Amíg a múltban a támadások célja az adatrombolás volt, a mai behatolások egyre inkább az adatok csendben, nyereségvágyból történő ellopására irányulnak, és nem okoznak semmilyen észrevehető károsodást, amely a felhasználók figyelmét felhívná a jelenlétükre. Az internetes veszélyekről szóló jelentés előző számában a Symantec figyelmeztetett arra, hogy a hasznot hajtó rosszindulatú programok elszaporodóban vannak, s ez 2005 második félévében csak fokozódott. A titkos információt felfedni képes rosszindulatú programok aránya a leggyakrabban beküldött programminták között 74 százalékról 80 százalékra nőtt.

„Ma a számítógépes bĹąnözés jelenti a fogyasztók digitális életmódja és az internetes üzlet ellen irányuló legnagyobb veszélyt" – mondta Arthur Wong, a Symantec Security Response és Managed Security Services területért felelős alelnöke.

A jelentés a támadók által használt bothálózatok, a webalkalmazások és a böngészők elleni támadások, valamint a moduláris rosszindulatú programok szaporodásával is részletesen foglalkozik. Erre és az előző jelentés időszakára alapozva a Symantec azt feltételezi, hogy egyre változatosabb és kifinomultabb eszközök születnek a számítógépes bĹąncselekmények elkövetésére.

Nő a számítógépes bĹąnözés eszközeinek hatótávolsága és funkcionalitása

A Symantec előző jelentésében már megjegyzi, hogy a támadók kezdenek felhagyni a nagy, többcélú, a hagyományos védelmi eszközöket, tĹązfalakat és útválasztókat célba vevő támadásokkal. Ehelyett a helyi célpontokra, az asztali gépekre és a webalkalmazásokra összpontosítanak, hogy megszerezzék a céges, személyes pénzügyi vagy titkos információkat, amelyeket aztán további bĹąncselekményekhez használnak fel.

A támadóknak a számítógép feletti jogtalan uralmat biztosító, bot néven ismert programok is hozzájárultak a számítógépes bĹąnözés fokozódásához. Bár az előző időszakhoz képest 11 százalékkal kevesebb bottal fertőzött számítógépet találtak – naponta átlagosan 9163 ilyen rendszert észleltek –, a bothálózatokat nagyobb mértékben használják bĹąncselekményre, például szolgáltatást lehetetlenné tevő (DoS) támadással való zsarolásra. A Symantec úgy véli, hogy ez csak része a teljes tevékenységnek, és a fertőzöttség a valóságban sokkal nagyobb. Átlagosan 1402 DoS-támadást figyeltek meg naponta, ami 51 százalékkal több, mint az előző jelentés időszakában. A szakértők szerint ez a tendencia tovább folytatódik, mivel a támadók egyre több webes alkalmazás és böngésző sérülékenységét fogják kihasználni.

A Symantec a moduláris rosszindulatú programok esetében is növekedést tapasztalt. A moduláris programok kezdetben kevés funkcióval bírnak, azonban képesek magukat új, jóval kártékonyabb képességekkel kibővíteni. Gyakran olyan titkos információkat fednek fel, amelyeket személyazonosság ellopására, bankkártyacsalásra vagy más pénzügyi bĹąncselekményre használhatnak. 2005 utolsó hat hónapjában a Symantecnek jelzett 50 leggyakoribb rosszindulatú programkód 88 százaléka moduláris volt. Az előző periódusban ez az érték csak 77 százalékot tett ki.

További fontos megállapítások

A bottal fertőzött számítógépek számát tekintve Kínában tapasztalták a legnagyobb mértékĹą, 37 százalékos emelkedést, ami 24 százalékponttal magasabb az átlagos növekedésnél. Ezzel a távol-keleti ország ebben a kategóriában másodikként felzárkózott az Egyesült Államok mögé. A növekedés valószínĹąleg összefügg a széles sávú internetkapcsolatok gyors terjedésével. Kínában figyelték meg a legnagyobb növekedést a támadások kiindulási helyét figyelembe véve is. Az előző időszakhoz képest 153 százalékos emelkedést regisztráltak, ami 72 százalékponttal magasabb érték az átlagos növekedésnél – ennek forrását a botok jelentik.

A felhasználó becsapásával titkos információk megszerzésére irányuló adathalászat – immár a kisebb, helyi célpontokra összpontosítva – tovább terjedt 2005 második felében. Az előző időszak napi 5,7 millió próbálkozásával szemben napi 7,92 millió adathalászó kísérletet ismertek fel. A Symantec azt várja, hogy az adathalászó üzenetek és a közvetlenüzenet-rendszereken keresztül terjesztett rosszindulatú programok száma tovább nő.

A Symantec 1895 új szoftversérülékenységet jegyzett fel. 1998 óta ez a legnagyobb érték. 97 százalékuk közepesen vagy nagyon komoly, 79 százalékuk pedig könnyen kihasználható.

Annak érdekében, hogy rámutasson az operációs rendszer és az alkalmazások gyors hibajavításának fontosságára, a Symantec megmérte a szokásos környezetben – webszervereken és asztali gépeken – újonnan telepített operációs rendszerek megrongálásáig eltelt időt. A kiszolgálók közül a hibajavítások nélküli Windows 2000 Server esetében kellett a legrövidebb idő a veszélyeztetéshez, míg a hibajavításokkal ellátott Windows 2003 Web Edition és a hibajavítás nélküli, illetve azzal rendelkező RedHat Enterprise Linux 3 nem került veszélybe a próba ideje alatt. Az asztali rendszereknél a hibajavítás nélküli Microsoft Windows XP Professional veszélybe jutásához kellett a legrövidebb idő, míg ugyanez a rendszer az összes hibajavítással felvértezve, illetve a SuSE Linux 9 Desktop nem került veszélybe.

Lassú reakció, féregmutánsok

A felfedezett sérülékenységek növekvő száma mellett a Symantec azt a sebességet is figyeli, amellyel a szervezetek képesek a sérülékeny rendszerek kijavítására. A tárgyalt időszak alatt átlagosan 6,8 nap telt el egy sérülékenység bejelentése és az azt kihasználó programkód megjelenése között. Ez az előző időszak alatt 6 nap volt. Átlagosan 49 napba telt, amíg a gyártó a nyilvánosságra került sérülékenységre hibajavítást jelentetett meg. Ebből következően a vállalatok és a magánfelhasználók 42 napon át érzékenyek egy esetleges támadásra. Ez rávilágít arra, hogy a felhasználóknak, amilyen hamar csak lehet, alkalmazniuk kell a hibajavítást, vagy más óvintézkedést kell tenniük. A Symantec feltételezése szerint a sérülékenységkutatás elüzletiesedése fokozódik, a feketepiaci fórumok szaporodnak, és növekszik a sérülékenységi információk bĹąnözési célra történő értékesítése.

A Symantec kismértékĹą növekedést tapasztalt az új Win32 vírus- és féregváltozatok terén. A mostani időszakban 10 992-t találtak, míg az előzőben 10 866-ot. Ez az irányzat része a 3. és 4. kategóriába tartozó (közepesen vagy különösen súlyos) veszélyek figyelemre méltó csökkenésének, illetve az 1. és 2. kategóriájú (igen enyhe és enyhe) veszélyek hasonló növekedésének. Az új Win32 vírus- és féregcsaládok száma 39 százalékkal csökkent. Míg 2005 első felében 170 új családot találtak, a mostani jelentés időszakában már csak 104-et. Ez azt sugallja, hogy a rosszindulatú programok fejlesztői inkább a már forgalomban lévő forráskódot módosítják, mint hogy új veszélyforrásokat hozzanak létre a semmiből.

***

Jó tanácsok a magánfelhasználóknak

A rosszindulatú programokkal és más veszélyekkel szemben elérhető legnagyobb mértékĹą védelem érdekében használjanak olyan internetes védelmi megoldást, amely a víruselhárítást, a tĹązfalat, a behatolásérzékelést és a sérülékenységkezelést egyesítve tartalmazza!

Gondoskodjanak arról, hogy a védelmi javítások naprakészek legyenek, és minden sebezhető alkalmazásra felkerüljenek!

Ügyeljenek arra, hogy a jelszavak betĹąk és számok keverékéből álljanak! Ne használjanak szótári szavakat! Gyakran cseréljék a jelszavakat!

Soha ne nézzenek vagy nyissanak meg, illetve indítsanak el semmilyen e-mail csatolmányt, kivéve, ha azt várták, és tudják, hogy mire szolgál!

Rendszeresen frissítsék a vírusirtó azonosítóit! A legfrissebb vírusazonosítók telepítésével megvédhetik számítógépünket a legújabb, vadon tenyésző vírusoktól.

A Symantec Security Check (http://www.symantec.com/securitycheck) segítségével ellenőrizzék rendszeresen, hogy PC-jük vagy Macintoshuk sebezhető-e!

Minden komputerfelhasználónak tudnia kell, hogyan lehet felismerni a számítógépes beugratásokat és az adathalászatot! A beugratások többnyire egy hamis figyelmeztetést tartalmazó e-mail formájában, „küldd tovább minden ismerősödnek" felszólítás kíséretében terjednek, és becsapós szakmai zsargonnal próbálják ijesztgetni, félrevezetni a felhasználókat. Az adathalászó csalások jóval rafináltabbak. Az e-mailben érkező, adathalászó átverés látszólag egy valódi szervezettől származik, és arra akarja rávenni a felhasználót, hogy bankkártyaszámát vagy más titkos információját adja meg egy olyan webhelyen, amely hasonlít a valódi szervezetéhez. Ajánlatos elgondolkodni rajta, hogy ki is az információ feladója, és meggyőződni róla, hogy megbízható-e a forrás. A legjobb egyszerĹąen törölni az ilyen e-maileket.

A magánfelhasználók azzal segíthetik a számítógépes bĹąnözés viszszaszorítását, hogy kinyomozzák és jelentik a behatolókat. A Symantec Security Check által nyújtott nyomozószolgáltatás segítségével a felhasználó gyorsan azonosíthatja a feltételezett támadó helyét, és ezt az információt továbbíthatja a támadó internetszolgáltatójának vagy a helyi rendőrségnek.

Legyenek tisztában a reklám- és kémszoftverek közötti különbséggel! A reklámszoftvereket gyakran használják jogszabályba nem ütköző módon, rendszerint jóindulatú céllal, marketing-adatgyĹąjtésre. A kémszoftvereket viszont bĹąnös szándékkal, például a személyazonosság ellopására használják.

A kém- és a reklámszoftverek a fájlmegosztó programokkal, az ingyenes letöltésekkel, a szabad vagy ingyen kipróbálható (shareware) szoftverekkel, az e-mailekben található linkekre kattintással vagy a közvetlenüzenet-rendszerek felhasználói programjaival önmĹąködően képesek települni a számítógépre. Ezért a felhasználóknak tájékozottnak kell lenniük, és meg kell válogatniuk, mit telepítenek a számítógépükre.

A végfelhasználói licencszerződésnél (EULA) nem szabad csak úgy rákattintani az „Elfogadom" gombra! Némely kém- és reklámszoftver a licencszerződés elfogadásának következményeként telepítődhet. Alaposan végig kell olvasni a licencszerződést, hogy mit ír a titkosságról! Világosan benne kell lennie, hogy mit tesz a termék, és lehetőséget kell biztosítania az eltávolításra.

Óvakodjunk az olyan programoktól, amelyek reklámokat „dobnak fel" a kezelőfelületre! Sok kémszoftver azt figyeli, hogy miként reagálunk az ilyen reklámokra, és jelenlétük veszélyt jelent. Ha a program kezelőfelületén reklámok láthatók, akkor lehetséges, hogy kémszoftverrel állunk szemben

***

Jó tanácsok a vállalatok számára

Helyezzék előtérbe a többféle, egymást átfedő és kölcsönösen segítő védelmi rendszerek használatát, hogy biztonságban legyenek bármely technika vagy védelmi módszer kiesése esetén! Ebbe beletartozik a víruselhárító, a tĹązfal, a behatolást észlelő és elhárító rendszerek telepítése a felhasználói rendszerekre.

Kapcsolják ki és távolítsák el a szükségtelen szolgáltatásokat!

Ha egy rosszindulatú program megtámadott egy vagy több hálózati szolgáltatást, a javítás megtörténtéig tiltsák le azokat, vagy ne engedjék meg ezekhez a hozzáférést!

A rendszerek hibajavításai legyenek mindig naprakészek, különösen azokon a számítógépeken, amelyeken nyilvános szolgáltatás fut, és a tĹązfalon át elérhető. Ilyen például a HTTP-, FTP-, levelező- és DNS-szolgáltatás.

Szabályozzák a jelszavak használatát!

A levelezőszervereket úgy állítsák be, hogy megállítsák vagy eltávolítsák a vírusok terjedésében általános szerepet játszó csatolmányokat, így a .vbs, .bat, .exe, .pif és .scr kiterjesztésĹą fájlokat tartalmazó leveleket.

A fertőzött számítógépeket gyorsan különítsék el, hogy ezzel megakadályozzák a szervezethez tartozó további gépek veszélyeztetését! Alaposan elemezzék, és megbízható adathordozóról állítsák helyre a komputereket!

Oktassák ki az alkalmazottakat arra, hogy nem várt, ismeretlen vagy nem megbízható helyről érkező csatolmányt ne nyissanak meg! Amíg nem ellenőrizték, hogy fertőzött-e egy internetről letöltött program, ne indítsák el azt!

Gondoskodjanak arról, hogy legyen vészhelyzeti eljárásuk! Ehhez az esetleges sikeres támadás vagy katasztrofális adatvesztés esetén az adatok helyreállítása érdekében hozzátartozik a mentést készítő és helyreállító megoldás megléte is.

A vezetőség legyen tisztában a védelemhez szükséges költségekkel!

Ellenőrizzék a védelmet, hogy biztosak lehessenek a megfelelő szabályozás mĹąködésében!

A kém- és reklámszoftverek a fájlmegosztó programokkal, az ingyenes letöltésekkel, a szabad vagy ingyen kipróbálható (shareware) szoftverekkel, az e-mailekben található linkekre kattintással vagy a közvetlenüzenet-rendszerek felhasználói programjaival egyaránt önmĹąködően képesek települni a számítógépekre. Gondoskodjanak arról, hogy csak a szervezetnél jóváhagyott alkalmazások legyenek az irodai gépekre telepítve!.