RAPORT O ZAGROŻENIACH BEZPIECZEŃSTWA WITRYN INTERNETOWYCH 2013 CZĘŚĆ 2

Podobne dokumenty
Technologia Automatyczne zapobieganie exploitom

Wprowadzenie do Kaspersky Value Added Services for xsps

SIŁA PROSTOTY. Business Suite

Bezpieczeństwo bez kompromisów

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

Bezpieczeństwo bez kompromisów

Bezpieczeństwo usług oraz informacje o certyfikatach

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Niektóre typowe cechy wiadomości typu phishing to:

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

Bezpieczeństwo bez kompromisów

Jak postępować w przypadku fałszywych wiadomości ?

sprawdzonych porad z bezpieczeństwa

NISZCZĄCA SIŁA: JAK DZIAŁA SZKODLIWE OPROGRAMOWANIE

Produkty. MKS Produkty

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów

Mariusz Bodeńko Olsztyn, Bezpieczeństwo w Internecie

Bezpieczeństwo bez kompromisów

E safety bezpieczny Internet. Mariusz Bodeńko Białystok,

1. Bezpieczne logowanie i przechowywanie hasła

Bezpieczeństwo bez kompromisów

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów

Polityka ochrony danych osobowych w programie Norton Community Watch

Ochrona płatności online za pomocą technologii Bezpieczne pieniądze

Włącz autopilota w zabezpieczeniach IT

Bezpieczeństwo bez kompromisów

CENTRALA ŚWIATOWA Stevens Creek Blvd. Cupertino, CA USA

Norton 360 Najczęściej zadawane pytania

P O L I T Y K A P R Y W A T N O Ś C I. 1 Jak zbieramy dane?

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów

Najwyższa jakość ochrony na każdym poziomie.

Polityka prywatności

Zabezpieczanie danych użytkownika przed szkodliwym oprogramowaniem szyfrującym

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

LUKI W ZABEZPIECZENIACH, KTÓRE MOGĄ ZASZKODZIĆ WITRYNIE

CYBER GUARD PRZEWODNIK PO PRODUKCIE

F-SECURE ZABEZPIECZ SWÓJ BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI

Najważniejsze cyberzagrożenia 2013 r.

POLITYKA DOTYCZĄCA PLIKÓW COOKIE

PRZEJMIJ KONTROLĘ NAD SWOIM CYFROWYM ŻYCIEM. NIE BĄDŹ OFIARĄ CYBER OSZUSTW!

Panda Internet Security 2017 przedłużenie licencji

Zasady bezpiecznego korzystania z bankowości elektronicznej

Umowa użytkownika. 1. Uprawnienia. 2. Logowanie do platformy szkoleń elektronicznych

Zaufanie jest bardzo ważne. Nie chcemy, aby nasze projekty trafiły w niepowołane ręce.

ROADSHOW2016. Wprowadzenie. Rynek telekomunikacji w Polsce. Marcin Bieńkowski. kontakt: marcin.w.bienkowski@gmail.com

Serwis nie zbiera w sposób automatyczny żadnych danych, z wyjątkiem danych zawartych w plikach cookies podczas samego korzystania z Witryny.

Bezpieczna bankowość ekonto24

F-Secure Mobile Security for S60

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

[1/15] Chmury w Internecie. Wady i zalety przechowywania plików w chmurze

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Symantec Enterprise Security. Andrzej Kontkiewicz

Fundacja Ośrodka KARTA z siedzibą w Warszawie, przy ul. Narbutta 29 ( Warszawa),

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Polityka prywatności

Kaspersky Security Network

Polityka Prywatności serwisu room8.pl

Polityka Ochrony Prywatności na platformie Szkolna24.pl

Polityka Prywatności

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Windows Defender Centrum akcji

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

POLITYKA PRYWATNOŚCI

7 rzeczy. które musisz robić w Marketingu Internetowym

Polityka prywatności

Netia Mobile Secure Netia Backup

Bezpieczeństwo domen internetowych sektor finansowy 2018

BEZPIECZEŃSTWO BANKOWOŚCI DETALICZNEJ

3. DyplomyDlaDzieci.pl dokłada szczególnej staranności do poszanowania prywatności Klientów odwiedzających Sklep. 1 Zbieranie danych

POLITYKA Prywatności. Przetwarzanie i Ochrona Danych Osobowych

P O L I T Y K A P R Y W A T N O Ś C I

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

BANKOWOŚĆ ELEKTRONICZNA DLA FIRM. BOŚBank24. iboss. Zasady bezpieczeństwa BOŚBank24 iboss.

POLITYKA PRYWATNOŚCI Polityka prywatności abcedukacja.pl I. Kto jest administratorem danych osobowych abcedukacja pl?

Prognoza Cisco: 13-krotny wzrost globalnego ruchu w sieciach mobilnych na przestrzeni lat

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Polityka prywatności sklepu internetowego

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

POLITYKA DOTYCZĄCA PLIKÓW COOKIE

Przewodnik po Certyfikatach SSL

Certyfikat. 1 Jak zbieramy dane?

Historia naszego klienta. Rozwiązanie FAMOC MDM zwiększa bezpieczeństwo mobilne w Credit Agricole Bank Polska

elektroniczna Platforma Usług Administracji Publicznej

ArcaVir 2008 System Protection

Raport CERT NASK za rok 1999

ZASADY OCHRONY DANYCH OSOBOWYCH W WITRYNIE INTERNETOWEJ FIRMY ENERVENT ZEHNDER OY

Transkrypt:

RAPORT O ZAGROŻENIACH BEZPIECZEŃSTWA WITRYN INTERNETOWYCH 2013 CZĘŚĆ 2

POWITANIE Zapraszamy do zapoznania się z raportem firmy Symantec o zagrożeniach bezpieczeństwa witryn internetowych w 2013 roku. Niniejszy dokument został utworzony na podstawie publikowanego przez nas co rok większego raportu o zagrożeniach bezpieczeństwa pochodzących z Internetu, Internet Security Threat Report. W niniejszej skróconej wersji opisano zagrożenia, które mają wpływ na witryny internetowe firm i działalność biznesową online. Analizując miniony rok kalendarzowy, przedstawiamy informacje ilustrujące obecny stan Internetu. W Internecie reputacja i sukces firmy często są mierzone skalą zaufania klientów wobec zabezpieczeń firmowej witryny internetowej. Warto więc wiedzieć, jak to zaufanie zbudować i utrzymać. Od ponad dekady kluczem do wiarygodności w Internecie jest technologia SSL/TLS. Ten standard nadal będzie dominować tam, gdzie potrzebny jest najwyższy poziom ochrony przed ewoluującymi zagrożeniami pochodzącymi z Internetu. I choć jest to zaawansowana technologia najwyższej klasy, jej cel jest prosty: sprawić, aby Internet był bezpieczniejszym miejscem do zawierania transakcji dla firm, ich klientów i każdego, kto komunikuje się online. Niniejszy dokument stanowi źródło wiedzy na temat występujących zagrożeń oraz możliwości zabezpieczania przed nimi firmy i jej infrastruktury. Aby uzyskać więcej informacji, zadzwoń do nas pod numer 0800 56 29 24 lub odwiedź witrynę Symantec-wss.com/pl. s. 2

LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI

LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI Wprowadzenie Z badań przeprowadzonych przez Ponemon Institute wynika, że koszty cyberprzestępstw wzrosły w 2012 r. o 6%, a liczba cyberataków zwiększyła się o 42%. Średni koszt ponoszony w związku z tym przez firmę jest niebagatelny i wynosi 591 780 USD1. Jeśli weźmiemy pod uwagę większą dostępność luk w zabezpieczeniach i liczbę okazji do ich wykorzystania, nikogo nie powinno dziwić, że cyberprzestępcy coraz bardziej rozszerzają swoją działalność. Znajdowanie luk w zabezpieczeniach, wymyślanie sposobów na ich wykorzystanie, a następnie przeprowadzenie samego ataku wymaga posiadania wielu różnych umiejętności. Z pomocą cyberprzestępcom przychodzi czarny rynek, na którym można te umiejętności kupić w postaci gotowych zestawów narzędzi. Hakerzy znajdują i wykorzystują luki, a także sprzedają informacje na ich temat. Autorzy zestawów narzędzi znajdują lub kupują kod wykorzystujący luki i umieszczają go w swoich produktach. Z kolei cyberprzestępcy kupują lub wykradają najnowsze wersje tych zestawów narzędzi i za ich pomocą przeprowadzają zakrojone na szeroką skalę ataki, nie mając nawet umiejętności wymaganych do zrealizowania całej operacji. Dane Luki w zabezpieczeniach przeglądarek 2010 2012 Źródło: Symantec W skrócie Liczba przypadków wykorzystania luk zero-day wzrosła w 2012 r. z 8 do 14. Na czarnym rynku pojawiają się coraz bardziej wyspecjalizowane rozwiązania wspierające przestępczość internetową (wartość tej branży szacuje się na wiele miliardów dolarów). Znalezione luki są sprzedawane i dodawane do zestawów narzędzi służących do przygotowywania ataków z użyciem witryn internetowych (zwykle po tym, jak zostaną podane do publicznej wiadomości). W 2012 r. liczba ataków typu drive-by (pobieranie bez wiedzy użytkownika) wzrosła o jedną trzecią, prawdopodobnie na skutek działania malvertisingu (szkodliwego oprogramowania reklamowego). W tym roku około 600 000 komputerów Mac zostało zainfekowanych szkodliwym oprogramowaniem Flashback. Zestaw narzędzi Sakura, który w roku 2011 stanowił niewielkie zagrożenie, obecnie jest używany w około 22% ataków z użyciem witryn internetowych, w niektórych okresach roku ciesząc się większą popularnością niż zestaw Blackhole. Luki w zabezpieczeniach wtyczek 2010 2012 Źródło: Symantec 50% 45 40 Apple Safari Google Chrome Mozilla Firefox Microsoft Internet Explorer Opera 50% 45 40 Adobe Flash Player Oracle Sun Java Adobe Acrobat Reader Apple QuickTime 35 35 30 30 25 25 20 20 15 15 10 10 5 5 2010 2011 2012 2010 2011 2012 s. 4

LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI Całkowita liczba luk w zabezpieczeniach Źródło: Symantec 600 500 400 300 200 100 0 STY LUT 527 MAR KWI 422 MAJ CZE LIP 544 350 SIE WRZ 517 PAŹ LIS 292 GRU W 2012 r. zgłoszono 5291 luk w zabezpieczeniach, w porównaniu z 4989 lukami rok wcześniej. Miesięcznie liczba luk wykrywanych w 2012 r. wahała się między 300 a 500. W 2012 r. wykryto i podano do publicznej wiadomości 85 luk w zabezpieczeniach systemów SCADA (systemy nadzorujące przebieg procesów technologicznych lub produkcyjnych), co w porównaniu ze 129 przypadkami w 2011 r. było znacznym spadkiem. W 2012 r. zgłoszono 415 luk w zabezpieczeniach urządzeń przenośnych, w porównaniu z 315 lukami rok wcześniej. Luki zero-day Źródło: Symantec 3 2 1 Lukami typu zero-day są nazywane te luki w zabezpieczeniach, które zostały wykorzystane przed podaniem do publicznej wiadomości i udostępnieniem użytkownikom odpowiedniej poprawki. W 2012 r. zgłoszono 14 luk tego typu. Każdego miesiąca wykrywano do 3 luk zero-day. STY LUT MAR KWI MAJ CZE LIP SIE WRZ PAŹ LIS GRU s. 5

LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI Analiza Coraz więcej ataków z użyciem witryn internetowych Według naszych danych liczba ataków z użyciem witryn internetowych wzrosła prawie o jedną trzecią. W atakach tego typu komputer użytkownika korporacyjnego lub indywidualnego zostaje niepostrzeżenie zainfekowany po odwiedzeniu zhakowanej witryny. Innymi słowy, infekcja może nastąpić nawet podczas odwiedzin w wiarygodnej witrynie. Atakujący zwykle infiltrują witrynę i instalują w niej narzędzia oraz szkodliwe oprogramowanie bez wiedzy właściciela i potencjalnych ofiar ataku. Szkodliwe oprogramowanie rozpowszechniane przez zestawy narzędzi do ataków z użyciem witryn internetowych to często polimorficzny lub generowany dynamicznie kod instalowany na serwerze. Firmy korzystające z ochrony antywirusowej opartej na sygnaturach są bezbronne wobec takich cichych ataków. Ukryte instrukcje JavaScript lub kilka wierszy kodu tworzących łącze do innej witryny może spowodować zainstalowanie szkodliwego oprogramowania, które jest niezwykle trudne do wykrycia. Kod sprawdza system każdego użytkownika witryny pod kątem luk w przeglądarce lub systemie operacyjnym, aż znajdzie odpowiednią ofiarę. Następnie wykorzystuje lukę i instaluje szkodliwe oprogramowanie na komputerze. Ataki są skuteczne, ponieważ systemy użytkowników zarówno w firmach, jak i w domach nie są regularnie aktualizowane przy użyciu najnowszych poprawek. Dotyczy to wtyczek do przeglądarek, np. Flash Player czy Acrobat Reader firmy Adobe, a także platformy Java firmy Oracle. W przypadku klientów indywidualnych takie zaniedbania mogą wynikać z nieuwagi, ale w większych firmach systemy oprogramowania biznesowego często wręcz wymagają używania starszych wersji tych wtyczek, co dodatkowo utrudnia aktualizację do najnowszych wersji. Przez tego typu utrudnienia w zarządzaniu poprawkami i rzadkie instalowanie poprawek firmy są szczególnie narażone na ataki z użyciem witryn internetowych. Należy ponadto wspomnieć, że poziom ryzyka nie jest bezpośrednio zależny od liczby luk w zabezpieczeniach. Wystarczy jedna odpowiednio wykorzystana luka w aplikacji, aby poważnie zagrozić bezpieczeństwu całej firmy. Firma Symantec przygotowuje analizę zagrożeń spowodowanych wykorzystaniem luk przez zestawy narzędzi do ataków z użyciem witryn internetowych w 2013 r. Najważniejszy wniosek jest taki, że to nie najnowsze luki typu zero-day przyczyniły się do wzrostu liczby ataków z użyciem witryn internetowych. Liczba ataków przeprowadzonych za pośrednictwem zhakowanych witryn wzrosła o 30%, podczas gdy wykryto zaledwie o 6% więcej nowych luk w zabezpieczeniach. Po prostu najwięcej systemów jest atakowanych przy użyciu starszych luk, dla których wciąż nie zainstalowano poprawek. Wyścig zbrojeń przestępców i wydawców oprogramowania W tym roku byliśmy świadkami wzrostu liczby luk typu zero-day. W ciągu 2012 r. wykryto użycie 14 niezgłoszonych wcześniej luk w zabezpieczeniach. W roku 2011 wykryto 8 takich przypadków. Ogólna liczba zgłoszonych luk wzrosła nieco z 4989 w roku 2011 do 5291 w roku 2012. Podobnie ma się kwestia luk w zabezpieczeniach urządzeń przenośnych 315 w roku 2011 i 415 w roku 2012. Zorganizowane grupy przestępcze, np. zespół stojący za atakami Elderwood, wciąż pracują nad znalezieniem kolejnych słabych punktów w popularnym oprogramowaniu, takim jak przeglądarki internetowe czy wtyczki do nich. Zaraz po podaniu do publicznej wiadomości jednej luki natychmiast wykorzystują kolejną, co świadczy o poziomie zaawansowania takich grup. Możemy tu mówić o wyścigu zbrojeń między przestępcami internetowymi a wydawcami legalnego oprogramowania. Przestępcy potrafią szybciej znajdować i wykorzystywać nowe luki niż producenci oprogramowania są w stanie tworzyć i publikować eliminujące je poprawki. Niektórzy wydawcy oprogramowania udostępniają poprawki raz na kwartał, inni zbyt późno dowiadują się o nowych lukach. Nawet jeśli wydawca szybko przygotuje aktualizację, jej instalacja w firmach jest często spóźniona. s. 6

LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI Wiadomo, że luki typu zero-day stanowią poważne zagrożenie bezpieczeństwa, ale także znane luki (w tym takie, dla których wydano poprawki) są niebezpieczne, jeśli zostaną zignorowane. Wielu klientów (są to zarówno firmy, jak i osoby prywatne) nie instaluje regularnie publikowanych aktualizacji. Dzięki zestawom narzędzi wykorzystującym dobrze znane luki przestępcy mogą łatwo sprawdzać miliony komputerów w poszukiwaniu tych, które wciąż można zaatakować. Co ciekawe, najnowsze luki nie są wcale najczęściej wykorzystywane. Malvertising i hakowanie witryn internetowych W jaki sposób haker dodaje swój kod do wiarygodnej witryny? Ułatwiają mu to dostępne gotowe zestawy narzędzi. Na przykład w maju 2012 r. zestaw narzędzi LizaMoon zainfekował co najmniej milion witryn przy użyciu techniki SQL injection 2. Dostępne są także inne metody: Wykorzystanie znanej luki w oprogramowaniu do hostingu witryn internetowych lub zarządzania treścią. Uzyskanie hasła webmastera za pomocą phishingu, oprogramowania szpiegującego lub sztuczek socjotechnicznych. Zhakowanie wewnętrznej infrastruktury serwera WWW (np. paneli sterowania lub baz danych). Wykupienie reklamy zawierającej kod rozprzestrzeniający infekcję. Ostatnia z wymienionych technik, nazywana malvertisingiem (malicious advertising szkodliwe oprogramowanie reklamowe), pozwala na infekowanie witryn bez potrzeby ich wcześniejszego zhakowania. Ta forma ataku jest bardzo powszechna. Firma Symantec, korzystając z eksperymentalnego oprogramowania skanującego, stwierdziła obecność malvertisingu w połowie testowanych witryn. Internetowe ogłoszenie o sprzedaży zestawu narzędzi do infekcji szkodliwym oprogramowaniem. Malvertising otwiera hakerom drogę do ataku na witrynę internetową bez potrzeby bezpośredniego hakowania samej witryny. Szkodliwe oprogramowanie reklamowe pozwala im niepostrzeżenie infekować komputery użytkowników, często przez zainstalowanie tworzonego dynamicznie kodu, którego program antywirusowy nie jest w stanie samodzielnie wykryć. Jest to o tyle poważny problem, że Google i inne wyszukiwarki skanują witryny pod kątem obecności szkodliwego oprogramowania i tworzą tzw. czarne listy na podstawie wyników tego skanowania. Zdarzały się przypadki, że ofiarą ataku przy użyciu malvertisingu padały znane sieci reklamowe, często związane z największymi graczami na rynku multimediów w Internecie 3. Takie sytuacje mogą być groźne dla witryn, których działanie zależy głównie od przychodów mogą nawet powodować spadek wiarygodności w oczach czytelników. W Internecie działają obecnie dziesiątki sieci reklamowych, a nowe reklamy powstają w ogromnym tempie. Śledzenie i blokowanie malvertisingu jest więc poważnym wyzwaniem. s. 7

LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI Zestawy narzędzi do przygotowywania ataków z użyciem witryn internetowych Czym innym jest znajdowanie nowych luk w zabezpieczeniach, a czym innym wymyślanie sposobów na ich wykorzystanie. Co bardziej przedsiębiorczy przestępcy grupują te sposoby i tworzą z nich zestawy narzędzi, które następnie sprzedają mniej zaawansowanym użytkownikom. Podobnie jak w przypadku oprogramowania komercyjnego, świadczą nawet pomoc techniczną i wystawiają gwarancje. Zapłatę za swoją pracę przyjmują za pomocą usług płatności online z anonimowymi numerami kont. Istnieją zestawy narzędzi służące do tworzenia różnorodnych szkodliwych programów oraz do atakowania witryn internetowych. Najbardziej znanym przykładem jest popularny zestaw narzędzi Blackhole. Jego strategia aktualizacji świadczy o tym, że mamy tu do czynienia z czymś w rodzaju lojalności marce i że autorzy budują wartość swoich produktów, wydając aktualizacje i nowe wersje, podobnie jak producenci legalnego oprogramowania. Skutki ciągłej popularności zestawu Blackhole w 2012 r. były dotkliwe użyto go w 41% ataków z użyciem witryn internetowych. W wrześniu została wydana zaktualizowana wersja o nazwie Blackhole 2.0. Wygląda jednak na to, że pozycja zestawu Blackhole może być zagrożona. W drugiej połowie 2012 r. na czoło wybił się inny zestaw narzędzi do ataków z użyciem witryn internetowych. Nowy produkt nazywa się Sakura i w okresie największej popularności odpowiadał nawet za 60% wszystkich ataków przygotowanych za pomocą gotowych zestawów narzędzi. Jego łączny udział w tego typu działalności wyniósł 22% w 2012 r. Procentowy rozkład popularności zestawów narzędzi do przygotowywania ataków z użyciem witryn internetowych Źródło: Symantec Sakura 22% Blackhole 41% Inne 20% 10% Phoenix 7% Redkit W 2012 r. około 41% przypadków złamania zabezpieczeń za pomocą zestawów narzędzi do ataków z użyciem witryn internetowych było związanych z zestawem Blackhole. W 2011 r. było to 44%. Zestaw Sakura był poza pierwszą dziesiątką w 2011 r., a obecnie jego udział wzrósł do ok. 22%, co w niektórych okresach roku było wynikiem lepszym od tego osiągniętego przez Blackhole. Rozkład popularności zestawów narzędzi do przygotowywania ataków z użyciem witryn internetowych w czasie Źródło: Symantec 90% Inne 80 70 60 50 40 30 20 10 Blackhole Sakura Nuclear Redkit Phoenix STY LUT MAR KWI MAJ CZE LIP SIE WRZ PAŹ LIS GRU s. 8

LUKI, NARUSZENIA ZABEZPIECZEŃ I ZESTAWY NARZĘDZI Skanowanie witryn internetowych pod kątem szkodliwego oprogramowania i ocena luk w zabezpieczeniach witryn W 2012 r. oddział firmy Symantec, Website Security Solutions (dawniej VeriSign), przeskanował ponad 1,5 mln witryn internetowych w ramach usług skanowania pod kątem szkodliwego oprogramowania i oceny luk w zabezpieczeniach witryn. Każdego dnia w poszukiwaniu szkodliwego oprogramowania skanowano ponad 130 000 adresów URL. Okazało się, że 1 na 532 witryny jest zainfekowana. Najczęstszą formą łamania zabezpieczeń były ataki typu drive-by (pobieranie bez wiedzy użytkownika). Ponadto w ramach oceny potencjalnych luk w zabezpieczeniach skanowano ponad 1400 witryn dziennie. W około 53% przeskanowanych witryn znaleziono starsze luki, dla których wciąż nie zastosowano poprawek (w 2011 r. było to 36%). W 24% wykrytych przypadków były to luki krytyczne (w 2011 r. było to 25%). Najczęstszym rodzajem luk były luki umożliwiające nieautoryzowane osadzanie skryptów. Więcej bezpiecznych połączeń Jednym ze sposobów oceny wskaźnika wzrostu użycia technologii SSL jest monitorowanie zmian statystyk zapytań OCSP (Online Certificate Status Protocol protokół stanu certyfikatów online służący do odwoływania certyfikatów cyfrowych) oraz list CRL (Certification Revocation List lista odwołań certyfikatów). Podczas inicjowania bezpiecznego połączenia SSL następuje sprawdzenie, czy certyfikat nie został odwołany, za pomocą protokołu OCSP lub list CRL. Śledzimy liczbę takich zapytań w naszych systemach. Na tej podstawie wyznaczamy wskaźnik wzrostu liczby sesji online zabezpieczonych certyfikatami SSL. Większa wartość tego wskaźnika informuje, że rośnie liczba osób korzystających z bezpiecznych połączeń podczas używania Internetu (co odpowiada np. rosnącej liczbie transakcji online w witrynach internetowych). Może to także oznaczać upowszechnienie standardu SSL w kolejnych miejscach i zastosowaniach. Przykładem takiego zastosowania są coraz popularniejsze certyfikaty Extended Validation (EV) SSL, które nakazują przeglądarkom informowanie użytkowników, że dana witryna jest bezpieczna, przez wyświetlenie zielonego paska adresu. Inny przykład to technologia Always On SSL (Zawsze aktywne certyfikaty SSL), która w 2012 r. była masowo wykorzystywana w serwisach społecznościowych, wyszukiwarkach i usługach pocztowych online. Do tej tendencji mogą przyczyniać się także urządzenia inne niż tradycyjne komputery stacjonarne i przenośne, np. smartfony i tablety, które także umożliwiają korzystanie z Internetu. W 2012 r. według szacunków firmy Symantec średnia liczba zapytań OCSP wzrosła o 31% w porównaniu z rokiem 2011. Każdego dnia 2012 r. rejestrowano ponad 4,8 mld takich operacji. Wartością maksymalną w jednym dniu było 5,8 mld zapytań. Należy przy tym pamiętać, że protokół OCSP jest stosunkowo nową metodą kontroli odwołanych certyfikatów. Ponadto, jeśli porównamy lata 2011 i 2012, liczba zapytań na listach CRL firmy Symantec wzrosła o 45%. Każdego dnia odnotowywano 1,4 mld operacji, a wartością maksymalną było 2,1 mld. Listy CRL to starsza technologia zastępowana obecnie przez protokół OCSP. Pieczęć Norton Secured Seal i symbole wiarygodności W 2012 r. wzrosła liczba klientów odwiedzających witryny internetowe oznaczone symbolami wiarygodności (np. pieczęcią Norton Secured Seal) w stosunku do roku 2011. Analizując dane statystyczne dotyczące tylko symboli wiarygodności firmy Symantec, zaobserwowaliśmy 8-procentowy wzrost w 2012 r. Pieczęć Norton Secured Seal była w tym roku wyświetlana nawet 750 mln razy dziennie, co świadczy o tym, że coraz więcej użytkowników poszukuje silniejszych zabezpieczeń w celu ochrony swoich działań w Internecie. Kradzieże certyfikatów do podpisywania kluczy W 2012 r. w dalszym ciągu mogliśmy obserwować, jak wiele dużych i małych firm nieświadomie uczestniczy w rozpowszechnianiu szkodliwego oprogramowania na całym świecie. Przyczyną jest coraz częstsze zjawisko podpisywania szkodliwego oprogramowania za pomocą autentycznych certyfikatów do podpisywania kodu. Szkodliwy kod jest podpisany, więc wygląda na wiarygodny, co ułatwia jego rozprzestrzenianie. Twórcy szkodliwego oprogramowania często używają skradzionych kluczy prywatnych do podpisywania kodu. Atakują podmioty certyfikujące i gdy dostaną się do ich sieci, szukają kluczy prywatnych, a następnie je wykradają. Czasem zdarza się, że przez słabe mechanizmy zabezpieczeń mogą kupić autentyczne s. 9

ZALECENIA certyfikaty, posługując się fałszywymi tożsamościami. Na przykład w maju 2012 r. firma Comodo, duży podmiot certyfikujący, uwierzytelnił i wystawił prawdziwe certyfikaty do podpisywania kodu fikcyjnej firmie stworzonej przez cyberprzestępców 4. Korzystaj z kompleksowych technologii ochrony Gdyby współczesne zagrożenia nie były tak złożone, do ochrony przed infekcjami szkodliwym oprogramowaniem wystarczyłyby programy do skanowania plików (nazywane programami antywirusowymi). Nie jest to jednak wystarczające zabezpieczenie, gdy dostępne są zestawy narzędzi do tworzenia szkodliwego kodu na żądanie i oprogramowania polimorficznego, a także do wykorzystywania luk typu zero-day. Aby lepiej zapobiegać atakom, w punktach końcowych należy wdrożyć ochronę sieciową i technologię oceny reputacji. W znajdowaniu szkodliwego oprogramowania, które przeniknęło przez zabezpieczenia prewencyjne, pomagają funkcje blokad na podstawie zachowania i regularne skanowanie plików. Chroń witryny internetowe dostępne publicznie Dobrym pomysłem jest wprowadzenie szyfrowania interakcji gości technologią Always on SSL (Zawsze aktywne certyfikaty SSL) w całej witrynie, nie tylko na stronach zarządzania kontem i realizacji zakupu. Należy pamiętać o regularnym aktualizowaniu oprogramowania systemu zarządzania treścią i serwera WWW (tak jak aktualizuje się komputery klienckie). Aby szybko wykrywać problemy, witryny należy skanować pod kątem szkodliwego oprogramowania i luk w zabezpieczeniach. Silne hasła do kont administratorów i innych usług pomagają w ochronie ważnych poświadczeń przed sztuczkami socjotechnicznymi i phishingiem. Możliwość logowania do ważnych serwerów WWW należy ograniczyć tylko do użytkowników potrzebujących dostępu do tych serwerów. Dzięki wdrożeniu technologii zawsze aktywnych certyfikatów SSL można lepiej chronić dane kont przed przesyłaniem przez nieszyfrowane połączenia, co z kolei stanowi zabezpieczenie przed atakami typu man-in-the-middle. Chroń certyfikaty do podpisywania kodu Właściciele certyfikatów powinni bezwzględnie przestrzegać rygorystycznych zasad ochrony kluczy. Oznacza to stosowanie skutecznych zabezpieczeń fizycznych, używanie sprzętowych kryptograficznych modułów zabezpieczających oraz zabezpieczeń na poziomie sieci i punktów końcowych. Zalecane jest wdrożenie funkcji zapobiegania utracie danych na serwerach biorących udział w podpisywaniu kodu oraz zastosowanie najwyższej klasy zabezpieczeń w aplikacjach służących do podpisywania. Poza tym podmioty certyfikujące muszą zapewnić zgodność z najlepszymi praktykami w zakresie bezpieczeństwa na każdym etapie procesu uwierzytelniania. Niezwłocznie instaluj aktualizacje i wprowadź zmiany w procesach wdrażania poprawek Większość ataków z użyciem witryn internetowych polega na wykorzystaniu 20 najczęstszych luk w zabezpieczeniach. W związku z tym aby zapobiec większości ataków, wystarczy instalować poprawki usuwające znane luki. Aktualizowanie oprogramowania i instalowanie poprawek jest niezwykle istotne. Niedawne ataki za pośrednictwem platformy Java pokazały, że lepiej zrezygnować z korzystania z danego oprogramowania niż używać jego nieaktualnej wersji. Dotyczy to w równym stopniu dyrektorów działów informatycznych zarządzających tysiącami kont, właścicieli firm zatrudniających kilkadziesiąt osób i użytkowników domowych. Należy używać mechanizmów automatycznego aktualizowania opracowanych przez producentów oprogramowania, które umożliwiają szybkie stosowanie aktualizacji i poprawek oraz wycofywanie przestarzałych, niezabezpieczonych przeglądarek, aplikacji i wtyczek do przeglądarek (dotyczy to szczególnie najczęściej wykorzystywanych luk w zabezpieczeniach). Większość producentów stara się regularnie wydawać poprawki usuwające luki w zabezpieczeniach. Skuteczność takich poprawek zależy jednak od ich właściwego zastosowania. Podczas wdrażania w firmie standardowych obrazów oprogramowania należy pamiętać, że mogą one zawierać przestarzałe i niebezpieczne wersje przeglądarek, aplikacji i wtyczek. Warto usuwać podatne na ataki wtyczki z obrazów systemów przeznaczonych dla pracowników, którzy ich nie potrzebują. Gdy tylko jest to możliwe, należy stosować mechanizmy automatycznego instalowania poprawek, aby skutecznie usuwać luki w zabezpieczeniach w całej firmie. s. 10

SERWISY SPOŁECZNOŚCIOWE, URZĄDZENIA PRZENOŚNE I CHMURY

SERWISY SPOŁECZNOŚCIOWE, URZĄDZENIA PRZENOŚNE I CHMURY Ofensywa spamu i phishingu w mediach społecznościowych W ostatnich latach można było zauważyć znaczny wzrost aktywności związanej ze spamem i phishingiem w serwisach społecznościowych. Przestępcy zaczęli chętniej odwiedzać te popularne witryny. Wzrost popularności Facebooka i Twittera wśród użytkowników wiąże się niestety ze wzrostem aktywności przestępczej. W ubiegłym roku przestępcy internetowi zaczęli jednak atakować także nowe, szybko rozwijające się witryny, takie jak Instagram, Pinterest czy Tumblr. Częstą metodą stosowaną przez oszustów są fałszywe bony upominkowe i ankiety. Tego typu oszustwa to ponad połowa (56%) wszystkich ataków w mediach społecznościowych. Oto przykład takiego oszustwa: ofiara widzi na tablicy jakiejś osoby na Facebooku lub na kanale informacyjnym usługi Pinterest (pojawiają się tam wpisy obserwowanych osób lub należące do wybranych kategorii) wpis o treści Kliknij tutaj, a otrzymasz bon na 100 PLN. Po kliknięciu łącza następuje przejście do witryny, w której użytkownik jest proszony o zarejestrowanie się w celu skorzystania z ciekawej oferty, a przy okazji o podanie danych osobowych. Oszuści otrzymują zapłatę za każdą rejestrację, a o żadnych bonach oczywiście nie ma mowy. Sfałszowana witryna z fikcyjną ankietą. Typowe oszustwo w serwisie społecznościowym. Inny podstęp polega na nakłonieniu ofiary do podania danych osobowych i haseł (np. danych konta na Facebooku lub Twitterze) przy użyciu sfałszowanej witryny internetowej. Tego typu przebiegłe próby wyłudzenia danych (phishingu) często wykorzystują fascynację sławnymi osobami, np. sportowcami, aktorami czy piosenkarzami. Zaobserwowaliśmy wzrost liczby przypadków phishingu nakierowanych na konkretne kraje i związanych z pochodzącymi z nich sławnymi ludźmi. W 2012 r. mieliśmy do czynienia z ogromną liczbą zagrożeń związanych z serwisami społecznościowymi. Powstawały także coraz to nowe kanały i platformy dające przestępcom jeszcze więcej możliwości. Szczególnie niebezpieczne są te z nich, z których można korzystać wyłącznie za pomocą aplikacji dla urządzeń przenośnych. Jest bardzo prawdopodobne, że właśnie kanały umożliwiające mobilny dostęp do serwisów społecznościowych staną się ważnym celem ataków w 2013 r., zwłaszcza tych wymierzonych w nastolatków i młodych dorosłych, którzy mogą nie być w stanie ich rozpoznać, a przy tym często nie mają zwyczaju odpowiednio chronić swoich danych osobowych. s. 12

ZALECENIA Zagrożenia z serwisów społecznościowych to problem firm Firmy zwykle nie chcą zupełnie blokować dostępu do serwisów społecznościowych, więc potrzebują ochrony przed szkodliwym oprogramowaniem rozpowszechnianym w tych i innych witrynach internetowych. Oznacza to potrzebę instalacji zabezpieczeń wielowarstwowych w całej sieci firmy i na komputerach klienckich. Wymagane jest także regularne instalowanie poprawek i aktualizacji w celu zmniejszenia ryzyka infekcji przez pobranie kodu bez wiedzy użytkownika (ataki drive-by ). Konieczne jest również szkolenie użytkowników i wprowadzenie klarownych zasad, szczególnie dotyczących zakresu danych osobowych, które można podawać w Internecie. s. 13

SZKODLIWE OPROGRAMOWANIE, SPAM I PHISHING

SZKODLIWE OPROGRAMOWANIE, SPAM I PHISHING Szkodliwe oprogramowanie i sztuczki socjotechniczne stanowią powszechny problem już od dłuższego czasu. Ataki wykorzystujące te techniki są znane od bardzo dawna, ale wciąż ewoluują i są poważnym zagrożeniem dla użytkowników indywidualnych oraz firm. Ich dodatkowa szkodliwość polega na osłabieniu wiarygodności wszelkich działań prowadzonych w Internecie. Te obecne od dłuższego czasu zagrożenia nie pojawiają się w nagłówkach gazet, ponieważ są traktowane jak szum w tle, ale to nie znaczy, że są nieistotne. Dobrym porównaniem będzie różnica między wypadkami lotniczymi i drogowymi. Jedna katastrofa lotnicza od razu trafia na pierwsze strony wszystkich gazet, a nikt nie pisze o liczbie zabitych na drogach, chociaż każdego roku jest ich znacznie więcej 5. Przykładem tego zjawiska jest popularność oprogramowania ransomware. Jego działanie polega na trwałym zablokowaniu dostępu do komputera, chyba że jego właściciel zapłaci ustaloną grzywnę twórcom. Skutkuje to dalszą utratą zaufania, a naprawa szkód jest kosztowna. Przy okazji widać też bezwzględność i stopień zaawansowania sprawców. O skali zagrożenia świadczą liczby. Na przykład wykryto próbę zainfekowania 500 000 komputerów w ciągu 18 dni przez szkodliwe oprogramowanie o nazwie Reveton (znane też jako Trojan.Ransomlock.G). Według przeprowadzonych niedawno badań firmy Symantec, którym poddano 13 000 dorosłych osób w 24 krajach, średnie straty poniesione na skutek cyberprzestępstw wynosiły 197 USD 6. Szacuje się, że w ciągu ostatnich 12 miesięcy 556 mln osób dorosłych miało do czynienia z jakąś formą cyberprzestępczości. W skrócie Pojawiają się coraz bardziej przebiegłe i dochodowe formy szkodliwego oprogramowania (np. ransomware). Ilość spamu w poczcie e-mail ponownie spadła (o 29% w 2012 r.), ponieważ spamerzy przenieśli działalność do serwisów społecznościowych. Phishing jest bardziej wyrafinowany, a jego głównym celem są serwisy społecznościowe. Oprogramowanie ransomware blokuje dostęp do komputera, chyba że jego właściciel zapłaci ustaloną grzywnę twórcom. W większości przypadków zapłata nie owocuje jednak odblokowaniem komputera. s. 15

SZKODLIWE OPROGRAMOWANIE, SPAM I PHISHING Szkodliwe oprogramowanie W 2012 r. jedna wiadomość e-mail na 291 zawierała wirusa. W 2011 r. była to jedna na 239 wiadomości. 23% tych niebezpiecznych wiadomości e-mail zawierało adresy URL do szkodliwych witryn internetowych. Ta wartość także zmalała w porównaniu z 2011 r., kiedy to łącza do szkodliwych witryn można było znaleźć w 39% wiadomości uznanych za niebezpieczne. Podobnie jak w przypadku spamu i phishingu spadek liczby wiadomości e-mail zawierających wirusy niekoniecznie oznacza, że zmniejszyła się liczba ataków na użytkowników. Bardziej prawdopodobne jest, że nastąpiła zmiana taktyki, a celem ataków będą teraz inne obszary aktywności w Internecie, np. serwisy społecznościowe. 5 głównych celów ataków z użyciem szkodliwego oprogramowania wg branż Branża 1 na Sektor publiczny 1 na 72 Edukacja 1 na 163 Finanse 1 na 218 Marketing/multimedia 1 na 235 Zakwaterowanie/gastronomia 1 na 236 5 głównych celów ataków z użyciem szkodliwego oprogramowania wg krajów Kraj 1 na Holandia 1 na 108 Luksemburg 1 na 144 Wielka Brytania 1 na 163 Republika Południowej Afryki 1 na 178 Niemcy 1 na 196 5 głównych celów ataków z użyciem szkodliwego oprogramowania wg wielkości firm Wielkość firmy 1 na 1 250 1 na 299 251 500 1 na 325 501 1000 1 na 314 1001 1500 1 na 295 1501 2500 1 na 252 Ponad 2500 1 na 252 Stosunek liczby wiadomości e-mail zawierających wirusy do łącznej liczby wiadomości lata 2012 i 2011 Źródło: Symantec 1 na 50 1 na 100 1 na 150 1 na 200 1 na 250 Ogólna liczba zmniejszyła się, wirusa zawierała 1 na 291 wiadomości. W 2011 r. średni wskaźnik zainfekowanych wiadomości wynosił 1 na 239. 1 na 300 1 na 350 1 na 400 STY LUT MAR KWI MAJ CZE LIP SIE WRZ PAŹ LIS GRU 2011 2012 s. 16

SZKODLIWE OPROGRAMOWANIE, SPAM I PHISHING Udział wiadomości e-mail zawierających szkodliwe adresy URL w łącznej liczbie zainfekowanych wiadomości lata 2012 i 2011 Źródło: Symantec 70% 60 50 40 30 20 10 STY LUT MAR KWI MAJ CZE LIP SIE WRZ PAŹ LIS GRU 2011 2012 Liczba wiadomości e-mail zawierających szkodliwe adresy URL w 2012 r. znacznie spadła. W niektórych miesiącach była o więcej niż połowę niższa od wartości odnotowanej w danym miesiącu w 2011 r. W 2012 r. ok. 23% zainfekowanych wiadomości e-mail zawierało szkodliwe adresy URL zamiast załączników. W 2011 r. było to 39%. Liczba blokowanych dziennie ataków z użyciem szkodliwych witryn internetowych Źródło: Symantec TYSIĄCE 400 350 300 250 200 150 W 2012 r. codziennie blokowano ok. 247 350 ataków z użyciem witryn internetowych. W 2011 r. było to ok. 190 370 ataków dziennie. Oznacza to wzrost na poziomie 30%. 100 50 0 LIP SIE WRZ PAŹ LIS GRU STY LUT MAR KWI MAJ CZE LIP SIE WRZ PAŹ LIS GRU 2011 2012 s. 17

SZKODLIWE OPROGRAMOWANIE, SPAM I PHISHING Infekcje według typów witryn Na podstawie danych z Norton Safe Web rozwiązania firmy Symantec skanującego Internet w poszukiwaniu witryn zawierających szkodliwe oprogramowanie ustaliliśmy, że 61% szkodliwych witryn to w rzeczywistości zwykłe witryny internetowe zainfekowane szkodliwym kodem. Pierwsze miejsce pod względem liczby infekcji w tym roku zajmują witryny biznesowe, do których należą witryny firm z sektora klientów indywidualnych, przemysłu i usług. Przyczyną może być duża liczba zhakowanych witryn małych i średnich firm, które nie przeznaczają odpowiednich środków na ich ochronę. Witryny hakerskie, czyli służące do promocji i rozpowszechniania narzędzi przeznaczonych dla hakerów, wskoczyły od razu na drugie miejsce, mimo że nie było ich w ogóle w pierwszej piętnastce w 2011 r. Na trzecim miejscu uplasowały się witryny związane z technologią i telekomunikacją (komputery, Internet i rozwiązania telekomunikacyjne). Do tej kategorii należy 5,7% wszystkich zainfekowanych witryn, a to zaledwie o 1,2% mniej niż w 2011 r. Piąte miejsce utrzymały witryny służące do kupowania produktów i usług online, jednak ich udział zmalał o 4,1%. Warto zauważyć, że witryny usług hostingowych zajęły dopiero siódme miejsce, podczas gdy w 2011 r. były na drugim miejscu. Usługi hostingowe umożliwiają użytkownikom i firmom dostęp do systemów, witryn internetowych i pamięci masowej online. Wprowadzenie szerokiej oferty rozwiązań tego typu przez Google, Dropbox i inne firmy spowodowało zmniejszenie popularności mniej wiarygodnych rozwiązań hostingowych, co mogło być przyczyną tego spadku. Również witryny blogowe zanotowały znaczny spadek, plasując się w 2012 r. na czwartej pozycji. Zdaje się to potwierdzać teorię, że użytkownicy wolą korzystać z serwisów społecznościowych i tam wymieniać informacje. Twórcy szkodliwego oprogramowania z łatwością umieszczają swój kod w witrynach tego typu i rozpowszechniają go na wiele sposobów. Infekcje według typów witryn Źródło: Symantec Miejsce 10 najpopularniejszych szkodliwych programów w 2012 r. Źródło: Symantec Główne kategorie z największą liczbą zainfekowanych witryn 1 Biznes 7,7% 2 Hakowanie 7,6% 3 Technologia i telekomunikacja 5,7% 4 Blogowanie 4,5% 5 Sklepy internetowe 3,6% 6 Znane szkodliwe domeny 2,6% 7 Hosting 2,3% 8 Motoryzacja 1,9% 9 Opieka zdrowotna 1,7% 10 Edukacja 1,7% Udział witryn z tej kategorii w łącznej liczbie infekcji Miejsce Nazwa szkodliwego oprogramowania Odsetek 1 W32.Sality.AE 6,9% 2 W32.Ramnit.B 5,1% 3 W32.Downadup.B 4,4% 4 W32.Virut.CF 2,2% 5 W32.SillyFDC 1,1% 6 W32.Mabezat.B 1,1% 7 W32.Xpaj.B 0,6% 8 W32.Changeup 0,6% 9 W32.Downadup 0,5% 10 W32.Imaut 0,4% s. 18

SZKODLIWE OPROGRAMOWANIE, SPAM I PHISHING Ukryte szkodliwe oprogramowanie o działaniu długofalowym Przestępcy internetowi zarabiają także na oprogramowaniu, które pozostaje w ukryciu na komputerach ofiar. Takie programy działają na tysiącach komputerów i są koordynowane przez botnety. Ich działanie polega na wysyłaniu spamu lub generowaniu kliknięć reklam w witrynach internetowych (które z kolei generują przychody dla właścicieli witryn). Te techniki nie przynoszą natychmiastowych zysków jak oprogramowanie ransomware, jednak dość trudno jest je wykryć, a jeszcze trudniej usunąć szkodliwy kod (który jest bardzo zmyślnie napisany). W związku z tym mogą generować stałe przychody w długim okresie. Zaawansowany phishing W 2012 r. spadła ilość spamu, wzrosła za to liczba ataków z użyciem phishingu. Przestępcy używają niezwykle wymyślnych metod do przygotowania fałszywych witryn internetowych (czasem są to idealne repliki prawdziwych witryn), których zadaniem jest oszukanie użytkowników w taki sposób, aby przekazali swoje dane osobowe, hasła, numery kart kredytowych i dane kont bankowych. W przeszłości używane były głównie fałszywe wiadomości e-mail, jednak obecnie ofiary są wabione także wpisami w serwisach społecznościowch. Wystarczy kliknąć umieszczone tam łącze, aby nieświadomie przejść do zaawansowanej witryny wyłudzającej informacje. Gdy przestępcom uda się przechwycić dane logowania do serwisu społecznościowego, mogą wysyłać kolejne fałszywe wiadomości do znajomych ofiary. Wiadomość wysłana z konta znajomego wygląda bardziej wiarygodnie. Innym sposobem użycia skradzionego konta w serwisie społecznościowym jest wysyłanie wiadomości do znajomych z prośbą o pomoc. Na przykład: Jestem na wczasach, a ktoś mi ukradł portfel. Proszę, wyślij mi szybko 200 zł. Aby ominąć zabezpieczenia i filtry, przestępcy tworzą skomplikowane adresy witryn i używają usług skracania adresów URL. Korzystają także ze sztuczek socjotechnicznych, aby nakłonić ofiary do klikania łączy. W ubiegłym roku wysyłane przez nich wiadomości dotyczyły głównie sławnych osób, filmów, sportowców oraz atrakcyjnych gadżetów, np. smartfonów i tabletów. W 2012 r. liczba witryn służących do phishingu, które miały certyfikaty SSL w celu przekonania użytkowników o swojej wiarygodności, wzrosła o 46% w porównaniu z poprzednim rokiem. Zaobserwowaliśmy znaczny (trzykrotny) wzrost aktywności związanej z phishingiem w krajach nieanglojęzycznych. Szczególnie dotyczy to Korei Południowej. Języki inne niż angielski, w których powstaje najwięcej witryn wyłudzających informacje, to francuski, włoski, portugalski, chiński i hiszpański. Zwykle fałszowane są witryny banków i wystawców kart kredytowych (jak można się spodziewać), ale także popularne serwisy społecznościowe. W 2012 r. liczba witryn wyłudzających informacje, które udawały serwisy społecznościowe, wzrosła o 123%. s. 19

ZALECENIA Chroń się przed sztuczkami socjotechnicznymi Zarówno użytkownicy indywidualni, jak i firmy muszą nauczyć się rozpoznawać cechy charakterystyczne sztuczek socjotechnicznych, takie jak wywieranie nadmiernej presji, niezasłużone pochlebstwa, fałszywe wrażenie pośpiechu, podejrzanie korzystne oferty, oficjalny język lub dane służbowe mające wywołać wrażenie autentyczności (np. długie numery referencyjne), mało wiarygodne okoliczności (np. telefon od przedstawiciela firmy Microsoft z informacją o znalezieniu wirusa na komputerze), a także fałszywe oferty wymiany (np. prezent w zamian za podanie danych osobowych lub innych poufnych informacji). Zachowuj ostrożność Należy pamiętać, że każda niespodziewana wiadomość e-mail od znajomych lub rodziny (np. od matki lub współpracownika) może być fałszywa. Konto drugiej osoby mogło zostać skutecznie zaatakowane przy użyciu sztuczki socjotechnicznej. s. 20

SPOJRZENIE W PRZYSZŁOŚĆ

SPOJRZENIE W PRZYSZŁOŚĆ Przedstawiamy główne wyzwania i problemy czekające nas w przyszłym roku: Więcej cyberataków sponsorowanych przez rządy państw W ostatnich kilku latach nasiliły się cyberataki z użyciem coraz bardziej zaawansowanych technik. W czasie pokoju można łatwo wyprzeć się odpowiedzialności za nie; w czasie wojny są to niezwykle przydatne narzędzia. W cyberprzestrzeni nadal będzie dochodzić do spięć między państwami, które prowadzą spory polityczne. Ponadto oprócz ataków sponsorowanych przez rządy wciąż będą miały miejsce ataki sponsorowane przez inne organizacje, np. organizacje nacjonalistyczne chcące zaszkodzić prawdziwym lub wymyślonym przeciwnikom swojego kraju. Producenci zabezpieczeń oraz zwykłe firmy muszą przygotować się na niezamierzone skutki tych ataków, a także (jak zawsze) dołożyć wszelkich starań, aby uniknąć wszelkiego rodzaju ataków ukierunkowanych. Rosnąca popularność zaawansowanych technik ataków Wiedza uzyskana na potrzeby szpiegostwa przemysłowego i wojen w cyberprzestrzeni zostanie spożytkowana przez hakerów w celu zwiększenia ich zysków. Na przykład luki typu zero-day wykorzystane przez grupę Elderwood Gang zostaną użyte przez innych autorów szkodliwego oprogramowania. Twórcy szkodliwego kodu będą też mogli korzystać z zestawów narzędzi do tworzenia takiego oprogramowania rozpowszechnianych metodą open source (przykładem jest zestaw Zeus, znany także jako Zbot), prawdopodobnie w celu utrudnienia organom ścigania znalezienia prawdziwych autorów. Wzrost zagrożenia ze strony witryn internetowych Infekcje typu drive-by (pobieranie bez wiedzy użytkownika) staną się jeszcze powszechniejsze i trudniejsze do zablokowania bez zaawansowanego oprogramowania zabezpieczającego. Przestępcy będą częściej atakować przy użyciu witryn internetowych, infekując komputery użytkowników za pomocą malvertisingu i gotowych narzędzi do przygotowywania ataków. Od producentów oprogramowania będzie się wymagać szybszego usuwania luk w zabezpieczeniach. Użytkownicy i zatrudniające ich firmy muszą bardziej skupić się na ochronie prywatności i bezpieczeństwa swoich danych w nowym świecie mediów społecznościowych. Znaczny wzrost natężenia ataków w mediach społecznościowych Serwisy społecznościowe stanowią dziś połączenie elementów systemu operacyjnego, platformy komunikacyjnej i sieci reklamowej. Gdy staną się powszechne na urządzeniach przenośnych i zostanie w nich dodana obsługa płatności, zyskają jeszcze większą popularność wśród cyberprzestępców zajmujących się szkodliwym oprogramowaniem, phishingiem, spamem i oszustwami. Liczba ataków z użyciem tradycyjnego spamu, phishingu i szkodliwego oprogramowania utrzyma się lub nieznacznie spadnie, spodziewamy się natomiast ogromnego skoku liczby ataków w mediach społecznościowych. W miarę powstawania nowych narzędzi społecznościowych i zdobywania przez nie popularności przestępcy będą nakierowywać swoją działalność na te obszary. Uważamy ponadto, że ważnym obszarem ataków przestępców będą aplikacje społecznościowe na smartfony, ponieważ ich głównymi użytkownikami są nastolatkowie, młodzi dorośli i inne osoby, które mogą nie mieć w zwyczaju odpowiednio chronić swoich danych osobowych ani zabezpieczać urządzeń przed oszustwami. s. 22

SPOJRZENIE W PRZYSZŁOŚĆ Więcej ataków na dostawców usług w chmurze Dotychczas największe przypadki naruszenia integralności danych dotyczyły firm gromadzących duże ilości danych osobowych, np. zakładów opieki zdrowotnej, sklepów online czy firm świadczących usługi związane z grami. W 2013 r. spodziewamy się wielu różnych rodzajów ataków skierowanych przeciw dostawcom oferującym oprogramowanie w chmurze. Coraz bardziej przebiegłe rodzaje szkodliwego oprogramowania Szkodliwe oprogramowanie początkowo służyło głównie do kradzieży danych i obsługi botnetów (i wciąż jest powszechnie używane do tych celów), później używano go m.in. do informowania o fałszywych infekcjach wirusowych, a w 2012 r. popularne było blokowanie komputerów w celu wyłudzenia okupu (ransomware). Spodziewamy się, że w miarę upływu czasu tego typu ataki będą jeszcze groźniejsze i szkodliwsze, a przy tym przygotowane na coraz bardziej profesjonalnym poziomie. Gdy przestępcy przekonają się, jak zyskowne są działania związane z wymuszeniami, mogą wymyślić ich różne odmiany, np. programy grożące usunięciem zawartości dysku twardego, a następnie rzeczywiście wymazujące dysk. Szkodliwy program o nazwie Shamoon wykryty w sierpniu usuwał dane z zainfekowanych komputerów. Można zakładać, że jeśli to możliwe, ktoś spróbuje to zrobić, a jeśli okaże się to opłacalne, zrobi to wiele kolejnych osób. Wzrost znaczenia szkodliwego oprogramowania na urządzenia przenośne Serwisy społecznościowe zaczynają pełnić rolę systemu operacyjnego w przypadku komputerów, a telefony komórkowe i tablety stają się nową platformą sprzętową. Tablety i smartfony będą coraz popularniejsze i z pewnością przyciągnie to przestępców. Mechanizmy i zjawiska, które w przypadku komputerów potrzebowały do osiągnięcia obecnego stanu ponad dekady, na smartfonach i tabletach staną się naprawdę groźne dużo szybciej. Już w przyszłym roku na tych nowych platformach można spodziewać się infekcji oprogramowaniem typu ransomware i drive-by. W 2013 r. będzie to poważnym problemem dla firm korzystających z urządzeń tego typu lub pozwalającym pracownikom na korzystanie z nich w pracy. Ciągłe zagrożenie phishingiem Tożsamości użytkowników są cenne, więc przestępcy będą nadal próbować je wykradać. Ataki z użyciem phishingu będą coraz bardziej sprytne i wymyślne. Na przykład można się spodziewać jeszcze doskonalszych kopii witryn, a także witryn wyłudzających informacje z szyfrowaniem SSL. Zjawisko phishingu będzie bardziej zróżnicowane regionalnie i obejmie większą liczbę języków, co zapewni mu większą skuteczność i utrudni blokowanie groźnych witryn. Przewidujemy, że będzie się ono nadal dynamicznie rozwijać w serwisach społecznościowych, wykorzystując ich popularność i łatwy dostęp do użytkowników za pośrednictwem wiadomości, które wyglądają na wiarygodne. s. 23

ŹRÓDŁA 1. http://www.symantec.com/connect/blogs/cost-cybercrime-2012 2. http://www.symantec.com/connect/blogs/lizamoon-mass-sql-injection-tried-and-tested-formula 3. http://www.symantec.com/connect/blogs/danger-malware-ahead-please-not-my-site 4. http://www.securityweek.com/comodo-certificates-used-sign-banking-trojans-brazil 5. Na przykład w USA wg Narodowej Rady Bezpieczeństwa Transportu w 2010 r. w wypadkach lotniczych zginęły 472 osoby, a w wypadkach drogowych 32 885 osób. http://www.ntsb.gov/data/index.html 6. http://www.symantec.com/about/news/release/article.jsp?prid=20120905_02 s. 24

WSS KRÓTKIE WPROWADZENIE Extended Validation SSL Stosowanie certyfikatów Extended Validation (EV) SSL sprawdziło się w przypadku firm mających bardzo popularną markę jako skuteczny sposób obrony przed phishingiem. Jest to też jeden z najlepszych sposobów na budowanie wiarygodności w Internecie. W firmach prowadzących działalność online wdrożenie certyfikatów SSL z technologią EV może bardzo pozytywnie wpłynąć na osiągane wyniki finansowe. Najważniejsze cechy certyfikatów EV firmy Symantec Technologia Extended Validation powoduje wyświetlanie zielonego paska adresu w przeglądarkach internetowych potwierdzającego, że witryna przeszła szeroko zakrojony proces weryfikacyjny Szyfrowanie kluczem o długości do 256 bitów Pieczęć Norton Secured Seal wraz z technologią Symantec Seal-in-Search (pieczęć w wynikach wyszukiwania) zapewnia maksymalne wskaźniki klikalności i konwersji Ocena luk w zabezpieczeniach witryny oraz codzienne skanowanie pod kątem szkodliwego oprogramowania poprawiają ochronę przed atakami Pomoc techniczna dostępna przez 24 godziny na dobę, 7 dni w tygodniu Rozwiązanie Symantec SSL Assistant automatycznie generuje żądania CSR i instaluje certyfikaty Ponadto: narzędzie SSL Installation Checker, bezpłatne odwoływanie i wymienianie certyfikatów oraz gwarancja finansowa na poziomie 1 500 000 USD. Zdobądź zielony pasek adresu. https://www.imagineyoursitehere.com Identified by Norton Pasek stanu zabezpieczeń przełącza się między nazwą firmy a nazwą podmiotu certyfikującego, który przeprowadził procedurę uwierzytelniania Extended Validation. Pieczęć Norton Secured Seal Zmień gości w lojalnych klientów, umieszczając w witrynie pieczęć, która jest rozpoznawana i uznawana za wiarygodną przez dużą grupę klientów online. Pieczęć Norton Secured Seal jest wyświetlana ponad 750 milionów razy dziennie w witrynach internetowych w ponad 170 krajach na całym świecie. Rozwiązanie Symantec AdVantage Oprogramowanie Symantec AdVantage monitoruje witrynę w czasie rzeczywistym i wykrywa problem, gdy tylko szkodliwa zawartość zostanie umieszczona w witrynie. Twoja witryna nie trafi już na czarne listy wyszukiwarek (o czym zwykle dowiadujesz się, gdy ustaje w niej ruch) teraz można podjąć działanie i zablokować sieć, z której pochodzi podejrzana reklama, zachowując bezpieczeństwo klientów i nieskalaną reputację. s. 25

INFORMACJE O FIRMIE SYMANTEC Firma Symantec zajmuje się ochroną informacji i jest światowym liderem w dziedzinie zabezpieczeń oraz rozwiązań do tworzenia kopii zapasowych i zapewniania dostępności systemów. Nasze innowacyjne produkty i usługi chronią ludzi oraz informacje w każdym środowisku od najmniejszych urządzeń przenośnych przez centra przetwarzania danych w przedsiębiorstwach aż do systemów w chmurze. Nasza ceniona na świecie specjalistyczna wiedza w zakresie ochrony danych, tożsamości i interakcji zapewnia klientom poczucie bezpieczeństwa w globalnej sieci. Więcej informacji można uzyskać na stronie www.symantec.pl lub kontaktując się z firmą Symantec pod adresem: go.symantec.com/socialmedia Dodatkowe informacje Zestawienie zagrożeń globalnych z usług Symantec.cloud: http://www.symanteccloud.com/en/gb/globalthreats/ Zespół firmy Symantec ds. reagowania na zagrożenia bezpieczeństwa (Symantec Security Response): http://www.symantec.com/security_response/ Raport Internet Security Threat Report (strona zasobów): http://www.symantec.com/threatreport/ Narzędzie Norton Threat Explorer: http://us.norton.com/security_response/threatexplorer/ Narzędzie Norton Cybercrime Index: http://pl.norton.com/cybercrimeindex/ Rozwiązania firmy Symantec w zakresie zabezpieczeń witryn internetowych: www.symantec-wss.com/pl s. 26 Raport o o zagrożeniach bezpieczeństwa witryn internetowych 2013

ŚLEDŹ NASZE WPISY UDOSTĘPNIAJ Adresy biur lokalnych i numery kontaktowe można znaleźć w naszej witrynie internetowej. Informacje o naszych produktach można uzyskać pod numerem telefonu: 0800 56 29 24 lub +41 22 54 50 288 wybierz opcję 2, a następnie 1 Symantec w Polsce Symantec Poland Sp. z o.o. ul. Postępu 17A, 02-676 Warszawa Polska www.symantec.co.uk/ssl-certificates 2014 Symantec Corporation. Wszelkie prawa zastrzeżone. Nazwa Symantec, logo Symantec, logo Checkmark Circle oraz logo Norton Secured są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Symantec Corporation lub jej oddziałów w USA i innych krajach. Inne nazwy mogą być znakami towarowymi odpowiednich podmiotów. s. 27 Raport Raport o zagrożeniach o bezpieczeństwa witryn internetowych 2013

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres