Prim Hírek

A Symantec Jelentés az internetes veszélyekről című tájékoztatójának készítésekor a tendenciákat nagy mennyiségű adatot elemezve vázolták fel. A jelentés első része napjaink számítógépes támadásainak fő irányzataiba ad betekintést. Ennek alapjául egy több mint négyszáz cégre kiterjedő mintavétel szolgált. A következtetések a több mint harminc országban üzemelő, ezernél több behatolásérzékelő rendszer és tűzfal által a bekövetkezéssel egy időben észlelt számítógépes támadások statisztikai elemzésén alapulnak. A jelentés második részében a dokumentált sérülékenységek és a rosszindulatú programok által okozott járványok elemzése révén bepillantást nyerünk a veszélyeztetettség fő irányzataiba. Az itt olvasható következtetések sokmilliónyi céges és magánfelhasználó által a világ számtalan helyéről beküldött rosszindulatú programkódok statisztikai elemzéséből és a több mint hatezer bejegyzést tartalmazó sérülékenységi adatbázisból származnak.

A jelentés kifejezetten a tényszerű adatok elemzésén alapul. A Symantec teljes technikai és szolgáltatási kínálatát felhasználva ezek az adatok és elemzések az információvédelem teljes skáláját tartalmazzák.

Támadások, veszélyek

A számítógépes támadások, az informatikai termékek sebezhető pontjai és az újszerű rosszindulatú programokra való általános érzékenység formájában megjelenő veszélyek az elmúlt hat hónapban jelentősek maradtak. Tovább nőtt azon cégek veszélyeztetettsége, amelyek nem tették meg a megfelelő ellenintézkedéseket.

Az elmúlt hat hónap során a számítógépes támadások mennyisége - a férgek és az összetett veszélyek kivételével - 6%-kal csökkent az azt megelőző hat hónaphoz képest.

A százalékot számokra lefordítva: a cégek az elmúlt 6 hónap során hetente átlagosan 30 támadást észleltek. Ez az érték a megelőző félévben 32 volt. Ennek a tevékenységnek a 85%-a támadás előtti "puhatolózásnak" bizonyult, a fennmaradó 15% pedig valamely sérülékenység megkísérelt vagy sikeres kihasználása. A támadások számának az elmúlt hat hónap során tapasztalt csökkenése ellenére azok átlagos mennyisége 20%-kal magasabb volt, mint 2001 azonos időszakában.

A kritikus események előfordulási gyakorisága az utóbbi hat hónapban kismértékben csökkent az azt megelőző időszakhoz képest. A mintában szereplő cégek 21%-a legalább egy komoly támadást szenvedett el az elmúlt hat hónap során. Ez az érték a megelőző félévben 23% volt.

A támadások bizonyos időszakokban más-más mintát követtek. Mennyiségük és súlyosságuk a hét többi napjához képest szombaton és vasárnap számottevően alacsonyabb volt, ami megfelelt az előző hat hónap tapasztalatainak. Az időbeli ingadozás inkább a támadó rendszerek földrajzi helyén érvényes helyi idővel hozható összefüggésbe, semmint a megtámadottéval. Az internetre kapcsolódó szervezetek által észlelt támadások a greenwichi idő (GMT) szerinti 12 és 21 óra között csúcsosodtak ki, függetlenül az egyes hálózatok helyétől és az ottani helyi időtől. Úgy tűnik, ez több, nagy kapacitású helyi támadásforrás hozzávetőleg egyidejű csúcstevékenységének következménye.

A vállalatokat ért támadások relatív súlyossága és mennyisége továbbra is a tevékenységi kör, a méret és az ügyfelükként eltöltött évek függvénye. Továbbra is az energiaipari cégek tapasztalták a legtöbb kritikus eseményt. A nonprofit és a pénzügyi szolgáltatási szektorban ugyancsak több támadás fordult elő. Az alkalmazottak számát tekintve nagyobb cégek szintén több súlyosabb támadást tapasztaltak. Azoknál a vállalatoknál, ahol a védelem felügyelete hosszabb ideje működik, csökken a veszélyeztetettség. A védelmet 12 hónapnál rövidebb ideje felügyelő cégeknél a súlyosabb támadások aránya 29%, a 12 hónapnál régebben alkalmazóknál 17%.

A támadások kiindulási ország szerinti eloszlása az elmúlt 18 hónapban viszonylag állandó volt, bár néhány esetben az aktivitás jelentős ingadozását lehetett megfigyelni. A tíz legaktívabban támadó ország számlájára írható az elmúlt hat hónap eseményeinek 80%-a. Az Egyesült Államok továbbra is a legnagyobb részese ezeknek, onnan indult az összes támadás 35,4%-a. A Dél-Koreából kezdeményezett akciók száma az elmúlt hat hónap során 62%-kal nőtt, ezzel ez az ország az öszszes támadást tekintve a második helyre került. A tízezer internetezőre vetített támadások alapján az első csoportbeli országok között a vezető helyen áll. (Ebbe a csoportba a fejlett infrastruktúrájú, vagyis a több mint egymillió internetezővel rendelkező államok tartoznak). E tendencia egyik oka feltehetőleg Dél-Korea gyorsan növekvő magánfelhasználói célú széles sávú infrastruktúrája. Ha nem alkalmaznak széles körben védelmet, a széles sávú elérés terjedésével más országokban is nőhet a rosszindulatú tevékenység mértéke. Egyes kelet-európai államokban a tízezer felhasználóra vetített támadások száma nagynak mondható. Az első csoport országai közül Lengyelország és a Cseh Köztársaság áll a második és a harmadik helyen, míg Románia, Lettország, Litvánia és Szlovákia a második csoport országai között szerepel. (Ebbe a százezernél több, de egymilliót meg nem haladó számú internetezővel rendelkező országok tartoznak.)

Az elmúlt félév során a Symantec nem tapasztalta a számítógépes terrorizmus bizonyítható jelét. Az emiatt figyelemmel kísért országok jegyzékén szereplő államokból érkező támadások az összes káros tevékenység kevesebb mint 1%-át tették ki.

Az eseményekre több mint 50%-ban a belső visszaélések miatt kellett reagálni. A túlsúlyban lévő külső támadások mellett az ügyfelek úgy értékelték, hogy a belső visszaélések által okozott kár is különösen nagy volt. Az elkövetés viszonylag egyszerű módja és a saját becslésen alapuló magas kárérték arra figyelmeztet, hogy rendkívül fontos a belső veszélyek elleni védekezés.

Sebezhető pontok

A Symantec 2524 új sebezhető pontot dokumentált az elmúlt hat hónapban, amely a 2001. évihez képest 81,5%-os növekedést jelent. Napi átlagban hét új sérülékenységet jegyeztek fel a Symantec elemzői az elmúlt év során. A növekedés lehetséges okaként a gyártói felelősség kizárására való törekvés, a szoftverhibák kihasználásának egyes új módszerei és a sérülékenységeket kutatók iránt megnövekedett sajtóérdeklődés említhető. Az új sérülékenységek számának növekedése a közepesen vagy nagyon veszélyes sérülékenységek mennyiségének meredek emelkedésére vezethető vissza. A 2002-ben leírt, közepesen vagy nagyon veszélyes sérülékenységek száma 84,7%-kal volt magasabb a 2001. évinél. Összehasonlításképpen: a kevéssé veszélyes sérülékenységek száma csupán 24%-kal nőtt 2001-hez képest. Ezt a tendenciát láthatólag leginkább a kívülről támadható webes alkalmazások gyors kifejlesztése és alkalmazásba vétele erősíti.

Az elmúlt néhány év alatt semmi sem változott azon a téren, hogy az új sérülékenységeket viszonylag könnyen kihasználhatják a támadók. Körülbelül 60%-uk könnyen kihasználható, mert ehhez vagy egyáltalán nincs szükség megfelelő programra, vagy mert az széles körben hozzáférhető. Mindamellett a kihasználásukhoz külön programot igénylők csupán 23,7%-ához áll rendelkezésre ilyen, szemben a 2001. évi 30%-kal.

A 2002-ben felbukkant sérülékenységek alapján számos olyan jövőbeni veszély jelentkezett, amelyet még csak éppen elkezdtek alkalmazni a támadók és a rosszindulatú programok írói. Az ismert összetett veszélyek csak töredékét használják ki az eddig leírt sérülékenységeknek. Míg a korábbi összetett veszélyek sikeresen használták ki a hónapok óta ismert sebezhető pontokat, úgy tűnik, hogy a mostanában felfedezett sérülékenységek nagy része még jó ideig a támadások jelentős mértékben kihasználható célpontja marad.

Számos elterjedten használt, nyílt forráskódú alkalmazást láttak el trójai célra "hátsó ajtóval" a múlt év során. A támadások a nagy forgalmú terjesztő webhelyekre irányultak, amelyek jelentős erőfeszítéseket tettek saját védelmük érdekében. Ez figyelmeztetésül szolgálhat nemcsak más nyílt forráskódú projektek, hanem a kereskedelmi szoftverek gyártói számára is. Az egyedi rendszerek helyett a támadók nyíltan keresik az olyan lehetőségeket, amelyekkel rövid idő alatt nagyszámú rendszert befolyásolhatnak.

A webes felhasználói programok sebezhető pontjaira, különösen azokra, amelyek a Microsoft Internet Explorerre hatnak, idén különösen oda kell figyelni. A múlt évben ugyanis ezek száma és veszélyessége nagymértékben nőtt.

A rosszindulatú programok

Az internetes közösség számára a legnagyobb kockázatot továbbra is az öszszetett veszélyek jelentik. (Az összetett veszélyek a vírusok, a férgek, a trójai és a rosszindulatú programok tulajdonságait a szerverek, valamint az internetes sérülékenységek kihasználásával ötvözve indítják, viszik át, és terjesztik el a támadást. Többféle módszert és eljárást használva gyakran igen gyorsan terjednek, és széles körben okoznak károkat.)

Három összetett veszély (a Klez, a Bugbear és az Opaserv) tette ki az elmúlt hat hónap során a Symantec Security Response-hoz beérkezett rosszindulatú programrészletek közel 80%-át. Ezek továbbra is sikeresen használják ki az olyan kritikus pontokat, amelyek már legalább egy hónapja ismertek, így az internetes közösség egésze továbbra is nagyon sebezhetőnek tűnik az új összetett veszélyekkel szemben.

A fertőzés hordozói (a sérülékenység kiaknázásának módszerei) és a baj okozójának célpontjai is megváltoztak az elmúlt hat hónap során. Az öntöbbszöröző tömeglevelet küldők száma meredeken emelkedett. Az elmúlt félévben leggyakrabban jelzett ötven veszély közül nyolc öntöbbszöröző tömeglevél volt, míg 2001-ben csupán egy ilyen szerepelt a "Top 50"-ben.

A bizalmas felhasználói információk ellopására szakosodott rosszindulatú programok az elmúlt év során jelentősen elszaporodtak. Az üzleti titkok, a kényes pénzügyi információk és más magánjellegű adatok nyilvánosságra kerülésének lehetősége nagyságrendekkel megnövelheti a kár lehetséges mértékét.

A tömeges felhasználás piacára most belépő technikai eljárások igen kedvező lehetőséget jelentenek a rosszindulatú programírók számára. A közvetlen üzenetküldő és az egyenrangú hálózati (P2P) alkalmazások piaci térhódítása és növekvő jogtalan használata ezeket a programokat a jövő összetett veszélyeinek fertőzésközvetítőivé teszi.

A jövő veszélyeztetett készülékei között már ott vannak a mobilok - a mobileszközöktől 2003-ban és 2004-ben erősebb piaci térhódítást várnak. Ezek gyakorta meglehetősen gyenge védelemmel kerülnek használatba, s ezáltal a jövő rosszindulatú programjainak nagyon hatékony terjesztői lehetnek.