Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2012. Ewolucja szkodliwego oprogramowania

Tagi:

David Emm, ekspert z Kaspersky Lab
Costin Raiu, ekspert z Kaspersky Lab

Przedstawiamy roczny raport poświęcony głównym kwestiom bezpieczeństwa dotyczącym korporacji oraz użytkowników indywidualnych.

Raport został przygotowany przez ekspertów z Kaspersky Lab, należących do Globalnego Zespołu ds. Badań i Analiz (GReAT).

10 najważniejszych incydentów dot. bezpieczeństwa, które ukształtowały 2012 r.

Pod koniec zeszłego roku opublikowaliśmy artykuł „Pierwsza dziesiątka 2011 roku: „Wybuchowy” rok w świecie bezpieczeństwa”. Największym wyzwaniem było wtedy skondensowanie wszystkich incydentów, historii, faktów, nowych trendów i intrygujących aktorów w taki sposób, aby zmieściły się na jednej liście prezentującej 10 najważniejszych incydentów.

W oparciu o zdarzenia i aktorów kształtujących najważniejsze incydenty 2011 roku sformułowaliśmy kilka prognoz na 2012 rok:

  • Dalszy wzrost aktywności grup haktywistów.
  • Wzrost liczby incydentów APT (zaawansowanych długotrwałych ataków ukierunkowanych).
  • Początek cyberwojen i walki mocarstw o dominację przy użyciu kampanii cyberszpiegowskich.
  • Ataki na firmy rozwijające oprogramowanie i gry, takie jak Adobe, Microsoft, Oracle oraz Sony.
  • Bardziej agresywne działania organów ścigania przeciwko tradycyjnym cyberprzestępcom.
  • Eksplozja zagrożeń dla Androida.
  • Ataki na platformę Mac OS X firmy Apple.

Na ile sprawdziły się nasze prognozy? Przyjrzyjmy się 10 najważniejszym incydentom związanym z bezpieczeństwem, które ukształtowały 2012 rok...

1. Flashback atakuje system Mac OS X

Chociaż Flashback/Flashfake, trojan atakujący system Mac OS X, pojawił się pod koniec 2011 roku, prawdziwą popularność zdobył dopiero w kwietniu 2012 r. W tym przypadku prawdziwa popularność oznacza dosłownie prawdziwą popularność. Na podstawie naszych statystyk szacujemy, że Flashback zainfekował ponad 700 000 komputerów Mac, przez co można powiedzieć, że spowodował największą znaną infekcję systemów MacOS X w historii. Jak to możliwe? Dwa czynniki, które okazały się tu kluczowe, to: luka w Javie (CVE-2012-0507) oraz ogólna niefrasobliwość entuzjastów Maków w kwestiach bezpieczeństwa.

2. Flame i Gauss: wspierane przez rządy kampanie cyberszpiegowskie

W połowie kwietnia 2012 roku w wyniku serii cyberataków zostały zniszczone systemy komputerowe w kilku platformach wydobycia ropy na Bliskim Wschodzie. Szkodnik odpowiedzialny za te ataki - “Wiper” – nigdy nie został wykryty, mimo że kilka czynników wskazywało na jego podobieństwo do Duqu i Stuxneta. Podczas dochodzenia odkryliśmy dużą kampanię cyberszpiegowską, znaną obecnie pod nazwą Flame.

Flame to prawdopodobnie jeden z najbardziej zaawansowanych szkodliwych programów, jakie kiedykolwiek zostały stworzone. W pełni zainstalowany w systemie, posiada ponad 20 MB modułów, które wykonują szeroki wachlarz funkcji, takich jak przechwytywanie nagrań audio, skanowanie urządzeń z technologią Bluetooth, kradzież dokumentów oraz wykonywanie zrzutów ekranu z zainfekowanej maszyny. Najbardziej imponującym działaniem było wykorzystywanie fałszywego certyfikatu Microsoftu w celu przeprowadzenia ataku typu „man-in-the-middle” na module aktualizacji systemu Windows, który pozwolił w mgnieniu oka zainfekować w pełni załatane komputery PC z systemem Windows 7. Złożoność tej operacji nie pozostawiała wątpliwości, że była ona wspierana przez państwo. Analitycy z Kaspersky Lab odkryli mocne związki tego szkodnika ze Stuxnetem, co sugeruje, że twórcy Flame’a współpracowali z autorami Stuxneta, być może przy okazji tej samej operacji.

Znaczenie Flame’a polega na tym, że program ten udowodnił, iż wysoce złożone szkodliwe oprogramowanie może istnieć niewykryte przez wiele lat. Szacuje się, że projekt Flame mógł mieć co najmniej pięć lat. Ponadto, zagrożenie to przedefiniowało całą koncepcję programów “zero-day”, poprzez swoją technikę rozprzestrzeniania za pośrednictwem ataków „man-in-the-middle” w trybie „God mode”. Naturalnie, w momencie odkrycia Flame’a ludzie zastanawiali się, jak wiele podobnych kampanii zostało przeprowadzonych. Wkrótce na jaw wyszły inne. Odkrycie Gaussa, innego wysoce zaawansowanego trojana, powszechnie rozprzestrzenianego na Bliskim Wschodzie, nadało nowy wymiar cyber-kampaniom sponsorowanym przez państwa. Gauss wyróżnia się wieloma rzeczami, a niektóre z nich do dzisiaj pozostają zagadką. Użycie niestandardowej czcionki o nazwie „Palida Narrow” czy zaszyfrowana szkodliwa funkcja, której celem jest komputer odłączony od Internetu – to jedne z wielu niewiadomych. Flame to również pierwszy sponsorowany przez rząd trojan bankowy potrafiący kraść dane uwierzytelniające transakcje bankowości online swoich ofiar, głównie w Libanie.

Wraz z Flamem i Gaussem pole bitwy na Bliskim Wschodzie zostało wzbogacone o nowy wymiar: cyberwojnę i działania cyberwojenne. Wygląda na to, że obecne napięcia geopolityczne przenika silny komponent cybernetyczny – być może większy niż ktokolwiek przypuszczał.

3. Eksplozja zagrożeń dla Androida

W 2011 roku obserwowaliśmy eksplozję pod względem liczby zagrożeń, których celem była platforma Android. Przewidywaliśmy, że liczba zagrożeń dla Androida nadal będzie rosnąć w zastraszającym tempie. Wyraźnie widać to na poniższym wykresie:

TLiczba próbek, jakie otrzymywaliśmy, nadal rosła, osiągając wartość szczytową w czerwcu 2012 roku, gdy zidentyfikowaliśmy prawie 7 000 szkodliwych programów dla Androida. Łącznie odnotowaliśmy ponad 35 000 szkodliwych programów dla tej platformy w 2012 roku - około sześć razy więcej niż w 2011 roku. To również około pięć razy więcej niż liczba wszystkich szkodliwych próbek dla Androida, jakie otrzymaliśmy od 2005 roku!

Ogromny wzrost liczby zagrożeń dla Androida można wytłumaczyć dwoma czynnikami: jeden jest natury ekonomicznej, drugi dotyczy samej platformy. Po pierwsze, platforma Android zyskała ogromną popularność: obecnie stanowi najpowszechniejszy systemem operacyjnym wśród nowych telefonów i posiada ponad 70% udział w rynku. Po drugie, otwarty charakter tego systemu operacyjnego, łatwość tworzenia aplikacji oraz duża różnorodność (nieoficjalnych) rynków aplikacji wywierają łącznie negatywny wpływ na bezpieczeństwo platformy Android.

Patrząc w przyszłość, nie ma wątpliwości, że opisywany trend utrzyma się, tak jak to miało miejsce w przypadku szkodliwego oprogramowania dla systemu Windows wiele lat temu. Dlatego też spodziewamy się, że 2013 rok będzie obfitował w ataki ukierunkowane na użytkowników Androida, ataki zero-day i wycieki danych.

4. Wycieki haseł z portalu LinkedIn, Last.fm, Dropbox oraz Gamigo

5 czerwca 2012 roku LinkedIn, jeden z największych na świecie portali społecznościowych skupiających ludzi różnych branż, padł ofiarą ataku hakerskiego przeprowadzonego przez nieznanych sprawców, w wyniku którego do internetu wyciekły hashe haseł ponad 6,4 miliona osób. Przy pomocy szybkich kart graficznych eksperci ds. bezpieczeństwa uzyskali aż 85% pierwotnych haseł. Przyczyniło się do tego kilka czynników. Po pierwsze, LinkedIn przechowywał hasła w postaci hashy SHA1. Współczesne karty graficzne potrafią łamać hashe SHA1 niewiarygodnie szybko. Na przykład Radeon 7970 potrafi sprawdzić niemal 2 miliardy haseł/hashy SHA1 na sekundę. To, w połączeniu ze współczesnymi atakami kryptograficznymi, takimi jak użycie łańcuchów Markowa w celu optymalizacji wyszukiwania metodą brute force czy atakami przy użyciu maski, nauczyło deweloperów kilku nowych rzeczy o przechowywaniu zaszyfrowanych haseł.

Kiedy DropBox poinformował, że padł ofiarą ataku hakerskiego (http://www.zdnet.com/dropbox-gets-hacked-again-7000001928/), w wyniku którego wyciekły dane dotyczące kont użytkowników, po raz kolejny potwierdziło się, że celem hakerów są cenne dane (zwłaszcza dane uwierzytelniające użytkowników) w popularnych serwisach internetowych. W 2012 roku podobne ataki zostały przeprowadzone na Last.fm (http://www.last.fm/passwordsecurity) oraz Gamigo (http://www.zdnet.com/8-24-million-gamigo-passwords-leaked-after-hack-7000001403/), a ich rezultatem był wyciek ponad 8 milionów haseł.

Aby dać pewne wyobrażenie na temat rozmiarów omawianego problemu, podczas konferencji InfoSecSouthwest 2012 Korelogic opublikował archiwum (https://www.korelogic.com/InfoSecSouthwest2012_Ripe_Hashes.html) zawierające około 146 milionów hashy haseł, uzyskanych w ramach wielu incydentów hakerskich. Spośród tych hashy 122 milionów zostało już złamanych. (http://blog.thireus.com/cracking-story-how-i-cracked-over-122-million-sha1-and-md5-hashed-passwords).

Ataki te pokazują, że w erze „chmury”, kiedy na jednym serwerze dostępne są informacje dotyczące milionów kont, koncepcja wycieku danych nabiera całkowicie nowego wymiaru. Zbadaliśmy to zjawisko w zeszłym roku w związku z atakiem hakerskim na sieć Sony Playstation; dlatego też nie było żadnej niespodzianki w tym, że wycieki i ataki hakerskie na tak dużą skalę miały miejsce również w 2012 r.

5. Kradzież certyfikatów firmy Adobe oraz powszechne ataki APT

Podczas 2011 roku miało miejsce kilka głośnych ataków na centra certyfikacji. W czerwcu zaatakowana została duńska firma DigiNotar, natomiast w marcu ofiarą cyberprzestępców padł podmiot stowarzyszony firmy Comodo, który został podstępnie nakłoniony do wydania certyfikatów cyfrowych. Odkrycie Duqu we wrześniu 2011 roku również miało związek z atakiem hakerskim na centrum certyfikacji.

27 września 2012 roku firma Adobe poinformowała (http://blogs.adobe.com/asset/2012/09/inappropriate-use-of-adobe-code-signing-certificate.html) o wykryciu dwóch szkodliwych programów podpisanych przy użyciu ważnego certyfikatu Adobe. Certyfikaty firmy Adobe były bezpiecznie przechowywane w HSM (https://en.wikipedia.org/wiki/Hardware_security_module), specjalnym urządzeniu kryptograficznym, które znacznie utrudnia ataki. Mimo to osoby atakujące zdołały uzyskać dostęp do serwera, który wykonał żądania podpisania kodu.

Odkrycie to należy do tego samego łańcucha ściśle ukierunkowanych ataków przeprowadzanych przez zaawansowanych twórców, które są powszechnie określane jako APT (zaawansowane ataki długotrwałe - https://en.wikipedia.org/wiki/Advanced_persistent_threat).

To, że znana firma taka jak Adobe padła ofiarą tego rodzaju ataku, na nowo definiuje granice i możliwości zaawansowanych cyberprzestępców.

6. Koniec DNSChangera

Kiedy w listopadzie 2011 roku podczas operacji „Ghost Click” aresztowano osoby stojące za szkodliwym oprogramowaniem DNSChanger (https://www.fbi.gov/news/stories/2011/november/malware_110911), infrastruktura wykorzystywana do kradzieży tożsamości została przejęta przez FBI.

FBI zgodziło się, aby serwery działały online do 9 lipca 2012 roku, tak aby ofiary miały czas usunąć szkodliwe oprogramowanie ze swoich systemów. Mimo kilku katastroficznych scenariuszy dzień ten minął bez większych problemów. Nie byłoby to jednak możliwe, gdyby FBI jak również inne organy ścigania, prywatne firmy oraz rządy na całym świecie nie zainwestowały w ten projekt tak wiele czasu i zasobów. Była to akcja przeprowadzona na dużą skalę, która udowodniła, że sukces w walce z cyberprzestępczością można osiągnąć poprzez otwartą współpracę oraz wymianę informacji.

7. Incydent Ma(h)di

Pod koniec 2011 roku i w pierwszej połowie 2012 roku miała miejsce długofalowa kampania mająca na celu infiltrowanie systemów komputerowych na Bliskim Wschodzie wymierzona przeciwko osobom w Iranie, Izraelu, Afganistanie oraz w innych państwach rozrzuconych po całym świecie. We współpracy ze Seculert szczegółowo zbadaliśmy tę operację i na podstawie pewnych ciągów i funkcji wykorzystywanych przez osoby atakujące nadaliśmy jej nazwę „Madi”.

Mimo że Madi był stosunkowo mało zaawansowany, udało mu się przeprowadzić atak na wiele różnych ofiar na całym świecie przy użyciu socjotechniki oraz taktyk Right-To-Left-Overwrite. Kampania Madi pokazała jeszcze inny wymiar operacji cyberszpiegowskich na Bliskim Wschodzie oraz unaoczniła jedną ważną rzecz: operacje wymagające niewielkich nakładów, w przeciwieństwie do sponsorowanego przez rząd szkodliwego oprogramowania o nieograniczonym budżecie, mogą okazać się dość skuteczne.

8. Ataki wykorzystujące luki 0-day w Javie

Po wspomnianym wcześniej incydencie związanym z Flashbackiem Apple podjął śmiały krok i postanowił wyłączyć Javę milionom użytkowników systemów Mac OS X. Warto wskazać, że chociaż łata na lukę wykorzystywaną przez Flashbacka była dostępna od lutego, użytkownicy produktów firmy Apple pozostawali przez kilka miesięcy bez ochrony, ponieważ firma Apple nie spieszyła się z dostarczeniem tej łaty użytkownikom systemu Mac OS X. Sytuacja wyglądała inaczej w przypadku systemu Mac OS X, ponieważ o ile w przypadku Windowsa łaty pochodziły od firmy Oracle, w systemie Mac OS X łaty były dostarczane przez Apple.

Jakby nie było tego mało, w sierpniu 2012 roku wykryto lukę zero-day w Javie wykorzystywaną na wolności na masową skalę (CVE-2012-4681). Exploit został zaimplementowany w bardzo popularnym zestawie exploitów BlackHole i szybko stał się najefektywniejszy z całego zestawu, odpowiadając za miliony infekcji na całym świecie.

W drugim kwartale 2012 roku przeprowadziliśmy analizę podatnych na ataki programów wykrytych na komputerach użytkowników, która wykazała, że na ponad 30% z nich jest zainstalowana stara i dziurawa wersja Javy. Bez wątpienia było to najbardziej rozpowszechnione dziurawe oprogramowanie z tych zainstalowanych na komputerze.

9. Shamoon

W połowie sierpnia pojawiły się szczegóły dotyczące niezwykle destruktywnego szkodliwego oprogramowania wykorzystanego w ataku przeciwko Saudi Aramco, jednego z największych na świecie konglomeratów naftowych. Według raportów, szkodnik ten spowodował całkowite zniszczenie ponad 30 000 komputerów.

Przeprowadzona przez nas analiza Shamoona wykazała, że szkodnik ten zawiera wbudowany przełącznik, który miał aktywować proces destrukcyjny 15 sierpnia o godz. 8:08. Później pojawiły się doniesienia o kolejnym ataku tego samego szkodnika na inną firmę naftową na Bliskim Wschodzie.

Znaczenie Shamoona polega na tym, że poddał pomysł, który został następnie wykorzystany w szkodniku o nazwie Wiper, szkodliwej funkcji, której celem jest upośledzanie działalności firmy na dużą skalę. Tak jak w przypadku Wipera, wiele szczegółów nie jest jeszcze znanych, np. w jaki sposób szkodliwe oprogramowanie w ogóle zainfekowało systemy lub kto stał za infekcją.

10. Modemy DSL, objęcie firmy Huawei dochodzeniem oraz ataki hakerskie na sprzęt

W październiku 2012 roku ekspert Kaspersky Lab, Fabio Assolini, opublikował szczegóły dotyczące ataku, który był przeprowadzany w Brazylii od 2011 roku poprzez lukę w zabezpieczeniu oprogramowania firmware, dwa szkodliwe skrypty oraz 40 szkodliwych serwerów DNS. W wyniku tej operacji ucierpiało sześciu producentów sprzętu, a miliony brazylijskich użytkowników internetu padło ofiarą długotrwałego i ukradkowego ataku na modemy DSL.

W marcu 2012 roku zespół brazylijskiego CERT-a potwierdził, że na skutek ataku złamano zabezpieczenia ponad 4,5 miliona modemów, które zostały następnie wykorzystane przez cyberprzestępców do wszelkiego rodzaju oszukańczej aktywności.

Podczas konferencji T2 w Finlandii ekspert ds. bezpieczeństwa Felix ‘FX’ Lindner z Recurity Labs GmbH mówił o stosunku do bezpieczeństwa i lukach wykrytych w ruterach z rodziny Huawei. Miało to miejsce po decyzji podjętej przez amerykański rząd o objęciu Huawei dochodzeniem pod kątem ryzyka szpiegostwa (http://www.cbsnews.com/8301-18560_162-57527441/huawei-probed-for-security-espionage-risk)

Przypadki ruterów Huawei oraz DSL w Brazylii nie stanowią jedynie mało znaczących incydentów. Wskazują one na to, że rutery sprzętowe mogą stanowić takie samo, jeśli nie większe, ryzyko dla bezpieczeństwa co starsze lub podejrzane oprogramowanie, które nigdy nie jest aktualizowane. Świadczą one o tym, że obrona stała się bardziej złożona i trudniejsza niż kiedykolwiek – a w niektórych przypadkach nawet niemożliwa.

Wnioski: od wybuchowego po odkrywczy i otwierający oczy

Podczas gdy rok 2013 zbliża się wielkimi krokami, wszyscy zastanawiamy się, co będzie dalej. Jak pokazuje przedstawiona wyżej lista 10 najważniejszych incydentów, nasze prognozy w większości sprawdziły się.

Mimo aresztowania Xaviera Monsegura z grupy LulzSec oraz wielu znanych hakerów z grupy „Anonymous” haktywiści kontynuowali swoje ataki. Wraz z odkryciem Flame’a i Gaussa kampanie cyberwojenne/cyberszpiegowskie nabrały nowego wymiaru. Operacje APT nadal dominowały w doniesieniach prasowych, z których można było się dowiedzieć, że exploity zero-day oraz sprytne metody ataków są stosowane w celu włamywania się do systemów znanych osób. Użytkownicy Mac OS X otrzymali cios zadany przez szkodnika o nazwie Flashfake, który odpowiadał za największą epidemię w tym systemie, natomiast duże firmy zmagały się ze szkodliwym programem, który zainfekował dziesiątki tysięcy komputerów PC.

Najwięksi aktorzy 2011 roku nie zmienili się: nadal znajdowały się wśród nich grupy haktywistów, firmy z branży bezpieczeństwa IT, państwa walczące ze sobą przy użyciu cyberszpiegostwa, największe firmy zajmujące się rozwojem oprogramowania i gier, takie jak Adobe, Microsoft, Oracle czy Sony, organy ścigania oraz tradycyjni cyberprzestępcy, Google poprzez system operacyjny Android, oraz Apple dzięki swojej platformie Mac OS X.

Rok 2011 określiliśmy jako „wybuchowy” i wierzymy, że incydenty, jakie miały miejsce w 2012 r. spowodowały zdziwienie i rozbudziły wyobraźnię. Poznaliśmy nowe wymiary obecnych zagrożeń, a jednocześnie kształtu zaczęły nabierać nowe ataki.

Prognozy bezpieczeństwa dotyczące 2013 roku

Koniec roku to tradycyjnie czas refleksji – kiedy zastanowimy się nad naszym życiem i spoglądamy w przyszłość. Dlatego proponujemy naszym czytelnikom garść prognoz dotyczących następnego roku. Omówimy kluczowe kwestie, które według nas zdominują krajobraz bezpieczeństwa w 2013 roku. Naturalnie przyszłość jest zawsze zakorzeniona w teraźniejszości, dlatego zaczniemy od spojrzenia wstecz, prezentując kluczowe trendy w 2012 roku.

1. Ataki ukierunkowane oraz cyberszpiegostwo

Chociaż krajobraz zagrożeń nadal jest zdominowany przez niepowiązane ze sobą ataki, których celem jest kradzież prywatnych informacji każdego, kto będzie miał ma na tyle pecha, że padnie ich ofiarą, w ostatnich dwóch latach ataki ukierunkowane stały się stałym elementem. Tego rodzaju ataki są specjalnie tworzone w celu przeniknięcia do określonej organizacji i często ich głównym celem jest gromadzenie poufnych informacji, które posiadają wartość pieniężną na „czarnym rynku”. Ataki ukierunkowane często charakteryzują się wysokim poziomem zaawansowania. Trzeba jednak pamiętać, że wiele ataków rozpoczyna się od „ataku hakerskiego na człowieka”, tj. podstępnego skłonienia pracowników do ujawnienia informacji, które mogą być wykorzystane do uzyskania dostępu do zasobów firmowych. Ogromna ilość informacji współdzielonych online oraz rosnąca popularność portali społecznościowych w biznesie przyczyniają się do wzrostu liczby takich ataków – w rezultacie na ataki szczególnie narażony jest personel mający bezpośredni kontakt z klientami (np. osoby pracujące w dziale sprzedaży lub marketingu). Możemy spodziewać się, że przypadki cyberszpiegostwa nadal będą mieć miejsce w 2013 roku i w kolejnych latach. Łatwo czytać nagłówki gazet w prasie online i wyobrażać sobie, że ataki ukierunkowane stanowią problem jedynie dla dużych organizacji, szczególnie tych, które są odpowiedzialne za „krytyczną infrastrukturę” w państwie. W rzeczywistości jednak ich ofiarą może paść każda organizacja. Wszystkie organizacje przechowują dane, które posiadają wartość dla cyberprzestępców; mogą również być wykorzystywane jako pomost umożliwiający dostęp do innych firm.

2. Rozwój „haktywizmu”

Kradzież pieniędzy – poprzez bezpośredni dostęp do kont bankowych lub kradzież poufnych danych – nie jest jedynym motywem tych ataków. Czasami celem jest przekaz polityczny lub społeczny. W tym roku obserwowaliśmy stały strumień takich ataków. Obejmował on ataki DDoS przeprowadzone przez grupę Anonymous na strony rządowe w Polsce, po tym jak rząd państwa ogłosił, że będzie wspierał ACTA (the Anti-Counterfeiting Trade Agreement); atak hakerski na oficjalną stronę F1 w ramach protestu przeciwko traktowaniu protestantów anty-rządowych w Bahrainie; atak hakerski na różne firmy naftowe jako protest przeciwko robotom wiertniczym prowadzonym na Arktyce; atak na Saudi Aramco; oraz zhakowanie francuskiej strony w ramach protestu przeciwko hazardowi. Coraz częstsze wykorzystywanie internetu przez społeczeństwo sprawia, że wszelkiego typu organizacje są potencjalnie narażone na tego rodzaju ataki, a zatem „haktywizm” niewątpliwie będzie stanowił plagę również w 2013 roku i kolejnym.

3. Cyberataki sponsorowane przez rządy

Stuxnet był pionierem wykorzystywania wysoce zaawansowanego szkodliwego oprogramowania w atakach ukierunkowanych na kluczowe obiekty produkcyjne. Wprawdzie ataki te nie są powszechne, wiemy jednak, że Stuxnet nie był odosobnionym incydentem. Obecnie wkraczamy w erę zimnej „cyber-wojny”, w której państwa mogą walczyć ze sobą nieskrępowane ograniczeniami konwencjonalnej wojny prowadzonej w realnym świecie. Patrząc w przyszłość, możemy spodziewać się, że liczba państw rozwijających cyberbroń – w celu kradzieży informacji lub sabotowania systemów – będzie wzrastać. Mogą również pojawić się ataki naśladowcze przeprowadzane przez państwa o wyższym ryzyku „szkód dodatkowych”. Cele takich cyberataków mogą obejmować firmy zajmujące się dostawą energii i kontrolą transportu, systemy finansowe i telekomunikacyjne oraz inne obiekty infrastrukturalne o krytycznym znaczeniu.

4. Wykorzystywanie legalnych narzędzi do inwigilacji

W ostatnich latach cyberprzestępczość staje się coraz bardziej zaawansowana. Stwarza to nie tylko nowe wyzwania dla ekspertów od walki ze szkodliwym oprogramowaniem ale również dla organów ścigania na całym świecie. Ich wysiłki, aby dotrzymać tempa zaawansowanym technologiom wykorzystywanym przez cyberprzestępców, popchają ich w kierunkach, które mają oczywiste implikacje dla samych organów ścigania. Obejmuje to np. kwestię tego, co zrobić z zainfekowanymi komputerami po rozmontowaniu botnetu przez władze – tak jak to miało miejsce w przypadku przeprowadzonej przez FBI operacji Ghost Click. Poza tym w kategorii tej znajduje się jeszcze wykorzystywanie technologii służącej do monitorowania aktywności osób podejrzewanych o działalność przestępczą. Nie jest to nowy problem – przypomnijmy sobie kontrowersję wokół „Magic Lantern” i „Bundestrojan”. Dość niedawno toczyła się debata dotycząca doniesień o tym, że brytyjska firma oferowała oprogramowanie monitorujące o nazwie „Finfisher” poprzedniemu rządowi Egiptu https://threatpost.com/en_us/blogs/report-uk-firm-offered-custom-malware-egyptian-security-services-042611 oraz informacji o tym, że indyjski rząd poprosił firmy (łącznie z Apple, Nokia i RIM) o ukradkowy dostęp do urządzeń mobilnych http://threatpost.com/en_us/blogs/did-apple-rim-and-nokia-help-indian-government-spy-us-010912. Niewątpliwie wykorzystywanie legalnych narzędzi inwigilacji wiąże się z szerszymi implikacjami dla prywatności i wolności obywatelskich. Ponieważ organy ścigania oraz rządy próbują wyprzedzać o krok przestępców, możliwe, że wykorzystanie takich narzędzi – oraz dyskusje dotyczące wykorzystywania ich – będą trwały w przyszłości.

5. Chmura z możliwością wystąpienia szkodliwego oprogramowania

Nie ma wątpliwości, że wykorzystywanie serwisów opartych na technologii chmury będzie coraz popularniejsze w nadchodzących latach. Do rozwoju takich serwisów przyczyniają się dwa kluczowe czynniki. Pierwszy to koszty. Poprzez ekonomię skali, którą można osiągnąć przechowując dane lub hostując aplikacje w chmurze, firma może osiągnąć znaczne oszczędności. Drugim czynnikiem jest elastyczność. Dostęp do danych można uzyskać w dowolnym czasie, w dowolnym miejscu, wszędzie – z każdego urządzenia, łącznie z laptopami, tabletami i smartfonami. Jednak wraz ze wzrostem wykorzystywania technologii chmury wzrośnie również liczba zagrożeń dla bezpieczeństwa chmury. Po pierwsze, centra danych dostawców usług opartych na chmurze stanowią atrakcyjny cel dla cyberprzestępców. „Chmura” może wydawać się miła i wygodna jako koncept, nie zapominajmy jednak, że mówimy tu o danych, które są przechowywane na realnych serwerach istniejących w świecie fizycznym. Spójrzmy na to z perspektywy cyberprzestępcy – są one potencjalnym pojedynczym punktem awarii. Na serwerach tych w jednym miejscu przechowywane są ogromne ilości prywatnych danych, które mogą zostać skradzione w ramach jednego ataku, jeżeli dostawca padnie ofiarą ataku. Po drugie, cyberprzestępcy prawdopodobnie będą częściej wykorzystywać serwisy oparte na chmurze w celu hostowania i rozprzestrzeniania szkodliwego oprogramowania – zwykle poprzez skradzione konta. Po trzecie, trzeba również pamiętać, że do danych przechowywanych w chmurze można uzyskać dostęp z urządzenia w świecie będącym „poza chmurą”. A zatem, jeżeli cyberprzestępca potrafi złamać zabezpieczenia urządzenia, może również uzyskać dostęp do danych – niezależnie od tego, gdzie są przechowywane. Powszechne wykorzystywanie urządzeń mobilnych, chociaż oferuje firmie ogromne korzyści, wiąże się również z wyższym ryzykiem – dostęp do danych przechowywanych w chmurze można uzyskać z urządzeń, które mogą nie być tak bezpieczne jak tradycyjne urządzenia punktów końcowych.

W przypadku, gdy to samo urządzenie jest wykorzystywane zarówno do zadań prywatnych jak i biznesowych, ryzyko wzrasta jeszcze bardziej.

6. Co się stało z moją prywatnością?!

Nadwyrężenie, lub utrata, prywatności stało się przedmiotem gorącej debaty w kręgach związanych z bezpieczeństwem IT. Internet stanowi nieodzowny element naszego życia i wiele osób regularnie wykorzystuje go do dokonywania transakcji bankowych, robienia zakupów oraz utrzymywania kontaktów towarzyskich online. Za każdym razem, gdy zakładamy konto online, wymaga się od nas podania informacji dotyczących nas samych, a firmy z całego świata aktywnie gromadzą dane o swoich klientach. Zagrożenie dla prywatności przybiera dwie formy. Po pierwsze, dane prywatne będą zagrożone w sytuacji, gdy ktoś złamie zabezpieczenia stosowane przez dostawców towarów i usług, z którymi prowadzimy interesy. Nie ma tygodnia, w którym nie pojawiłyby się doniesienia o firmie, która padła ofiarą hakerów, narażając dane prywatne swoich klientów. Naturalnie, dalszy rozwój serwisów opartych na chmurze jedynie zaostrzy problem. Po drugie, firmy gromadzą i wykorzystują posiadane informacje o swoich klientach do celów związanych z reklamą i promocją, niekiedy bez naszej wiedzy. Co więcej nie zawsze wiadomo, jak tego uniknąć. Wartość danych prywatnych – dla cyberprzestępców i legalnych firm – może tylko zwiększyć się w przyszłości, a wraz z tym wzrośnie potencjalne zagrożenie dla naszej prywatności.

7. Komu ufać?

Jeżeli ktoś zapuka do twoich drzwi frontowych i poprosi, abyś wpuścił go do środka, prawdopodobnie odmówisz, chyba że pokaże ci ważny dokument tożsamości. Co jednak, jeżeli żądany dokument zostanie okazany? A jeśli, co gorsze, nie jest sfałszowany, ale prawdziwy, wydany przez legalną organizację? Taka sytuacja podważyłaby zaufanie do instytucji, które ma nas uchronić przed oszustami działającymi w prawdziwym świecie. To samo dotyczy świata online. Wszyscy jesteśmy skłonni zaufać stronom posiadającym certyfikat bezpieczeństwa wydany przez legalne Centrum Certyfikacji lub aplikację posiadającą ważny certyfikat cyfrowy. Niestety, cyberprzestępcy nie tylko zdołali wydać fałszywe certyfikaty dla swojego szkodliwego oprogramowania – przy użyciu tzw. samodzielnie podpisanych certyfikatów udało im się również złamać zabezpieczenia systemów różnych centrów certyfikacji i wykorzystać skradzione certyfikaty do podpisywania własnego kodu. Wykorzystywanie fałszywych, i skradzionych, certyfikatów z pewnością będzie praktykowane również w przyszłości. Problem może dodatkowo pogorszyć dalszy rozwój technologii. W ostatnich latach arsenał producentów rozwiązań bezpieczeństwa zostały wzbogacony o białe listy (whitelisting) – tj. sprawdzanie kodu nie tylko po to, aby stwierdzić, czy został już sklasyfikowany jako szkodliwy, ale również po to, aby zobaczyć, czy został uznany za „dobry”. Jeżeli jednak do białej listy przenikną szkodliwe aplikacje, mogą one „ominąć radar” programów bezpieczeństwa i pozostać niewykryte. Tak mogłoby się zdarzyć w kilku sytuacjach. Szkodliwe oprogramowanie mogło zostać podpisane przy użyciu skradzionego certyfikatu: jeżeli aplikacja z białej listy posiada automatyczne zaufanie do oprogramowania podpisanego przez tę organizację, można również ufać zainfekowanemu programowi. Lub też cyberprzestępcy (albo ktoś z firmy) mogli uzyskać dostęp do folderu lub bazy danych, w której znajduje się biała lista, i dodać do listy swoje szkodliwe oprogramowanie. Osoba z wewnątrz - czy to w realnym świecie czy w świecie cyfrowym – zawsze ma możliwość naruszenia bezpieczeństwa.

8. Cyberwyłudzenia

W tym roku wzrosła liczba trojanów ransomware, których celem jest wyłudzanie pieniędzy od swoich ofiar poprzez szyfrowanie danych na dysku lub blokowanie dostępu do systemu. Aż do niedawna tego rodzaju cyberprzestępczość była ograniczona głównie do Rosji i innych państw z byłego Związku Radzieckiego. Obecnie jednak jest to zjawisko na skalę światową, różni się tylko nieznacznie sposobem działania w poszczególnych krajach. W Rosji, na przykład, trojany, które blokują dostęp do systemu, często „twierdzą”, że zidentyfikowały nielicencjonowane oprogramowanie na komputerze ofiary i proszą o zapłatę. W Europie, w której piractwo oprogramowania jest mniej rozpowszechnione, podejście to nie jest tak skuteczne. Zamiast tego trojany te wyświetlają wiadomości popup od organów ścigania, w których twierdzą, że znaleźli pornografię dziecięcą lub inne nielegalne materiały na komputerze. Wraz nim pojawia się żądanie zapłaty kary. Tego rodzaju ataki są łatwe w przygotowaniu i, podobnie jak w przypadku ataków phishingowych, nie brakuje potencjalnych ofiar. W efekcie, wzrost liczby tego rodzaju trojanów z pewnością utrzyma się w przyszłości.

9. Szkodliwe oprogramowanie dla systemu Mac OS

Mimo głęboko zakorzenionych opinii komputery Mac nie są odporne na szkodliwe oprogramowanie. Naturalnie w porównaniu z potokiem szkodliwego oprogramowania atakującego Windowsa, ilość niebezpiecznych aplikacji, których celem są komputery Mac, jest niewielka. Jednak w ciągu dwóch ostatnich lat liczba ta stale wzrastała i naiwnością byłoby myślenie przez osobę korzystającą z komputera Mac, że nie może stać się ofiarą cyberprzestępczości. Zagrożeniem nie są jedynie masowe ataki – jak było w przypadku botnetu Flashfake złożonego z 700 000 komputerów; odnotowaliśmy również ataki ukierunkowane na określone grupy lub osoby indywidualne, które są znanymi entuzjastami Maków. Zagrożenie dla komputerów Mac jest realne i prawdopodobnie będzie coraz większe.

10. Mobilne szkodliwe oprogramowanie

Ilość mobilnego szkodliwego oprogramowania „eksplodowała” w ciągu ostatnich 18 miesięcy. Ich lwia część atakuje urządzenia z systemem Android – celem ponad 90 procent z nich jest właśnie ten system operacyjny. Android spełnia wszystkie wymagania cyberprzestępców: jest powszechnie wykorzystywany, łatwo tworzy się dla niego aplikacje, a korzystające z niego osoby mogą pobierać programy (łącznie ze szkodliwymi) z dowolnego miejsca. Z tego powodu nie ma co liczyć na spowolnienie tempa rozwoju szkodliwych aplikacji dla Androida. Jak dotąd większość szkodliwego oprogramowania została stworzona z myślą o uzyskaniu dostępu do urządzenia. W przyszłości prawdopodobnie będziemy świadkami wykorzystywania luk w zabezpieczeniach tego systemu operacyjnego i - w efekcie – rozwoju ataków „drive-by download”. Istnieje również wysokie prawdopodobieństwo, że pojawi się pierwszy masowy robak dla Androida potrafiący rozprzestrzeniać się za pośrednictwem wiadomości tekstowych oraz wysyłania odsyłaczy do siebie samego w jakimś sklepie aplikacji online. Prawdopodobnie pojawi się również więcej botnetów mobilnych w rodzaju tych tworzonych przy użyciu backdoora RootSmart w I kwartale 2012 roku. Z kolei iOS to zamknięty, ograniczony system plików umożliwiający pobieranie i wykorzystywanie aplikacji z jednego źródła – tj. App Store. Oznacza to mniejsze zagrożenie dla bezpieczeństwa: w celu rozprzestrzeniania kodu przyszli twórcy szkodliwego oprogramowania musieliby znaleźć jakiś sposób „przemycenia” kodu do App Store. Pojawienie się aplikacji „Find and Call’ wcześniej tego roku udowodniło, że niepożądane aplikacje mogą prześlizgnąć się do sieci. Niewykluczone jednak, że przynajmniej na razie Android pozostanie głównym celem cyberprzestępców. Znaczenie aplikacji „Find and Call” jest związane z kwestią prywatności, wycieku danych oraz potencjalnej szkody dla reputacji człowieka: aplikacja ta została stworzona w celu wysyłaniu książek telefonicznych do zdalnego serwera i wykorzystywanie ich do rozprzestrzeniania spamu SMS.

11. Luki w zabezpieczeniach i exploity

Jedną z głównych metod wykorzystywanych przez cyberprzestępców do instalowania szkodliwego oprogramowania na komputerach swoich ofiar jest wykorzystywanie niezałatanych luk w aplikacjach. Sposób ten opiera się na istnieniu luk w zabezpieczeniach oraz niestosowaniu przez osoby indywidualne lub firmy łat dla swoich aplikacji. Luki w zabezpieczeniach Javy odpowiadają obecnie za ponad 50% ataków, podczas gdy Adobe Reader – za dalsze 25 procent. Nie ma w tym nic zaskakującego, ponieważ cyberprzestępcy zwykle skupiają się na aplikacjach, które są powszechnie wykorzystywane i mogą pozostawać niezałatane przez dłuższy czas – dając im wystarczająco dużo czasu na osiągnięcie swoich celów. Java nie tylko jest zainstalowany na wielu komputerach (1,1 miliarda według firmy Oracle), ale również aktualizacje są instalowane na żądanie, a nie automatycznie. Z tego powodu w przyszłym roku cyberprzestępcy nadal będą wykorzystywać Javę. Prawdopodobnie będą też wykorzystywać Adobe Readera, jednak już nieco mniej, ponieważ najnowsze wersje posiadają mechanizm automatycznej aktualizacji.