Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Wirtualny konflikt - kto będzie triumfował?


Yury Mashevsky
Analityk wirusów, Kaspersky Lab

Gdy branża komputerowa zaczynała się rozwijać, nikt nie przypuszczał, że w stosunkowo niedługim czasie komputer będzie można znaleźć w każdym domu. Obecnie wiele osób powierza tym maszynom własne finanse, prywatną korespondencję i wiele innych rzeczy.

Następnie w lawinowym tempie wzrastała liczba użytkowników, którzy przenosili biznes do Internetu, co doprowadziło do gwałtownego wzrostu liczby serwisów internetowych. Wydawałoby się, że użytkownicy Internetu mają wszystko, o czym mogli tylko marzyć. Jednak pojawienie się cyberprzestępców, którzy ciągle szukają sposobności oszukania niczego niepodejrzewających użytkowników, zmieniło wszystko.

Cyberprzestępczość stała się integralną częścią Internetu. Błyskawicznie rośnie rynek złośliwego oprogramowania. Nieznane wcześniej złośliwe programy mnożą się w coraz szybszym tempie, co pokazuje rysunek 1.


Rys. 1: Wzrost liczby złośliwych programów.
Źródło: Kaspersky Lab

Wcześniej, gdy złośliwe programy tworzyli studenci w wolnych chwilach firmy antywirusowe mogły bez trudu odpierać ich ataki. Jednak z każdym rokiem stawało się to coraz trudniejsze. W niedalekiej przyszłości firmy z branży bezpieczeństwa IT nadal będą w stanie do pewnego stopnia eliminować złośliwe programy, spam i inne przejawy cyberprzestępczości, których liczba nieustannie wzrasta. Obecnie nie chodzi już o to, czy cyberprzestępczość można całkowicie pokonać, ale w jakim stopniu można zahamować jej ewolucję.

Motorem w tej zaciekłej konfrontacji jest użytkownik, będący źródłem dochodów przestępców. Według szacunków różnych organizacji, wpływy z cyberprzestępczości obecnie znacznie przewyższają dochody branży antywirusowej. Wojna toczy się na dobre.

W artykule tym została zanalizowana obecna sytuacja - jakie działania podejmują cyberprzestępcy, aby pokrzyżować wysiłki firm z branży bezpieczeństwa IT i kto może mieć wpływ na rozwój cyberprzestępczości w przewidywanej przyszłości.

Cyberprzestępcy kontra firmy z branży bezpieczeństwa IT

Firmy z branży bezpieczeństwa IT stanowią obecnie główną - praktycznie jedyną - siłę zdolną do podjęcia skutecznych działań przeciwko cyberprzestępcom. Złośliwi użytkownicy nieustannie znajdują nowe i lepsze sposoby ominięcia najnowszych technologii, co motywuje branżę bezpieczeństwa IT do opracowywania nowych metod ochrony. Konflikt między branżą bezpieczeństwa a cyberprzestępcami przebiega w szczególny sposób; cyberprzestępcy nie zawsze od razu reagują na nowe technologie bezpieczeństwa, każda z nich poddawana jest skrupulatnemu testowi na "wytrzymałość".

Jasno widać to na przykładzie firmy Blue Security i jej projektu Blue Frog, który na początku uznano za skuteczne narzędzie walki ze spamem. Z początku wszystko szło dobrze - niektórzy użytkownicy Blue Frog odnotowali 25% spadek ilości otrzymywanej niechcianej korespondencji. Rok później projekt zaczął stanowić ogromny problem dla spamerów, co ostatecznie doprowadziło do jego klęski: po serii ataków DDoS Blue Frog został zamknięty.

Branża antywirusowa też nie ma łatwo. Działalność cyberprzestępcza przybiera różne formy, od stosunkowo mało istotnych zagrożeń, które łatwo można zwalczyć, po złożone, przeprowadzane na dużą skalę ataki na rozwiązania antywirusowe.

Przykłady zagrożeń spowodowanych mniejszymi atakami:

  • Autorzy robaka Bagle śledzili próby firm antywirusowych odwiedzania wykorzystywanej przez szkodnika strony WWW i umieszczali na niej niezainfekowany plik. Oznaczało to, że firmy antywirusowe nie mogły uzyskać ani zanalizować złośliwego "dzieła" tego autora, a w konsekwencji nie mogły dodać jego sygnatury do antywirusowych baz danych. Gdy jednak odsyłacz otwierał zwykły użytkownik, na jego komputer pobierał się złośliwy kod.
  • Autorzy trojana Trojan-PSW.Win32.LdPinch nieustannie śledzą aktywność zapory ogniowej. Gdy wyświetlane jest ostrzeżenie z zapytaniem, czy należy zezwolić czy nie na aktywność aplikacji związanej z trojanem, trojan sam z siebie "klika" TAK.
  • Regularnie cyberprzestępcy lub inni złośliwi użytkownicy masowo wysyłają złośliwe programy w "przebraniu" aktualizacji firm antywirusowych. Celem tych działań jest zdyskredytowanie tych firm.

Nie pojawiło się nic nowego jeśli chodzi o złożone podejście do zwalczania rozwiązań antywirusowych. Stosowane obecnie metody można podzielić na dwie kategorie:

  • opozycja bierna;
  • opozycja czynna.

Opozycja bierna

Opozycja bierna obejmuje metody utrudniające analizowanie i/lub wykrywanie złośliwej zawartości. W tym celu można zastosować różne podejścia (dynamiczne generatory kodu, polimorfizm itd.), jednak w większości przypadków autorzy złośliwych programów nie wkładają wiele czasu czy wysiłku w opracowywanie tego typu mechanizmów. Stosują o wiele prostsze rozwiązanie: tak zwane kompresory. Są to narzędzia wykorzystujące wyspecjalizowane algorytmy w celu zakodowania określonego programu wykonywalnego przy jednoczesnym zachowaniu jego funkcjonalności. Użycie kompresora znacznie ułatwia zadanie złośliwemu użytkownikowi: aby program antywirusowy nie mógł wykryć znanego złośliwego programu, autor nie musi już pisać go od nowa - cała jego praca sprowadza się do przepakowania go przy pomocy kompresora, który nie jest znany programowi antywirusowemu. Rezultat jest taki sam, koszty - znacznie niższe.

Jak wspomniano wyżej, w ten sposób spakowana jest większość złośliwych plików wykonywalnych. Rysunek 2 pokazuje liczbę spakowanych złośliwych programów w porównaniu z całkowicie nowymi.


Rys. 2: Wzrost liczby spakowanych próbek.
Źródło: Kaspersky Lab

Ciągły wzrost udziału spakowanych próbek w ogólnej liczbie nowych, wcześniej nieznanych złośliwych programów świadczy o tym, że złośliwi użytkownicy przekonani są o skuteczności stosowania kompresorów.

Oczywiście nie ma sensu stosowanie kompresorów, które są już wykrywane przez programy antywirusowe - w rezultacie produkt antywirusowy przechwyci oryginalny złośliwy kod. Dlatego obecnie cyberprzestępcy coraz częściej wykorzystują kompresory, które nie są znane branży antywirusowej; takie kompresory rozpowszechniane są jako kompresory "standardowe", zmodyfikowane lub przerobione przez samych autorów. Wzrost liczby nowych złośliwych programów spakowanych za pomocą kompresorów, które nie są rozpoznawane przez oprogramowanie Kaspersky Anti-Virus pokazuje rysunek 2.

Ostatnio pojawia się coraz więcej tzw. "sandwichów", złośliwych programów spakowanych przy użyciu kilku kompresorów jednocześnie w nadziei, że programy antywirusowe nie będą w stanie wykryć przynajmniej jednego kompresora. Wzrost użycia "sandwichów" w stosunku do liczby nowych spakowanych złośliwych programów pokazuje rysunek 3.


Rys. 3: Wzrost udziału "sandwichów" w całkowitej liczbie nowych spakowanych próbek.
Źródło: Kaspersky Lab

Wirtualne maszyny i emulatory skutecznie analizują spakowany złośliwy kod. Gdy zrozumieli to twórcy wirusów, zaczęli tworzyć więcej złośliwych programów wykorzystujących kod, który zwalcza technologie antywirusowe. Z kolei firmy antywirusowe odpowiedziały bardziej wyrafinowanymi technologiami, co jeszcze bardziej "nakręciło" spiralę.

Opozycja czynna


Rys. 4: Wzrost liczby nowych modyfikacji złośliwych programów, które aktywnie zwalczają rozwiązania bezpieczeństwa.
Źródło: Kaspersky Lab

Zwiększająca się w coraz szybszym tempie liczba nowych złośliwych programów (rys. 1) występuje w parze ze wzrostem całkowitej liczby złośliwych programów, które aktywnie zwalczają rozwiązania antywirusowe. Przede wszystkim, wiąże się to z wykorzystywaniem przez twórców wirusów technologii rootkit w celu zwiększenia "długości życia" wirusa w zainfekowanym systemie: jeśli złośliwy program posiada zdolności ukrywania się, istnieje większe prawdopodobieństwo, że nie zostanie dodany do sygnatur zagrożeń firm antywirusowych.

Wcześniej celem twórców wirusów była garstka rozwiązań antywirusowych. Obecnie bez trudu można znaleźć złośliwe programy, które zwalczają tuziny - jeśli nie setki - rozwiązań bezpieczeństwa.

Mimo wysiłków cyberprzestępców firmy antywirusowe stosunkowo szybko opracowują i wdrażają mechanizmy bezpieczeństwa, które już teraz zahamowały wzrost liczby złośliwych programów zwalczających rozwiązania antywirusowe. Poza tym, firmy te implementują również technologie służące do wykrywania i usuwania rootkitów.

Odpowiedzią cyberprzestępców są złośliwe programy z wbudowanymi sterownikami: do eliminowania rozwiązania antywirusowego wykorzystywany jest kod działający w trybie jądra, który posiada prawa umożliwiające mu kontrolowanie systemu. Przykładem takiego złośliwego oprogramowania jest Email-Worm.Win32.Bagle.gr.

Cyberprzestępcy atakują również na innych frontach. Na przykład, aby utrudnić życie firmom antywirusowym autorzy robaka Warezov coraz szybciej wypuszczają modyfikacje swojego "dzieła".

Zmniejsza się również czas, jaki mija od opublikowania odpowiedniej łaty na lukę do pojawienia się eksploitu - o czym doskonale wiedzą cyberprzestępcy. Złośliwe programy nieustannie ewoluują i przenoszą się do nowych środowisk.

Natomiast jeśli chcielibyśmy wymienić sukcesy branży antywirusowej - jednym z nich jest spadek zainteresowania twórców wirusów ruchem pocztowym. Cyberprzestępcy uważają teraz, że rozprzestrzenianie złośliwych programów za pośrednictwem poczty elektronicznej - wcześniej popularna metoda - jest nieefektywne. Różnica polega na tym, że obecnie złośliwy kod można szybko wykryć i zablokować, nawet zanim jeszcze zostanie przeprowadzona masowa wysyłka. Mimo to złośliwi użytkownicy nie zamierzają się poddawać i już teraz w coraz większym stopniu wykorzystują strony www w celu rozprzestrzeniania złośliwych programów.

Cyberprzestępczość wywiera coraz większą presję na firmy z branży bezpieczeństwa IT. Wzrost nielegalnych dochodów pozwala cyberprzestępcom na angażowanie wysoko wyspecjalizowanych wspólników i opracowywanie nowych technologii ataków. W ciągu następnych kilku lat firmy z branży bezpieczeństwa IT będą w stanie wykorzystać wszystkie swoje zasoby do zmniejszenia presji wywieranej przez złośliwych użytkowników, jednak będzie to coraz trudniejsze. Co stanie się potem - czas pokaże.

Cyberprzestępcy kontra inne firmy

Firmy, które niedawno jeszcze były ofiarami - celami nieustannych ataków zarówno na ich infrastrukturę, jak i klientów - zaczęły teraz "pokazywać pazurki". Można powiedzieć, że rok 2004 i 2005 to okres, w którym miała miejsce całkowita kryminalizacja Internetu, a liczba nowych wirusów wzrosła w lawinowym tempie. Jednak w 2006 roku firmy zaczęły zdawać sobie sprawę z problemu, jaki stanowi cyberprzestępczość.

Przykładem są organizacje finansowe, które zaczęły samodzielnie podejmować działania, aby udaremnić aktywność cyberprzestępców. W zeszłym roku banki na całym świecie wprowadziły różne metody w celu zapewnienia bezpieczniejszej rejestracji - od jednorazowych haseł po uwierzytelnianie biometryczne. Znacznie utrudniło to złośliwym użytkownikom tworzenie nowych wirusów atakujących sektor finansowy.

Coraz częściej oprogramowanie "powiadamia" online o nowych łatach, jednak złośliwi użytkownicy reagują o wiele szybciej na takie powiadomienia niż zwykli użytkownicy. Czas reakcji twórców oprogramowania na opublikowanie nowych łat również stopniowo się zmniejsza.

Cyberprzestępcy kontra rząd

Rządy posiadają najszersze i najpotężniejsze środki umożliwiające zwalczanie cyberprzestępczości, mimo to są najwolniej działającymi uczestnikami wojny przeciwko cyberprzestępczości. Czas, gdy sytuację można było jeszcze opanować, dawno już minął.

Przestępczość w Internecie stała się tak szeroko rozpowszechniona, że władze nie dysponują wystarczającymi zasobami, aby zająć się większą liczbą popełnianych przestępstw. Organom ścigania bardzo trudno jest pracować w warunkach, gdy przestępstwa nie są ograniczane granicami narodowymi (złośliwi użytkownicy mogą utrzymywać serwer w jednym kraju, atakować użytkowników w innym, natomiast fizycznie znajdować się w jeszcze innym). Co więcej, infrastruktura Internetu pozwala cyberprzestępcom działać z ogromną szybkością, a przy tym zachować anonimowość.

Ponadto, system rządowy działa bardzo powoli. Mnóstwo cennego czasu zabiera proces decyzyjny oraz osiągnięcie porozumienia na różnych poziomach. Zanim agencja rządowa obejmie dochodzeniem określonych cyberprzestępców, zdążą już zmienić swoją pierwotną fizyczną lokalizację oraz serwis hostingowy, który wykorzystali więcej niż jeden raz.

Obecnie struktury rządowe bardziej przypominają ofiary cyberprzestępczości niż struktury zwalczające cyberprzestępczość. Na potwierdzenie można przytoczyć wiele przykładów, z których wiele nagłośniły media:

  • Prawie każdy większy polityczny konflikt międzynarodowy zostaje przeniesiony do Internetu, przeradzając się w konflikt między cyberprzestępcami ze skłóconych krajów. Efektem tego mogą być włamania na rządowe strony internetowe. Przypadek taki miał miejsce pod koniec 2005 roku, gdy debata polityczna dotycząca własności terytoriów połowów ryb wywołała konflikt pomiędzy złośliwymi użytkownikami w Peru i Chile. Podobną eskalację spowodował konflikt libańsko-izraelski, gdy co tydzień atakowane były tuziny izraelskich, libańskich czy amerykańskich stron internetowych. Sytuacja patowa pomiędzy cyberwandalami w Japonii i Chinach oraz w Stanach Zjednoczonych i Chinach trwa już od pewnego czasu. Prawie wszystkie incydenty "skompromitowania" rządowych stron internetowych spowodowane konfliktami na tle stosunków międzynarodowych uchodzą bezkarnie.
  • Gdy złośliwi użytkownicy są niezadowoleni z działań jakiegoś rządu, często przeprowadzają na takie państwo ataki DDoS lub innego typu szkodliwe działania. Incydent taki miał miejsce jesienią 2006 roku, gdy na stronę internetową japońskiego Ministerstwa Spraw Zagranicznych przeprowadzono atak jako protest przeciwko oficjalnej wizycie do świątyni "bojowników". Ten sam los spotkał również strony internetowe rządu Szwecji na początku lata 2006 roku, które zostały zaatakowane w ramach protestu przeciwko działań antypirackich tego kraju.
  • Struktury rządowe często uznawane są za źródło zastrzeżonych informacji, które można sprzedać na czarnym rynku za spore pieniądze lub wykorzystać do przeprowadzenia ataków. Przykładem może być RusFinMonitoring (rosyjski serwis monitorujący finanse), który rejestruje jednorazowe transakcje przekraczające 20 000 dolarów. Według zastępcy szefa tej agencji, hakerzy codziennie próbowali uzyskać dostęp do jej systemu komputerowego, aby zdobyć nowe informacje o klientach banków.

Zdając sobie sprawę, że cyberprzestępczość stanowi poważne i szeroko rozpowszechnione zjawisko, władze próbują walczyć z tym problemem. Chociaż agencje rządowe nie działają zbyt szybko, podjęły następujące kroki:

  • W celu ułatwienia interakcji i przyspieszenia czasu reakcji organy ścigania różnych państw próbują stworzyć cyber-Interpol;
  • Latem 2006 roku podczas regionalnego Forum ASEAN podjęto decyzję o stworzeniu wspólnej sieci w celu zgłaszania przestępstw dotyczących komputerów oraz rozpowszechniania zaleceń dotyczących przeciwdziałania cyberprzestępczości i innych istotnych informacji;
  • Latem 2006 roku amerykański senat ratyfikował decyzję o przystąpieniu do europejskiego porozumienia o zwalczaniu cyberprzestępczości, które zostało już podpisane przez kilkadziesiąt państw;
  • Wiele państw rozważa propozycje zaostrzenia obowiązującego prawodawstwa (Rosja, Wielka Brytania i inne).

Według urzędników rządowych, podjęte dotychczas działania mają duże znaczenie w walce z cyberprzestępczością oraz terroryzmem i pozwolą organom ścigania na szybsze rozpracowywanie spraw związanych z cyberprzestępczością. Oczywiście wymaga to czasu; na razie cyberprzestępcy ledwie zauważają, że ktoś na szczeblu rządowym próbuje udaremnić ich wysiłki. Taka reakcja - lub raczej jej brak - może wynikać z faktu, że złośliwi użytkownicy całkowicie ignorują poczynania rządu. Podjęte do tej pory działania zaledwie dotknęły problemu. Pozytywnym aspektem jest to, że rządowa machina w końcu ruszyła i obrała dobry kierunek.

Wnioski

Obecnie jedynie firmy z branży bezpieczeństwa IT są w stanie walczyć z cyberprzestępczością. Jednak sytuacja pogarsza się - w coraz szybszym tempie. Zapewnienie bezpieczeństwa staje się z roku na rok trudniejsze.

Cyberprzestępczość staje się coraz bardziej zorganizowana i skonsolidowana. Niestety, współpraca po naszej stronie nie jest wystarczająca. Firmy antywirusowe, rząd i inne firmy nie są chętne do wymieniania się informacjami, w efekcie czego często tracony jest cenny czas, co utrudnia prowadzenie dochodzeń w sprawie cyberprzestępstw oraz wprowadzenie egzekucji odpowiednich zarządzeń.

Bez wątpienia nadal istnieje szansa naprawienia sytuacji, jednak wymaga to wspólnych działań. Oprócz opracowywania i udostępniania nowych technologii bezpieczeństwa, tylko zjednoczony front z aktywnym udziałem wszystkich zaangażowanych w walkę z cyberprzestępczością może coś zmienić.

Źródło:
Kaspersky Lab