Symantec: Jelentés az internetes veszélyekről
A Symantec "Jelentés az internetes veszélyekről" című tájékoztatója szabatos, átfogó összefoglaló a jelenlegi számítógépes veszélyek irányzatairól. A tendenciákat nagy mennyiségű, a veszélyekre vonatkozó adat elemzéséből vezették le.
A jelentés kifejezetten a tapasztalati adatok elemzésén alapul. A Symantec teljes technikai és szolgáltatási kínálatát felhasználva ezek az adatok és elemzések az információvédelem teljes skáláját, a sérülékenységek és a rosszindulatú programkódok elemzését, valamint a hálózat felől érkező számítógépes támadásokat is tartalmazzák. Ennek a tudásnak a közzétételével a Symantec az információbiztonsággal foglalkozó közösség tagjai számára módot ad arra, hogy felmérhessék cégük, az iparág és az egész internetes közösség jelenlegi és a jövőbeni védelmi stratégiáját.
A számítógépes támadások, az informatikai termékek sebezhető pontjai és az újszerű rosszindulatú programokra való általános érzékenység formájában megjelenő veszélyek az elmúlt hat hónapban jelentősek maradtak és továbbra is folyamatosan jelentkeztek. Tovább nőtt azon cégek veszélyeztetettsége, amelyek nem tették meg a megfelelő ellenintézkedéseket. Ezeket a tapasztalatokat az alábbi alcímek alatt található megállapítások támasztják alá: A számítógépes támadások; A sérülékenységek; A rosszindulatú programok.
A számítógépes támadások
Az elmúlt 6 hónap során a számítógépes támadások mennyisége - a férgek és az összetett veszélyek által kiváltottak kivételével - 6%-kal csökkent az azt megelőző 6 hónaphoz képest.
- Hetente átlagosan 30 támadást észleltek a cégek az elmúlt 6 hónap során. Ez az érték a megelőző fél évben 32 volt.
- Ennek a tevékenységnek a 85%-a támadás előtti "puhatolózásnak" bizonyult, a fennmaradó 15% valamely sérülékenység megkísérelt vagy sikeres kihasználása volt.
- A támadások számának az elmúlt hat hónap során tapasztalt csökkenése ellenére a támadások átlagos mennyisége az elmúlt 6 hónapban is 20%-kal magasabb volt, mint 2001 azonos időszakában.
A kritikus események előfordulási gyakorisága az utóbbi hat hónapban kis mértékben csökkent az azt megelőző hat hónaphoz képest.
- A mintában szereplő cégek 21%-a legalább egy komoly támadást szenvedett el az elmúlt 6 hónap során. Ez az érték a megelőző fél évben 23% volt.
- A kritikus események jelenlegi előfordulási gyakorisága jóval alacsonyabb, mint ahogy az 2001 azonos hat hónapja során tapasztalható volt.
A támadások bizonyos időszakokban más-más mintát követtek.
- A támadások mennyisége és súlyossága a hét többi napjához képest szombaton és vasárnap számottevően alacsonyabb volt. Ez megfelelt az előző hat hónap tapasztalatainak.
- A támadások ingadozása inkább a támadó rendszerek földrajzi helyén érvényes helyi idővel hozható összefüggésbe, semmint a megtámadottéval.
- Az internetre kapcsolódó szervezetek által észlelt támadások észlelhetően a greenwichi idő szerinti (GMT) 12 és 21 óra között csúcsosodtak ki, függetlenül az egyes hálózatok helyétől és az ottani helyi időtől. Ez több, nagy kapacitású helyi támadásforrás hozzávetőlegesen egyidejű csúcstevékenysége következményének tűnik.
A vállalatokat ért támadások relatív súlyossága és mennyisége továbbra is a tevékenységi kör, a méret és a Symantec ügyfeleként eltöltött évek függvénye.
- Továbbra is az energiaipari cégek tapasztalták a legtöbb támadást és kritikus eseményt.
- A nonprofit és a pénzügyi szolgáltatási szektorban is több támadás és kritikus esemény fordult elő.
- A nagyobb cégek (az alkalmazottak számát tekintve) szintén több és súlyosabb támadást tapasztaltak.
- Azoknál a cégeknél, ahol a védelem felügyelete hosszabb ideje működik, csökken a veszélyeztetettség. A védelmet 12 hónapnál rövidebb ideje felügyelő cégeknél a súlyosabb támadások aránya 29%, az ezt 12 hónapnál régebben alkalmazóknál 17%.
A támadások kiindulási ország szerinti eloszlása az elmúlt 18 hónapban viszonylag állandó volt, de néhány esetben az aktivitás jelentős ingadozása is megfigyelhető volt. (A támadások "valódi" forrásának kinyomozása módfelett nehéz. A támadók több rendszeren és országon átugorva juthatnak el a megcélzott rendszerhez. Ennek következtében a jelen megállapításokban hivatkozott adatok csak a célba érést közvetlenül megelőző utolsó ugrásra vonatkoznak.)
- A tíz legaktívabban támadó ország számlájára írható az elmúlt hat hónap támadásainak 80%-a. Az Egyesült Államok továbbra is a legnagyobb részese ezeknek, innen eredt az összes támadás 35,4%-a.
- A Dél-Koreából származó támadások száma az elmúlt hat hónap során 62%-kal nőtt, ezzel ez az ország az összes támadást tekintve a második helyre került. A tízezer internetezőre vetített támadásokat tekintve az első csoportbeli országok között a vezető helyen áll. (A tízezer internetezőre eső támadások kiértékelésekor az országokat két csoportba sorolta a Symantec. Az első csoporthoz tartozó országokhoz az egymillió internetezőnél többel rendelkező országok tartoznak, a másodikba a százezernél több, de egymilliót meg nem haladó számú internetezővel rendelkezők. Ez a besorolás különválasztja a viszonylag jó infrastruktúrájú országokat a fejlődőben levő internetes infrastruktúrájúaktól.) Ennek a tendenciának az egyik oka feltehetőleg Dél-Korea gyorsan növekvő magánfelhasználói célú szélessávú infrastruktúrája. Ha nem alkalmaznak széles körben védelmet, a szélessávú elérés elterjedésével más országokban is nőhet az őket érintő és a tőlük kiinduló rosszindulatú tevékenység.
- Egyes kelet-európai országokban a tízezer felhasználóra vetített támadások száma magas. Az első csoport országai közül Lengyelország és a Cseh Köztársaság áll a második és harmadik helyen, míg Románia Lettország, Litvánia és Szlovákia mind a második csoport országai közt szerepel.
Az elmúlt fél év során a Symantec nem tapasztalta a számítógépes terrorizmus bizonyítható jelét.
- A számítógépes terrorizmus miatt figyelemmel kísért országok jegyzékén szereplő országokból érkező támadások az összes káros tevékenység kevesebb mint egy százalékát tették ki.
Az eseményekre több mint 50%-ban a belső visszaélések miatt kellett reagálni.
- A túlsúlyban levő külső támadások mellett az ügyfelek úgy értékelték, hogy a belső visszaélések okozta kár is különösen nagy volt.
- Az elkövetés viszonylag egyszerű módja és a saját becslésen alapuló magas kárérték arra figyelmeztet, hogy rendkívül fontos a belső veszélyek elleni védekezés.
A sérülékenységek
A Symantec 2524 új sérülékenységet dokumentált az elmúlt hat hónapban, amely a 2001. évihez képest 81,5%-os növekedést jelent.
- Átlagosan napi hét új sérülékenységet jegyeztek fel a Symantec elemzői az elmúlt év során.
- A növekedés lehetséges okaként a gyártói felelősség kizárására való törekvés, a szoftverhibák kihasználásának egyes új módszerei és a sérülékenységeket kutatók iránt megnövekedett sajtóérdeklődés említhető.
Az új sérülékenységek számának növekedése a közepesen vagy nagyon veszélyes sérülékenységek számának meredek emelkedésére vezethető vissza.
- A 2002-ben leírt közepesen vagy nagyon veszélyes sérülékenységek száma 84,7%-kal volt magasabb a 2001. évinél. Összehasonlításképpen: a kevéssé veszélyes sérülékenységek száma csupán 24%-kal nőtt 2001-hez képest.
- Ezt a tendenciát láthatólag leginkább a kívülről támadható webes alkalmazások gyors kifejlesztése és alkalmazásba vétele erősíti.
Az elmúlt néhány év alatt semmi sem változott azon a téren, hogy az új sérülékenységeket viszonylag könnyen kihasználhatják a támadók.
- Az új sérülékenységek körülbelül 60%-a könnyen kihasználható, mert vagy egyáltalán nincs szükség a kihasználásához megfelelő programra, vagy azért, mert az széles körben hozzáférhető.
- Mindamellett a kihasználásukhoz külön programot igénylő sérülékenységek csupán 23,7%-ához áll jelenleg rendelkezésre ilyen program, szemben a 2001. évi 30%-kal.
A 2002-ben felbukkant sérülékenységek alapján számos, igen káros jövőbeni veszély jelentkezett, amelyeket még csak éppen elkezdtek alkalmazni a támadók és a rosszindulatú programok írói.
- Az ismert összetett veszélyek csak egy töredékét használják ki az eddig leírt sérülékenységeknek. Míg a korábbi összetett veszélyek sikeresen használják ki a már hónapok óta ismert sebezhető pontokat, úgy tűnik, hogy a mostanában felfedezett sérülékenységek jó része továbbra is a jövőbeni támadások jelentős mértékben kihasználható célpontja marad.
- Számos elterjedten használt, nyílt forráskódú alkalmazást láttak el trójai célra "hátsó ajtóval" a múlt év során. A támadások a nagy forgalmú terjesztő webhelyekre irányultak, amelyek jelentős erőfeszítéseket tettek saját védelmük érdekében. Ez figyelmeztetésül szolgálhat nem csak más, nyílt forráskódú projektek, hanem a kereskedelmi szoftverek gyártói számára is. Az egyedi rendszerek megtámadása helyett a támadók nyíltan keresik az olyan lehetőségeket, amelyekkel rövid idő alatt nagyszámú rendszert befolyásolhatnak.
- A webes felhasználói programok sebezhető pontjaira, különösen azokra, amelyek a Microsoft Internet Explorerére hatnak, idén különösen oda kell figyelni. A múlt évben ezeknek a sebezhető pontoknak a száma és veszélyessége nagymértékben nőtt.
A rosszindulatú programok
Az internetes közösség számára a legnagyobb kockázatot továbbra is az összetett veszélyek jelentik. (Az összetett veszélyek a vírusok, a férgek, a trójaiak és a rosszindulatú programok tulajdonságait a szerverek és az internetes sérülékenységek kihasználásával ötvözve indítják, viszik át és terjesztik el a támadást. Az összetett veszélyek többféle módszert és eljárást használva gyakran igen gyorsan terjednek, és széles körben okoznak károkat.)
- Három összetett veszély (a Klez, a Bugbear és az Opaserv) tette ki a Symantec Security Response-hoz az elmúlt hat hónap során beérkezett rosszindulatú programrészletek közel 80%-át.
- A Symantec ügyfélköre által észlelt számítógépes támadások nagy részét csupán néhány régi és új összetett károkozó, például a Bugbear, a Nimda és a Code Red okozta.
- A mostani rosszindulatú programok, például a Bugbear továbbra is sikeresen használják ki az olyan sebezhető pontokat, amelyek már legalább egy hónapja ismertek, így az internetes közösség egésze továbbra is nagyon sebezhetőnek tűnik az új összetett veszélyekkel szemben, amelyek terjedésükhöz az ismert sebezhető pontokat használják ki.
A fertőzés hordozói (a sérülékenység kiaknázásának módszerei) és magának a bajt okozónak a célpontjai is megváltoztak az elmúlt hat hónap során.
- Az öntöbbszöröző tömeglevélküldők száma meredeken emelkedett. Az elmúlt hat hónap során leggyakrabban jelzett ötven veszély közül nyolc öntöbbszöröző tömeglevélküldő volt, míg 2001-ben csupán egy ilyen volt az ötven között.
- A bizalmas felhasználói információk ellopására szakosodott rosszindulatú programok az elmúlt év során jelentősen elszaporodtak. Az üzleti titkok, a kényes pénzügyi információk és más magánjellegű adatok nyilvánosságra kerülésének lehetősége nagyságrendekkel megnövelheti a kár lehetséges mértékét.
A tömeges felhasználás piacára most belépő technikai eljárások igen kedvező lehetőséget jelentenek a rosszindulatú programíróknak.
- A közvetlen üzenetküldő és az egyenrangú hálózati (P2P) alkalmazások nagy piaci térhódítása és növekvő jogtalan használata ezeket a programokat a jövő összetett veszélyeinek fertőzésközvetítőivé teszi.
- A mobileszközöktől 2003-ban és 2004-ben erősebb piaci térhódítást várnak. Ezek az eszközök gyakorta meglehetősen gyenge védelemmel kerülnek használatba, ezáltal a jövő rosszindulatú programjainak nagyon hatékony terjesztői lehetnek.
Kapcsolódó cikkek
- Amire 2004 óta nem volt példa: 3-as veszélyeztetettségi fokozat a neten
- Veszélyes hiba a Symantec vírusirtóiban
- Jó tanácsok a kémszoftverek ellen
- Jelentősen nőttek a vírustámadások az elektronikus kereskedelemben
- Olcsóbb Norton Antivirus Thaiföldön
- Felbukkanó veszélyforrások továbbfejlesztett előrejelzése a Symantec-nél
- Még több támadás érheti majd a windowsos rendszereket 2004-ben
- Egyre hamarabb jelennek meg a hibákra épülő vírusok
- Egyelőre nincs MSBlaster II féreg
- Új Windows vírus a láthatáron?