Ewolucja złośliwego oprogramowania 2005

Przeczytaj także: Ewolucja złośliwego oprogramowania 2008

Niestety, bezpieczeństwo nie opiera się tylko na szybkości, z jaką producenci oprogramowania antywirusowego reagują na nowe zagrożenia. Użytkownicy muszą pamiętać o instalowaniu łat, które usuwają luki w zabezpieczeniu systemu operacyjnego i innych wykorzystywanych przez nich programach. Co się stanie, jeśli użytkownicy nie zastosują się do tych zasad, wyraźnie widać na przykładzie luki opisanej w biuletynie firmy Microsoft MS05-39. Incydent, jaki miał miejsce w sierpniu 2005 roku, po raz kolejny potwierdził beztroskę użytkowników i aktywność cyberprzestępców.

9 sierpnia 2005 r. Microsoft udostępnił łatę na wspomnianą lukę. Trzy dni później (12 sierpnia) pojawił się kod typu "proof of concept". Twórcy wirusów potrzebowali kolejnych dwóch dni na stworzenie pierwszego złośliwego programu wykorzystującego lukę. 14 sierpnia został wypuszczony robak Zotob, który sparaliżował sieci kilku dużych firm. Powyższy wykres ukazuje rozwój sytuacji: gwałtownie wzrosła liczba złośliwych programów opartych na exploicie Exploit.Win32.MS05-39. Wniosek, jaki można wysnuć, jest następujący: niezwłoczne instalowanie łat jest tak samo istotne jak regularna aktualizacja antywirusowych baz danych. Ma to szczególne znaczenie w sytuacji, gdy twórcy wirusów aktywnie czekają na pojawianie się nowych exploitów typu "proof of concept", które wykorzystują krytyczne luki, a ich identyfikacja nieuchronnie prowadzi do wzrostu aktywności wirusów.

Głównym powodem do niepokoju są exploity "zero-day" wykorzystujące krytyczne luki. Szybkość, z jaką twórcy wirusów reagują na wykrycie nowych luk w zabezpieczeniach, może doprowadzić do pandemii.

Dlaczego szybkość reakcji na nowe zagrożenia ma tak ogromne znaczenie? Z danych wynika, że masowe rozesłanie złośliwych programów na kilka milionów adresów przy użyciu botneta (sieci zainfekowanych maszyn) zajmuje około dwóch godzin. W rezulatcie, każda dodatkowa minuta może oznaczać tysiące, a nawet setki tysięcy potencjalnych, nowych ofiar. Dlatego tak ważna jest szybkość reakcji firm antywirusowych.

Czynnik ludzki

W bezpieczeństwie IT ogromne znaczenie ma czynnik ludzki. Przykładem może być wspomniana wyżej luka MS05-39. Wielu z użytkowników nie zainstalowało łaty, chociaż miało na to aż pięć dni. W niektórych przypadkach zawiodły stosowane przez firmy polityki bezpieczeństwa lub ich ograniczenia. Jednak wielu użytkowników wykazało się po prostu typowo ludzkimi cechami: beztroską lub lenistwem.

Kolejny przykład ma związek z robakiem Monikey, który rozprzestrzeniał się w wiadomościach e-mail informujących odbiorców, że ktoś przesyła im kartkę elektroniczną. Wiadomości zawierały odsyłacze do umieszczonego na różnych stronach kodu robaka. Wielu administratorów usunęło kod robaka ze stron www, ale nie zablokowało kanałów wykorzystywanych przez złośliwe programy do penetrowania stron. W rezultacie, złośliwe programy powracały na te strony.

Niestety, nieostrożność można zarzucić nie tylko indywidualnym użytkownikom, ale także dużym korporacjom. W 2005 roku w sprzedaży pojawiły się legalne produkty zawierające złośliwy kod, takie jak wymienne nośniki danych, oprogramowanie oparte na technologiach antywirusowych itd. Ciekawy incydent miał miejsce pod koniec 2005 roku, gdy rosyjskie biuro wysyłające rachunki za usługi komunalne podało klientom chcącym uregulować należności poprzez Internet nieistniejącą domenę himbank.ru. Nie trzeba mówić, że każdy mógł zarejestrować na siebie tę domenę, a następnie opróżnić elektroniczne portfele niczego niepodejrzewających odbiorców rachunków. Z podanego adresu w krótkim czasie próbowało skorzystać kilkuset użytkowników.

W tym miejscu warto omówić socjotechnikę jako metodę stosowaną przez twórców wirusów do wykorzystywania ludzkich słabości. Twórcy wirusów nieustannie poszukują nowych i coraz bardziej wyrafinowanych sposobów, które pozwolą ich tworom na przeniknięcie do komputerów i sieci.