodę na udostępnienie danych statystycznych systemowi Kaspersky Security Network. Dane te pochodzą z komputerów zawierających dowolną wersję oprogramowania Oracle Java. Raport obejmuje dane statystyczne dostarczone przez cztery moduły ochrony wykorzystywane w produktach firmy : Ochrona WWW, Ochrona plików, Analiza heurystyczna i Automatyczne zapobieganie exploitom. Okres objęty badaniem: Wybraliśmy dane zebrane na przestrzeni 12 miesięcy: od sierpnia 2012 r. do sierpnia 2013 r. Okres ten jest szczególnie interesujący ze względu na stosunkowo dużą liczbę luk wykrytych w Javie dwukrotnie większą niż w poprzedzającym okresie 12 miesięcy. Aby uwydatnić tę zmianę, podzieliliśmy badany okres na dwie połowy: od września 2012 r. do lutego 2013 r. i od marca 2013 r. do sierpnia 2013 r. Przedmioty badania: Liczba luk w zabezpieczeniach w Javie i ich charakter; Liczba ataków wykorzystujących exploity Javy i ich dynamika; Liczba atakowanych unikatowych użytkowników i ich dynamika; Rozkład ataków oraz unikatowych użytkowników według położenia geograficznego; Liczba i rozpowszechnienie wyrafinowanych ataków wykrytych przy użyciu unikatowego modułu Automatyczne zapobieganie exploitom firmy Stopień dystrybucji exploitów stworzonych dla luk wykrytych w badanym okresie. 4

Najważniejsze wyniki Badanie wykazało, że analizowany okres 12 miesięcy okazał się bardzo trudny dla Oracle a i jego użytkowników, którzy stanowili cel ogromnej liczby ataków. Różne firmy i eksperci ds. cyberbezpieczeństwa wykryli ponad 160 luk w zabezpieczeniach, w tym 6 krytycznych; wykrył ponad 14,1 miliona ataków, które wykorzystywały exploity Javy. To o 33,3% więcej niż w poprzednich 12 miesiącach; Liczba ataków zwiększyła się na przestrzeni roku. Od marca do sierpnia 2013 r. wykryto ponad 8,54 miliona ataków, co stanowi wzrost o 52,7% w stosunku do wcześniejszych sześciu miesięcy. Łącznie, w badanym 12-miesięcznym okresie zostało zaatakowanych ponad 3,57 miliona użytkowników rozwiązań firmy na całym świecie. W drugiej połowie roku liczba zaatakowanych użytkowników zwiększyła się o 21% w porównaniu z pierwszą połową i wynosiła 2 miliony unikatowych użytkowników. Około 80% ataków było skoncentrowanych w zaledwie 10 krajach. Większość z nich zostało przeprowadzonych w Stanach Zjednoczonych, Rosji, Niemczech i we Włoszech. Kanada, Stany Zjednoczone, Niemcy i Brazylia to państwa wyróżniające się najszybszym wzrostem liczby ataków. Wraz z Francją państwa te odznaczają się również najszybszym wzrostem liczby unikatowych użytkowników padających ofiarą ataków. W blisko 50% ataków wykorzystano jedynie sześć grup exploitów. W ciągu minionych 12 miesięcy moduł Automatyczne zapobieganie exploitom firmy zablokował 4,2 miliona wyrafinowanych ataków, których celem było ponad 2 miliony użytkowników. Naturalnie, trendy te zawierają pewne odchylenia, które zostaną omówione bardziej szczegółowo. Część 1: Rok luk w zabezpieczeniach Javy Okres objęty niniejszym raportem okazał się szczególnym wyzwaniem dla Javy pod względem niezałatanych luk w zabezpieczeniach. W okresie tym w różnych wersjach Javy 5

wykryto 161 luk w zabezpieczeniach. Większość z nich zawierały wersje 1.5, 1.6 i 1.7, czyli najczęściej wykorzystywane wersje tego oprogramowania. Dla porównania: w tym samym okresie w latach 2011-2012 zgłoszono tylko 51 niezałatanych luk w zabezpieczeniach. Dane źródłowe wykorzystane do wykresu poniżej pochodzą od duńskiej firmy Secunia, która gromadzi dane dotyczące luk wykrytych w legalnym oprogramowaniu. Jak pokazuje wykres, w badanym okresie Secunia wydała osiem oficjalnych ostrzeżeń (advisories), w każdym z nich informując o wykryciu luk w Javie, a w niektórych donosząc nawet o 40 nowych lukach. W tym samym okresie w latach 2011-2012 Secunia wydała pięć oficjalnych ostrzeżeń. Czerwone słupki oznaczają publikację jednego lub większej liczby oficjalnych ostrzeżeń firmy Secunia informujących o wykryciu krytycznych luk. Tylko dwa ostrzeżenia (zielone słupki) nie zawierały żadnych krytycznych luk w zabezpieczeniach. Źródło: Secunia. Warto podkreślić, że przeważająca większość luk wykrytych w Javie nie stanowi wielkiego zagrożenia. Jednocześnie, sześć ze wspomnianych oficjalnych ostrzeżeń dotyczyło przynajmniej jednej luki, która mogłaby potencjalnie prowadzić do zainfekowania komputera. W sumie tylko dwa oficjalne ostrzeżenia opublikowane między wrześniem 2012 r. a sierpniem 2013 r. nie dotyczyły luk krytycznych raporty opublikowane 20 lutego i 19 czerwca. W okresie tym zwracał uwagę na sześć najgroźniejszych luk w zabezpieczeniach Javy i uczył swoje technologie antywirusowe, jak reagować na sześć rodzin exploitów wykorzystujących te luki. Oddając sprawiedliwość firmie Oracle, należy podkreślić, że wszystkie wykryte w badanym okresie luki krytyczne zostały załatane do czasu powstania tego raportu. Ostatnia wersja Javy (1.7) została opublikowana w czerwcu tego roku (Aktualizacja 25), gdy najbardziej rozpowszechniona była wersja 1.6 (Aktualizacja 51). Niestety, statystyki firmy dzięki którym możemy uzyskać pełniejszy obraz tego, z których wersji Javy korzystają użytkownicy na komputerach z zainstalowanymi produktami firmy pokazują, że nie wszyscy użytkownicy są chronieni przed atakami exploitów już od momentu pojawienia się aktualizacji. 6

Półtora miesiąca po pojawieniu się najnowszej wersji Javy większość użytkowników nadal wykorzystuje dziurawe wersje tego oprogramowania. Wykres kołowy został stworzony na podstawie danych pochodzących od 26,82 miliona indywidualnych użytkowników Kaspersky Security Network wykorzystujących dowolną wersję Javy na swoim komputerze. Źródło (tutaj i poniżej): Kaspersky Security Network. Mniej niż połowa (42,5%) wszystkich użytkowników Javy udostępniających swoje dane w ramach Kaspersky Security Network zainstalowała aktualizację dla najnowszej wersji Javy. Ponad 15% (czyli powyżej 4 milionów użytkowników) wykorzystuje wcześniejszą wersję SE7 U21, która została opublikowana w połowie kwietnia. Około 1,3 miliona użytkowników (4,93%) nadal korzysta z wersji SE7 U17 udostępnionej jeszcze w marcu 2013 r. Co ciekawe, wersja SE 6 U37 opublikowana w październiku 2012 r. stanowiła najnowszą wersję Javy 1.6 w zestawieniu 10 najczęściej wykorzystywanych wersji. Wnioski nasuwają się same: półtora miesiąca po opublikowaniu najnowszej wersji Javy większość użytkowników nadal korzysta z dziurawych wersji. Sytuacja ta powtarza się nieustannie. Pod koniec czerwca, niecałe dwa tygodnie po opublikowaniu Aktualizacji 25, zaledwie 291 000 użytkowników korzystało z najbardziej 7

aktualnej wersji. Wielu użytkowników potrzebowało więcej czasu na uaktualnienie swojego oprogramowania, bardziej jednak niepokoi fakt, że pod koniec czerwca nadal prawie dwukrotnie więcej osób wykorzystywało dziurawą, przestarzałą wersję U17 niż nowszą wersję U21 opublikowaną w połowie kwietnia. Liczba osób, które używały wersji U21, wynosiła 3,5 miliona, a liczba osób nadal wykorzystujących przestarzałą i dziurawą wersję SE U17 - ponad 6 milionów. Z analizy poprzedniego okresu wyłania się ta sama sytuacja. Większość użytkowników wykorzystuje wersje Javy, które są o 2-3 generacje starsze niż najbardziej aktualna wersja w momencie prowadzenia tego badania. Jednocześnie, jakkolwiek niebezpieczny jest obserwowany trend, możemy dostrzec w nim również kilka pozytywnych aspektów. Jeżeli porównamy pięć najczęściej wykorzystywanych wersji Javy w sierpniu z tymi samymi danymi z końca czerwca, zobaczymy, że przy podobnej liczbie indywidualnych użytkowników (18,65 miliona w sierpniu i 19,7 miliona w czerwcu) liczba użytkowników wykorzystujących najbardziej aktualną wersję Javy w sierpniu była znacznie wyższa niż w czerwcu. Wykres poniżej pokazuje odsetek użytkowników wykorzystujących 5 najpopularniejszych wersji Javy w czerwcu. Ze względu na to, że dane potrzebne do niniejszego raportu zostały zebrane stosunkowo niedługo (niecałe dwa tygodnie) po opublikowaniu najnowszej wersji Javy (U25), dla celów niniejszej analizy najnowszą wersję stanowi U21. Jak wyraźnie widać na wykresie, tylko 8

17,85% użytkowników wykorzystywało tę wersję, podczas gdy większość osób (prawie jedna trzecia) korzystała z przestarzałej i dziurawej wersji U?7. W sierpniu zaobserwowaliśmy znacznie bardziej optymistyczny trend. Innymi słowy, latem użytkownicy Javy wydawali się znacznie bardziej skłonni uaktualnić oprogramowanie do najnowszej wersji niż wiosną. Trudno wskazać przyczyny tego przyspieszenia w procesie aktualizacji. Możliwe, że do działania zmotywowały użytkowników pojawiające się w mediach doniesienia dotyczące wykrycia luk w zabezpieczeniach Javy wiosną 2013 r. temat ten często pojawiał się w wiadomościach. Jak pokazano w dalszej części analizy, miniona wiosna okazała się najtrudniejszym okresem dla Javy, szczególnie jeśli weźmiemy pod uwagę liczbę ataków i liczbę atakowanych użytkowników? Część 2: Rok pod znakiem ataków na użytkowników Stały wzrost liczby ataków 9

W okresie 12 miesięcy: od września 2012 r. do sierpnia 2013 r., odnotował ponad 14,1 miliona ataków przeprowadzanych na użytkowników na całym świecie. W porównaniu z tym samym okresem w latach 2011-2012, liczba ataków zwiększyła się o 33,3%. Po rozbiciu badanego 12-miesięcznego okresu na dwa sześciomiesięczne dynamika ataków będzie jeszcze większa: 52,7% ataków (8,54 miliona) zostało odnotowanych w drugiej połowie roku (od marca do sierpnia 2013 r.), natomiast 5,59 miliona - sześć miesięcy wcześniej. Dynamika ataków w ciągu minionych 12 miesięcy: Początek tego okresu, obejmujący miesiące jesienne, odznaczał się stałą liczbą ataków oraz niewielką tendencją spadkową w grudniu. Następnie, na początku stycznia nastąpił gwałtowny wzrost, osiągając szczytowy punkt w połowie miesiąca, po którym miał miejsce równie dramatyczny spadek. 10

W porównaniu z tym samym okresem w latach 2011-2012, liczba ataków w latach 2012-2013 zwiększyła się o 33,3%. Począwszy od lutego aż do końca maja liczba ataków rosła w szybkim tempie. Wynikało to, między innymi, z wykrycia nowych luk w zabezpieczeniach Javy (87 luk w okresie od lutego do maja, z czego trzy zostały ocenione jako krytyczne) i opieszałości użytkowników Javy pod względem przechodzenia na załatane, bezpieczniejsze wersje. Od czerwca do sierpnia obserwowaliśmy stały spadek liczby ataków. W połowie czerwca Oracle opublikował nową wersję Javy, która jak pisaliśmy w poprzedniej sekcji raportu skłoniła większą liczbę użytkowników do przejścia na uaktualnioną wersję. Czas letnich wakacji to tradycyjnie okres mniejszej aktywności cyberprzestępczej kolejny czynnik, który mógł odegrać tutaj rolę. Oprócz liczby ataków znacznie wzrosła również liczba użytkowników, którzy stali się celem takich ataków. Większa liczba użytkowników na celowniku W ciągu minionego roku celem ponad 14 milionów ataków było 3,75 miliona użytkowników w 226 krajach. W pierwszej połowie roku zagrożonych atakiem z wykorzystaniem exploitów Javy było 1,7 indywidualnych użytkowników. Dla porównania w okresie kolejnych sześciu miesięcy liczba ta wynosiła ponad 2 miliony. Wzrost ten na przestrzeni od marca do sierpnia wynosił ponad 21% w stosunku do wcześniejszych sześciu miesięcy. Liczba zaatakowanych użytkowników w ciągu całego roku zmieniła się stosownie do liczby samych ataków. W okresie od września do lutego średnia intensywność wynosiła 3,29 11

ataków na użytkownika, podczas gdy od marca do sierpnia liczba ta wynosiła 4,15. Intensywność ataków w drugiej połowie roku zwiększyła się w stosunku do pierwszej połowy o 26,1%. W ciągu roku każdy użytkownik był celem średnio 3,72 ataków. Jak już wspominaliśmy, najintensywniejszym okresem zarówno pod względem liczby ataków jak i liczby atakowanych użytkowników była wiosna 2013 r. Przeważająca większość atakowanych użytkowników (około 79,6%) mieszka w zaledwie 10 krajach, a 10 krajów stanowiło ogromną większość ataków (82,2%). Co ciekawe, po wiosennym przebudzeniu liczba ataków spadła szybciej niż liczba atakowanych użytkowników. Przykładowo, w czerwcu liczba ataków zmniejszyła się o 21,9% w porównaniu z majem, podczas gdy liczba zaatakowanych użytkowników spadła o 15,5%. Istotnym czynnikiem mogła być tu publikacja aktualizacji U25 przez Oracle. Ze względu na spadek liczby użytkowników dziurawych wersji Javy cyberprzestępcy mogli podjąć działania w celu przyciągnięcia większej liczby indywidualnych użytkownika na szkodliwe strony internetowe. Rachunek jest prosty: im więcej użytkowników, tym większa szansa, że ktoś będzie posiadał przestarzałą wersję Javy. Ogólnie rzecz biorąc, takie wahania liczby ataków i liczby ofiar są niepokojące. Obie te liczby znacznie wzrosły w ciągu minionego roku. Jednak poza zmianami w dynamice łącznej liczby ataków zaobserwowaliśmy również inne ciekawe trendy w rozkładzie tych ataków według państwa na przestrzeni minionych 12 miesięcy. Część 3: Międzynarodowe zagrożenie: lokalizacja geograficzna użytkowników, ataków i źródeł Rozkład geograficzny ataków dziesięć głównych ofiar Jednym z najbardziej interesujących wyników tej części badania stanowi fakt, że przeważająca większość zaatakowanych użytkowników (około 79,6%) mieszka w 10 krajach. Ogromna większość ataków (82,2%) również miała miejsce w tych dziesięciu państwach. 12

Jak wynika z tabeli powyżej, na pierwszym miejscu znalazły się Stany Zjednoczone, które stanowiły cel 26,17% wszystkich ataków. Na drugim miejscu uplasowała się Rosja (24,53% ataków), na trzecim natomiast Niemcy (11,67%). Jednocześnie lista najczęściej atakowanych państw odnotowała zmiany na przestrzeni roku. 13

W okresie od marca do sierpnia 2013 r. Stany Zjednoczone i Rosja zamieniły się miejscami. Odsetek ataków w Stanach Zjednoczonych zwiększył się z 21,44% do 29,26%. Odsetek ataków na rosyjskich użytkowników zmniejszył się o 6,82 punktu procentowego do 21,83%. W Kanadzie liczba ataków wzrosła o ponad 118% i wynosiła 0,24 miliona; w Brazylii zwiększyła się o 72% (0,22 miliona ataków). Liczba incydentów w Wielkiej Brytanii wzrosła o 51%; w drugiej połowie roku wykryto ponad 0,25 miliona ataków. Znacznie zwiększył się wkład Niemiec w łącznej liczbie ataków o 1,95 punktu procentowego. Wzrost odnotowały również inne państwa. Zmniejszył się tylko udział Ukrainy o 1 punkt procentowy z 3,38% do 2,38%. Odsetki dla innych państw zmieniły się nieznacznie. Sytuacja przedstawiała się następująco: 14

W okresie od marca do sierpnia Stany Zjednoczone były celem dwukrotnie większej liczby ataków 2,5 miliona w porównaniu z 1,19 miliona ataków na przestrzeni wcześniejszych 6 miesięcy. W okresie od marca do sierpnia 2013 r. w Niemczech wykryto ponad milion ataków, podczas gdy w okresie od sierpnia do lutego liczba ta wynosiła 0,58 miliona. Generalnie, Stany Zjednoczone, Rosja i Niemcy stanowią liderów pod względem liczby ataków. Jednak dynamika wzrostu w tych wiodących państwach znacznie się różni. W Kanadzie liczba ataków zwiększyła się o ponad 118% do 0,24 miliona; w Brazylii wzrost wynosił niemal 72% (liczba ataków zwiększyła się do 0,22 miliona). Liczba tego rodzaju incydentów w Wielkiej Brytanii wzrosła o 51%; w drugiej połowie roku wykryto ponad 0,25 miliona ataków. Najniższy wzrost odnotowano w Rosji, Hiszpanii i na Ukrainie. Wraz ze wzrostem liczby ataków wzrasta naturalnie liczba użytkowników będących ich celem. Ranking wiodących państw pod tym względem wygląda podobnie: niemal połowa wszystkich użytkowników, którzy zostali zaatakowani w badanym okresie (48,27%), mieszka w Rosji i Stanach Zjednoczonych. Co dziesiąta ofiara mieszka w Niemczech. Pod względem intensywności ataków na indywidualnych użytkowników prowadzi Brazylia i Stany Zjednoczone w okresie objętym badaniem w państwach tych miało miejsce odpowiednio 5,75 i 4,79 ataków na użytkownika, znacznie więcej niż średnia liczba dla innych państw. Na trzecim miejscu znajdują się Niemcy (4,04 ataku na użytkownika), natomiast na czwartym Włochy (3,82). Lista Top 10 państw pod względem intensywności ataków: 15

Państwo Liczba ataków na użytkownika Brazylia 5,75 Stany Zjednoczone 4,79 Niemcy 4,04 Francja 3,65 Kanada 3,58 Hiszpania 3,42 Wielka Brytania 3,39 Federacja Rosyjska 3,32 Ukraina 3,04 Dlaczego wzrasta intensywność ataków? Duża liczba luk w zabezpieczeniach wykrytych w Javie oraz użytkowników, którzy nie zwracają uwagi na aktualizacje oprogramowania, tworzą idealne warunki dla cyberprzestępców do przeprowadzania bardziej intensywnych ataków. Prawie połowa wszystkich zaatakowanych użytkowników w badanym okresie (48,27%) mieszka w Rosji i Stanach Zjednoczonych. Ustaliwszy, kto i gdzie był najczęściej atakowany, w dalszej części przeanalizujemy informacje dotyczące źródeł tych ataków w celu uzyskania lepszego obrazu problemu. Źródła ataków do gry weszli nowi gracze Pod względem położenia geograficznego źródeł wielu ataków tj. serwerów uderza fakt, że państwa, w których znajdują się te serwery, często dzieli spora odległość od państw, które stanowią cel takich ataków. Łącznie, w badanym roku 1,21 miliona unikatowych źródeł ataków zostało wykrytych w 95 państwach. Ponad połowa z nich znajdowała się w Stanach Zjednoczonych, Niemczech i Rosji. W okresie od września do lutego Kaspersky Security Network wykrył 0,41 miliona szkodliwych serwerów zlokalizowanych w 86 krajach. 16

W okresie od marca do sierpnia Kaspersky Security Network gromadził informacje dotyczące 0,8 miliona szkodliwych serwerów w 78 krajach. Całkowity wzrost liczby źródeł ataków wynosi 95,2%. 17

Jednak najbardziej interesującym faktem nie jest tu dwukrotny wzrost liczby źródeł ataków w ciągu sześciu miesięcy, ale drastyczna zmiana na liście 10 państw, z których przeprowadzano najwięcej ataków. Liczba ataków pochodzących z Niemiec zmniejszyła się ponad trzykrotnie, z 36,82% do 10,59%, przez co państwo to spadło na trzecie miejsce w drugiej połowie roku. Na drugim miejscu pozostała Rosja, a odsetek ataków pochodzących z tego państwa nie zmienił się znacząco w okresie od września do marca wynosił 19,57%, a od marca do sierpnia 18,40%. Niemcy i Stany Zjednoczone zamieniły się miejscami. W pierwszej połowie roku tylko 12,99% źródeł ataków było zlokalizowanych w Stanach Zjednoczonych; w drugiej połowie odsetek ten zwiększył się do 31,14%. Łącznie, po 12 miesiącach badań lista Top 10 państw stanowiących największe źródła ataków wygląda następująco: W badanym okresie zidentyfikowano łącznie 1,21 miliona unikatowych źródeł ataków w 95 krajach. Ponad połowa z nich 63,06% - jest zlokalizowana w Stanach Zjednoczonych, Niemczech i Rosji. Inne znaczące źródła ataków wykorzystujących exploity można znaleźć w Holandii (7,48%), w Wielkiej Brytanii (5,1%), Republice Czeskiej (3,66%), Francji (2,93%), Kanadzie (2,47%) i Luksemburgu (1,72%). Pozostałe 10% źródeł jest zlokalizowanych w 85 innych krajach. W Stanach Zjednoczonych ma miejsce silny i stały wzrost liczby źródeł ataków, który rozpoczął się w lutym i osiągnął najwyższy punkt w lipcu. 18

Co ciekawe, kilka państw znajduje się na wysokich pozycjach wśród źródeł ataków, nie ma ich natomiast wśród największych ofiar. Być może jest to związane z tym, że państwa te, takie jak Holandia, Republika Czeska, Łotwa czy Luksemburg, nie są uznawane jako miejsca wysokiego ryzyka dla cyberprzestępców, dlatego dostawcy usług hostingowych z mniejszym prawdopodobieństwem zareagują na skargi dotyczące szkodliwych stron na tych serwerach. Naturalnie, firmy te mogą znajdować się również w wielu innych państwach, jednak przeważają liczebnie w tych wymienionych wyżej. W badanym roku źródła ataków zmieniały się w następujący sposób: Na początku okresu objętego badaniem na prowadzeniu konsekwentnie utrzymywały się Niemcy, mimo że z wyjątkiem okresu wzrostu od stycznia do marca liczba źródeł ataków odnotowała spadek. Stany Zjednoczony wykazały najbardziej stabilny i największy wzrost pod względem liczby źródeł ataków, odnotowując tendencję wzrostową od lutego i wartość szczytową w lipcu. W marcu szybko wzrosła liczba szkodliwych serwerów zlokalizowanych w Rosji. Co ciekawe, pod koniec badanego okresu trzy państwa na liście Top 5 Rosja, Niemcy i Holandia zarejestrowały spadek, podczas gdy liczba szkodliwych serwerów w Stanach Zjednoczonych i Wielkiej Brytanii wzrosła. Jednak, jak pokazuje tabela poniżej, nie miało to dużego wpływu na łączną liczbę szkodliwych serwerów. Jeżeli chodzi o liczbę ataków i atakowanych użytkowników, latem liczba serwerów odnotowała spadek. 19

Tabela powyżej pokazuje korelację między liczbą ataków, zaatakowanych użytkowników i serwerów, z których dokonano prób pobrania exploitów. Średnio, w ciągu roku dokonano 11,64 prób pobrań exploita z każdego z ponad 1,2 miliona unikatowych adresów IP. Czy to dużo? Po pierwsze, należy zdać sobie sprawę, że liczby te odnoszą się jedynie do użytkowników produktów firmy, którzy trafili na takie strony. W rzeczywistości, liczba pobrań z każdego adresu IP mogła być znacznie wyższa. Po drugie, exploity to bardzo niebezpieczny typ szkodliwego oprogramowania. Pobrany exploit może wyrządzić poważne szkody, w tym straty finansowe. Innymi słowy, szkody spowodowane atakami przeprowadzonymi przy użyciu exploitów są nieproporcjonalnie duże w stosunku do ich stosunkowo niewielkiej liczby. Jeżeli chodzi o same ataki, w badanym okresie wykryto w Javie jedynie sześć krytycznych luk w zabezpieczeniach. Czy naprawdę mogły wyrządzić poważną szkodę niechronionym użytkownikom? W dalszej części raportu przyjrzymy się dokładniej tej kwestii. Część 4: Dokładniejsza analiza exploitów na wolności W badanym okresie produkty firmy wykryły 2 047 różnych rodzin szkodliwego oprogramowania z kategorii exploitów. Jednak zaledwie dziewięć z nich odpowiada za większość przeprowadzonych ataków. 20

Około 81% wszystkich ataków zostało przeprowadzonych przy użyciu zaledwie 9 rodzin exploitów wykorzystujących 9 luk w zabezpieczeniach. 1 Wykres poniżej stanowi kolejną ilustrację smutnego obrazu stanu aktualizacji dla dziurawych programów. Ponad 50% wykryć za pomocą technologii firmy dotyczyło exploitów wykorzystujących luki zidentyfikowane w 2012 r. W 2013 r. stanowiły one około 13,61% ataków. 1 Sygnatura Exploit.Java.Generic oznacza, że oparte na chmurze technologie bezpieczeństwa firmy wykryły zachowanie, które jest typowe dla exploitów, jednak w czasie tworzenia tych statystyk nie zidentyfikowano, którą lukę w Javie wykorzystano podczas wykrytych ataków. W badanym okresie odnotowano ponad 2 miliony takich wykryć. 21

Można przypuszczać, że łączne statystyki obejmujące minione 12 miesięcy nie dają tak naprawdę pełnego obrazu sytuacji, ponieważ exploity te stworzono z myślą o lukach, które nie zostały załatane w 2012 r. i miały więcej czasu na rozprzestrzenianie się. W rzeczywistości, gdybyśmy przyjrzeli się danym statystycznym dla sierpnia 2013 r., wyraźnie zobaczymy, że exploity wykorzystujące niezałatane luki w 2013 r. odpowiadały za znacznie większą liczbę ataków w ostatnim miesiącu lata niż wynosi średnia liczba ataków dla całego roku. 22

Jeśli jednak spojrzymy na listę Top 10 exploitów dla sierpnia, sytuacja będzie wyglądała inaczej. CVE-2012-1723 nadal stanowi lidera wśród zidentyfikowanych exploitów. Pierwszy publiczny komunikat dotyczący tej luki pojawił się w czerwcu 2012 r. Oracle wypuścił łatę zaledwie kilka dni później. Jak widać na diagramie, ponad rok później 20% ataków nadal wykorzystuje lukę CVE-2012-1723. Ponad 50% wykryć zagrożeń dokonanych przy użyciu technologii w ciągu 12 miesięcy dotyczyło exploitów wykorzystujących luki, które były niezałatane w 2012 r. Luki w zabezpieczeniach wykryte w 2012 r. stanowią około 13,61%. Mimo to, jak już zostało wspomniane, w badanym okresie wykryto sześć nowych luk krytycznych. Poniżej prezentujemy, jak zmienia się krajobraz ataków wraz z wykryciem nowych dziur w zabezpieczeniach Javy. 23

«The relay race» of the new exploits, 2012-2013 Linie na wykresie reprezentują ataki z wykorzystaniem exploitów zarejestrowane w ciągu roku Dynamika ataków wykorzystujących exploity, które pojawiły się w badanym okresie, przypomina wyścig sztafetowy. Gdy liczba ataków wykorzystujących jedną lukę zaczyna spadać, pojawia się nowa luka, a wykorzystujące ją exploity przejmują pałeczkę oraz prowadzenie w wyścigu. Wykres powyżej pokazuje również, w jaki sposób w atakach wykorzystywano CVE-2012-4681. Exploit ten został wykryty zaledwie trzy dni, zanim rozpoczął się badany okres, i stanowił lukę typu zero-day będącą poważnym zagrożeniem. 30 sierpnia 2012 r. Oracle opublikował pilną łatę, jednak jak wynika z wykresu - wprawdzie liczba wykorzystujących tę lukę ataków nieznacznie spadła w październiku, już pod koniec listopada odnotowała ponowny wzrost. Exploit wykorzystujący lukę CVE-2012-5076 został wykryty w połowie października 2012 r. i przejął pałeczkę od luki CVE-2012-4681. Ze względu na możliwość infekowania kilku wersji Javy natychmiast zyskał popularność wśród cyberprzestępców. Chociaż tego samego miesiąca została opublikowana łata dla luki CVE-2012-4681, w marcu 2013 r. exploit ten nadal był częścią Blackhole, który stanowi jeden z najbardziej rozpowszechnionych pakietów exploitów na czarnym rynku, ponieważ potrafi atakować szeroki wachlarz wersji i skuteczniej infekuje ofiary. CVE-2013-0422 to kolejna luka typu zero day, wykryta w styczniu tego roku. Szybko opublikowano na nią łatę, jednak liczba ataków wrastała aż do lutego. Następnie nastąpił spadek liczby ataków i liczba wykryć ustabilizowała się na poziomie 25 000 miesięcznie aż do sierpnia. Podobnie jak jego poprzednik, exploit ten, wraz z innymi znanymi pakietami exploitów, stanowił część Blackhole. CVE-2013-0422 wraz z CVE-2012-1723 zostały wykorzystane w kampanii szpiegującej Icefog, która została niedawno wykryta przez badaczy z. 24

Luka CVE-2013-0431, która została zidentyfikowana na początku lutego, była aktywnie wykorzystywana, w tym również przez gang cyberprzestępców rozprzestrzeniających trojana scareware o nazwie Reveton. Program ten blokuje komputer ofiary i wyświetla komunikat pochodzący rzekomo od FBI, który informuje użytkownika o tym, że naruszył prawo i musi zapłacić karę. Grupa stojąca za tymi atakami została aresztowana przez hiszpańską policję na początku lutego 2013 r. - nie powstrzymało to jednak rozprzestrzeniania tego trojana. połowie lutego w internecie pojawiły się informacje o komputerze zainfekowanym przez Revetona na skutek ataku z udziałem exploitów wykorzystujących lukę CVE-2012-0431. Luka CVE-2013-1493, która została zidentyfikowana na początku marca, była również wykorzystywana w atakach, które w większości dotyczyły szpiegostwa przemysłowego. Konkretnie, według danych pochodzących z niezależnych badań, szkodliwy program został zainstalowany po tym, gdy exploit połączył się z serwerem szkodliwego użytkownika na tym samym adresie IP co serwer kontroli (C&C) wykorzystany w ataku na Bit9, który miał miejsce w lutym tego roku. Pod względem wartości absolutnych, co najmniej 47,95% wszystkich ataków opartych na exploitach stanowią ataki wykorzystujące sześć rodzin exploitów. Jest to prawie połowa wszystkich ataków z wykorzystaniem exploitów Javy wykrytych przez produkty firmy. Eksperci z ustalili, że exploity wykorzystujące lukę CVE-2013-2433, która została wykryta w czerwcu 2013 r., brały udział w atakach na użytkowników produktów firmy Apple. Uważa się, że ataki te zostały przeprowadzone w ramach kampanii skierowanej przeciwko osobom odwiedzającym stronę internetową tybetańskiego rządu na wygnaniu, o czym pisał już wcześniej. Wszystkie te dane jeszcze dobitniej pokazują, że szkodliwi użytkownicy wykorzystali luki wykryte w badanym okresie. Generalnie, od września 2012 r. do sierpnia 2013 r. sześć luk określało przepływ ataków na Javę. 25

W wartościach bezwzględnych ataki wykorzystujące te rodziny exploitów stanowiły co najmniej 47,95% łącznej liczby ataków, czyli prawie jedną drugą wszystkich wykryć exploitów Javy dokonanych przy użyciu produktów firmy. Jednocześnie ponad połowa (53,17%) wszystkich zaatakowanych użytkowników doświadczyła co najmniej jednego ataku z użyciem exploita z jednej z tych sześciu rodzin. 26

Tak przedstawia się 12 miesięcy ataków, których celem była Java. Zanim jednak zestawimy wyniki tego badania, przyjrzyjmy się innemu niebezpiecznemu rodzajowi ataków, których celem byli użytkownicy produktów w badanym okresie 12 miesięcy. Część 5: Ponad 4,2 miliona ataków przechwyconych przez technologię Automatyczne zapobieganie exploitom Produkty firmy zablokowały ponad 14 milionów ataków wykorzystujących exploity Javy - to jedne z kluczowych danych liczbowych wynikających z przytaczanego badania. W rzeczywistości system bezpieczeństwa firmy zarejestrował 4,2 miliona dalszych incydentów. Jest to liczba ataków zablokowanych przez unikatową technologię firmy Automatyczne zapobieganie exploitom. Ofiarą tych 4,2 miliona ataków padłoby 2,25 miliona indywidualnych użytkowników na całym świecie. 27

Dlaczego zdecydowaliśmy się osobno przeanalizować dane dostarczone przez Automatyczne zapobieganie exploitom Walka z atakami wykorzystującymi exploity to wieloetapowy proces, w którym uczestniczy kilka podsystemów bezpieczeństwa produktu antywirusowego. Pierwszy etap ma miejsce na poziomie strony internetowej, gdy produkt bezpieczeństwa, przy użyciu bazy szkodliwych stron internetowych, próbuje zablokować wszelkie przekierowania użytkownika na stronę, na której zaszyty jest exploit. Jeżeli metoda ta nie poradzi sobie z wykryciem zagrożenia - bo np. strona została niedawno stworzona i nie umieszczono jej jeszcze na czarnej liście wtedy do akcji wkracza moduł Ochrona WWW. Skanuje on stronę pod kątem oznak szkodliwego kodu, wykorzystując do tego bazę sygnatur i wpisy heurystyczne. Te ostatnie są rozszerzone o sygnatury, które pomagają wykryć nieznany dotąd szkodliwy kod na podstawie cech typowych dla znanego szkodliwego oprogramowania. Jeżeli i to nie pomoże w wykryciu zagrożenia, oprogramowanie firmy wykona automatycznie skanowanie przy użyciu bazy sygnatur exploitów. Gdy mimo to nie będzie pożądanych rezultatów, wtedy aktywowana zostanie technologia proaktywnego wykrywania exploitów Automatyczne zapobieganie exploitom to jeden z komponentów tej wbudowanej w produkty firmy technologii. W tym miejscu należy podkreślić, że w opisanym wyżej procesie zwalczania exploitów Automatyczne zapobieganie exploitom stanowi swoistą ostatnią granicę. Nie jest to jednak ostatnia granica ochrony jeżeli z jakiegoś powodu szkodliwy kod zdoła obejść Automatyczne zapobieganie exploitom (co jest wysoce nieprawdopodobne) i pobrać szkodliwe oprogramowanie na komputer użytkownika i tak zostanie wykryte i zablokowane przez inne komponenty produktu bezpieczeństwa. Niezależnie od tego, Automatyczne zapobieganie exploitom jest unikalną technologią, ponieważ znacznie obniża prawdopodobieństwo wystąpienia tego scenariusza. Podczas gdy większość innych technologii bezpieczeństwa jest zaprojektowanych w taki sposób, aby szukały szkodliwych komponentów w kodzie, który wnika do systemu komputerowego z zewnątrz, Automatyczne zapobieganie exploitom analizuje zachowanie nie szkodliwych komponentów ale tych legalnych. W przypadku Javy, oznacza to komponenty środowiska oprogramowania zainstalowanego na komputerze użytkownika. Generalnie, technologia Automatyczne zapobieganie exploitom posiada podstawowe pojęcie na temat tego, jak ten czy inny komponent Javy powinien lub nie powinien działać. W przypadku systemów analitycznych, technologie dostrzegają anomalie w zachowaniu komponentów Javy i jeżeli takie oprogramowanie zaczyna działać w sposób, którego nie przewidywał jego twórca, Automatyczne zapobieganie exploitom aktywuje i blokuje exploita. Opisywana technologia ma ogromne znaczenie dla zapewnienia użytkownikowi jak najwyższej jakości ochrony przed cyberatakami z jednego prostego powodu: szkodliwi użytkownicy są gotowi i skłonni zainwestować w rozwój sposobów obejścia systemów bezpieczeństwa zainstalowanych na komputerach swoich potencjalnych ofiar. Według informacji, jakie można znaleźć na dowolnym forum hakerskim nawet ogólnodostępnym 1 000 zakończonych powodzeniem pobrań exploitów kosztuje około 80 28

120 dolarów. Jeśli zaś klient tego rodzaju usług chce czerpać potencjalne zyski z zainfekowanych komputerów, jakie zapewniają trojany bankowe czy trojany szyfrujące, wtedy cena tysiąca pobrań może wynosić nawet 140 160 dolarów. Nie ma powodu przypuszczać, że wszystkie 4,2 miliona ataków zablokowanych przez Automatyczne zapobieganie exploitom to ataki ukierunkowane, można jednak założyć ze sporą dozą pewności, że w porównaniu z innymi ataki te zostały przygotowane ze znacznie większą starannością. Wysoki współczynnik skuteczności tego typu ataków sprawia, że tworzenie skutecznych pakietów exploitów stanowi lukratywne przedsięwzięcie dla cyberprzestępców. To dlatego są skłonni poświęcić czas i zasoby, aby wnikliwie zbadać programy antywirusowe i odkryć, jak można pokonać technologie wykrywania w dowolnym komponencie rozwiązania antywirusowego. Wykres poniżej pokazuje dynamikę takich bardziej wyrafinowanych ataków z wykorzystaniem exploitów: Wyraźny spadek liczby wykryć dokonanych przy użyciu Automatycznego zapobiegania exploitom po marcu 2013 r. można wyjaśnić za pomocą dwóch kluczowych czynników: nieustanne doskonalenie przez ekspertów z innych technologii wykrywania exploitów oraz fakt, że cyberprzestępcy po prostu nie potrzebowali tworzyć tak wyrafinowanych ataków. Wystarczy wrócić do wykresu z początku naszego badania: 29

O ile liczba wykryć za pomocą technologii Automatyczne zapobieganie exploitom odnotowała spadek, wzrosła liczba wykryć z użyciem innych komponentów rozwiązania bezpieczeństwa firmy wyższego poziomu. Jednocześnie w Javie zostały wykryte trzy krytyczne luki w zabezpieczeniach, a wykorzystujące je exploity zaatakowały już skutecznie użytkowników. Innymi słowy, szkodliwi użytkownicy posiadają dużą pulę celów, które mogą atakować, i nie potrzebują zachowywać większej ostrożności w celu zamaskowania znanych już exploitów czy szukania nowych. W czerwcu firma Oracle załatała już większość luk w zabezpieczeniach swojego produktu i sytuacja zaczęła się zmieniać. Nie mamy powodu sądzić, że wszystkie 4,2 miliona ataków zablokowanych przez technologię Automatyczne zapobieganie exploitom stanowiły ataki ukierunkowane, możemy jednak stwierdzić z dużą dozą pewności, że ataki te zostały przygotowane znacznie staranniej niż inne. Rewelacyjne wyniki w testach przeprowadzonych przez laboratorium eksperckie dowodzą skuteczności technologii Automatyczne zapobieganie exploitom. 30

Wniosek: znaczenie wyrafinowanych technologii w erze wyrafinowanych ataków Kluczowy wniosek, jaki można wysnuć z całego badania, da się wyrazić w jednym zdaniu: niezależnie od tego, jak szybko producenci publikują aktualizacje w celu załatania luk w zabezpieczeniach, nadal nie rozwiązuje to problemu ataków wykorzystujących exploity. Oracle załatał wszystkie krytyczne luki w zabezpieczeniach, a informacje o tych łatach zostały ujawnione w okresie objętym tym raportem. W niektórych przypadkach, łata została opublikowana po upływie zaledwie kilku dni. Mimo to liczba ataków i liczba użytkowników będących celem takich ataków nadal rosła. Użytkownicy nie instalują wystarczająco szybko aktualizacji bezpieczeństwa, a cyberprzestępcy, wiedząc, że oprogramowanie Javy jest wykorzystywane przez ogromną liczbę użytkowników, niezmordowanie szukają luk w zabezpieczeniach tego oprogramowania, aby czerpać nielegalne zyski z takich błędów. Rozwiązania bezpieczeństwa, które potrafią skutecznie zwalczać exploity, dają twórcom dziurawego oprogramowania więcej czasu na przygotowanie łat, a użytkownikom bezpieczny sposób korzystania z Internetu do momentu wypuszczenia łaty. Ponadto, rozwiązania te generalnie zmniejszają opłacalność wysiłków cyberprzestępców. W kategoriach finansowych, 14,1 miliona ataków zablokowanych przez oznacza dla cyberprzestępców straty w wysokości co najmniej 1,4 miliona dolarów. Aby uniknąć ataków wykorzystujących luki w zabezpieczeniach i strat, jakie mogłyby spowodować takie ataki, eksperci z zalecają użytkownikom korporacyjnym i domowym przestrzeganie następujących zasad: Dla firm: Ogromna część zagrożeń związanych z lukami w zabezpieczeniach zostanie zażegnana, jeżeli w korporacyjnej infrastrukturze IT znajdzie się rozwiązanie do zarządzania korporacyjnymi komputerami osobistymi zawierające funkcje Zarządzania łatami, takie jak te oferowane w Systems Management. Funkcja Zarządzania łatami pomaga szybko zainstalować krytyczne aktualizacje w scentralizowanym systemie, dzięki czemu administratorzy posiadają aktualne informacje o stanie oprogramowania uruchomionego na dowolnej stacji roboczej w sieci firmowej. Większość ataków, które wykorzystują luki w zabezpieczeniach legalnego oprogramowania (łącznie z Javą), rozpoczyna się od odsyłacza do szkodliwej strony internetowej. Tego rodzaju atakom można zapobiec, blokując odsyłacze do takich stron przy użyciu funkcji Kontroli sieciowej, wyspecjalizowanego zasobu, który 31

pomaga kontrolować dostęp użytkowników. Tego rodzaju zasoby pomagają ograniczyć listę stron internetowych, które mogą odwiedzać komputery firmowe. Skuteczność ochrony stacji roboczych zwiększa Kontrola aplikacji, która pozwala na uruchomienie na komputerach korporacyjnych tylko ograniczonej listy aplikacji. W przypadku wykrycia potencjalnie niebezpiecznej niezałatanej luki w zabezpieczeniach programu, który jest powszechnie wykorzystywany w firmie, Kontrola aplikacji może uniemożliwić uruchomienie tego programu na dowolnym komputerze w sieci firmowej. Zaawansowane funkcje Kontroli sieciowej i Kontroli aplikacji są wykonywane przy użyciu rozbudowanej platformy bezpieczeństwa korporacyjnej infrastruktury IT oferowanej w rozwiązaniu Kaspersky Endpoint Security for Business. Szkodliwi użytkownicy często mogą stworzyć exploity wykorzystujące niezałatane luki w zabezpieczeniach, zanim producenci będą w stanie opublikować krytyczne aktualizacje bezpieczeństwa dla oprogramowania korporacyjnego. Z tego powodu pełna ochrona infrastruktury korporacyjnej powinna wykorzystywać zaawansowane rozwiązania bezpieczeństwa zawierające technologie potrafiące odpierać ataki oparte na exploitach. Technologia Automatyczne zapobieganie exploitom firmy Kaspersky Lab, w połączeniu z wieloma innymi zaawansowanymi technologiami dostępnymi w Kaspersky Endpoint Security for Business, skutecznie odpiera ataki wykorzystujące exploity. Dla klientów indywidualnych: Większość współczesnych programów, w tym Java, Adobe Reader oraz Flash Player, zawiera wbudowany system aktualizacji oprogramowania. Nie zapominaj wykorzystywać go, ani nie ignoruj przypomnień o zainstalowaniu aktualizacji, ponieważ jest to najbardziej niezawodny sposób, aby oprogramowanie zainstalowane na twoim domowym komputerze było aktualne. Użytkownicy mogą trafić na exploity nie tylko na szkodliwej stronie internetowej. Często szkodliwi użytkownicy znajdują błędy na legalnych, popularnych stronach internetowych, takich jak serwisy z branży mediów, portale społecznościowe czy sklepy internetowe, i wykorzystują je do rozprzestrzeniania exploitów. Aby skutecznie zabezpieczyć się przed wszelkimi rodzajami potencjalnych zagrożeń, łącznie z atakami za pośrednictwem dziurawego oprogramowania, stosuj wysokiej jakości rozwiązanie typu Internet Security takie jak Kaspersky Internet Security zawierające specjalistyczne technologie potrafiące zwalczać phishing, spam, wirusy, trojany i złożone ataki. Java stanowi szeroko rozpowszechnione oprogramowanie, którego wymaga zwykle komputer w celu normalnego działania podczas uruchamiania zawartości multimedialnej w internecie. Nie jest jednak konieczna do pracy z zawartością internetową. Dlatego, nawet jeśli zainstalowałeś wszystkie niezbędne aktualizacje i najlepsze z możliwych rozwiązanie bezpieczeństwa, jeśli nadal uważasz, że twój komputer nie jest bezpieczny, po prostu wyłącz Javę na swoim komputerze. Może to uniemożliwić działanie niektórych funkcji na niektórych stronach internetowych, 32

z drugiej strony dostęp do tych zasobów można zawsze uzyskać przy użyciu bezpieczniejszej alternatywnej technologii. 33

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres