2009 – Retrospectiva anului
Ianuarie
La începutul anului 2009, am emis o serie de sfaturi cu privire la protecția personală (vezi //www.eset.com/threat-center/blog/2008/12 și //www.eset.com/threat-center/blog/2009/01). O amenințare majoră a fost, in aceea luna (ca întotdeauna), INF/Autorun. Tot la începutul anului a avut loc o înnoire a interesului în asocierea acestui tip de amenințare cu ramele foto digitale (pentru ca folosesc memorii portabile), cel mai probabil datorită numărului mare de astfel de gadgeturi care au fost facute cadou în perioada sărbătorilor. Majoritatea amenințărilor din Top Zece Amenintari din acea lună au fost aplicații euristice avansate mai degraba decât o singură familie de malware cum eram obișnuiți. Troianul Virtumonde a fost de asemenea prezent în număr mare. Phishing-ul pe Twitter a obținut notorietate în momentul în care un personaj celebru precum Stephen Fry (actor si prezentator TV britanic)a recunoscut că a căzut pradă unei astfel de escrocherii. David Harley, director ESET în departamentul Inteligență Malware, a început să studieze cu seriozitate ameniţările care exploatau reţeaua Tweeter. 12 luni mai târziu acesta declară că nu este înca un expert dar are aproape același număr de conturi Twitter ca numărul de conturi pe blog. (Puteți urmări Echipa de Cercetare din San Diego la //twitter.com/esetresearch, dacă sunteți interesați.)
În Marea Britanie, au existat temeri cu privire la autoritatea extinsă dată poliției: aceasta a fost una din problemele discutate de către Craig Johnston și David Harley într-o prezentare la AVAR 2009 (//www.eset.com/download/whitepapers/Please_Police_Me.pdf).
Randy Abrams, directorul ESET pentru Educație Tehnică, a postat un blog cu privire la practicarea parolelor (i)logice care a fost mai târziu transformat într-o lucrare de către Randy și David la //www.eset.com/download/whitepapers/EsetWP-KeepingSecrets20090814.pdf.
Win32/Conficker a fost proeminent prezent în lista cu top zece ameniţări și a beneficiat de o atenție mediatică sporită, în special cu privire la numărul real de calculatoare infectate. Bineînțeles, Conficker reprezintă o amenințare destul de activă chiar și astăzi iar o traducere a lucrării lui Sebastián Bortnik, analist de securitate in cadrul ESET Latin America, intitulată “Conficker by Numbers”, va fi disponibilă în scurt timp pe pagina de lucrări ESET la //www.eset.com/download/whitepapers.php. Escrocherii derulate prin mail având subiecte gen IRS (Internal Revenue Service) și/sau subvenții de la stat au fost dese dar este de așteptat, din moment ce subiecte de acest gen sunt prezente in casuţele poştale ale multor utilizatori de internet. Google a categorisit în mod accidental toate siturile de pe Internet cu mesajul "Acest site vă poate aduce daune calculatorului”. Ceea ce este adevărat dacă privim imaginea per asamblu, într-o eră plină de amenințări digitale de tipul “injection attaks” şi “cross-site scripting”, dar totuși nu de mare ajutor nici pentru utilizatori și nici pentru reputația Google. Se pare deci că nu numai aplicaţiile antivirus pot produce alarme fals pozitive
Februarie
Ca de obicei, INF/Autorun (și detecții asemănătoare) plus aplicaţiile specializate in furtul de parole au continuat să domine deși numele de pe buzele tuturor era “Win32/Conficker”. Conţinutul adware și Aplicațiile Potenţial Nedorite au fost (și încă sunt) proeminente și enervante. Escrocii ce se bazează pe phishing au început să se folosească de programul Stimulus pentru a păcăli oamenii să-și dezvaluie parolele: suntem de părere că legislațiile din anumite ţări cu privire la asigurarea medicală vor permite noi modalități de utilizare a unor astfel de tehnici de inginerie socială în 2010. Persoanjele din spatele Win32/Waledac s-au folosit de ziua îndrăgostiților (Valentine’s day) pentru a răspândi “felicitări” care erau de fapt malware. În mod curios, cineva a trimis o excrocherie cu “Bill Gates își împarte averea” către o plajă mare de oameni din industra antivirus, oameni care în mod normal nu sunt atât de naivi încât să cadă pradă acestor lucruri. Adobe a fost obligat să recunoască o vulnerabilitate severă cu privire la formatul PDF: din păcate pentru Adobe, produsele lor au fost exploatate în mai multe modalități în acest an, iar bloggeri ESET au petrecut mult timp catalogând aceste probleme. Aplicaţiile false de securitate IT au continuat să crească în diversitate și impact. În mod nostalgic a existat un val semnificativ de malware ce a exploatat platforma Microsoft Excel.
Martie
Prima săptămână din Martie a fost National Zombie Awareness Week în Australia, dar bineînțeles că mereu este o săptămână bună pentru conștientizarea ameninţărilor propagate de botnet-uri și sisteme zombie. (//www.eset.com/threat-center/blog/2009/03/03/zombies-down-under). S-a făcut remarcată o creștere a escrocheriilor ce au avut drept ţintă vânzarea de domenii pe internet, oamenii îngrijoraţi de cybersquatting. Bârfe și zvonuri cu privire la o mică eroare a Symantec (eliberarea unui patch de diagnostic nesemnat) au degenerat în povești fabuloase despre rootkits și backdoors (deși acestea nu au fost adevărate). BBC a incercat cu degetul activitatea criminală cumpărând un botnet cu 22,000 PC-uri pe care l-a folosit pentru a demonstra cum funcționează atacurile de tip spam și DDoS. Deși nu era neapărat necesar să contribuie cu bani in contul unui infractor pentru a ilustra acest lucru, au reușit să evite urmărirea penală cu ajutorul Computer Misuse Act din Marea Britanie. David Harley și Randy Abrams au fost influențați de un val de înşelaciuni de tip “copil dipărut” și au scris o lucrare pentru Virus Bulletin 2009 pe acest subiect: //www.eset.com/download/whitepapers/Harley-Abrams-VB2009.pdf. Modul în care Google (nu) a tratat plângerile de abuz a primit multă atenție. Virus Bulletin a început să realizeze si teste anti-spam. Psyb0t a atras atenția asupra amenințărilor de tip botnet având ca țintă routere și modemuri DSL în loc de PC-uri. Au fost multe speculații asupra activităților de pe întâi aprilie când se aștepta o activitate suplimentară din partea Win32/Conficker.C. Acest malware nu a prezentat comportamente dramatice de genul ”oprirea” Internetului dar și-a schimbat protocoalele de comunicare. După ce toată industria antivirus a comunicat săptămâni la rând, prin intermediul blogurilor “nu vă panicaţi” au existat unii comentatori care au declarat că nu era nimic mai mult decât entuziasmul vânzătorilor.
Aprilie
În această lună și-a făcut apariția un botnet de Mac. Deși aparent nimic spectaculos, acesta era funcțional și chiar a fost folosit într-un atac DDoS. A fost semnalată o creștere în folosirea software-ului Microsoft Office pentru trimiterea de malware cu ţintă precisa, deși compania a considerat că acest aspect nu prezintă o importanță prea mare și a continuat să se ocupe de actualizările produselor. Un site de știri rusesc a pretins implicarea Conficker în atacuri DDoS, dar noi lucrând și cu alte echipe de cercetare nu am descoperit implicarea Conficker. Au existat zvonuri care spuneau că Rusia și China penetrează rețeaua de energie electrică a SUA. Malware-ul intitulat de noi ca W32/Conficker.AQ a prezentat niște caracteristici interesante. Botnet-ul Hexzone a fost asociat cu variante destul de neplăcute de ransomware.
Mai
Mai a adus evenimente semnificative care au avut loc în Budapesta – un workshop CARO (The Computer AntiVirus Researcher’s Organization ) asupra exploatărilor și vulnerabilităților şi un al doilea workshop AMTSO (Anti Malware Testing Standards Organization) pe acest an în cadrul căruia au fost aprobate procedurile Review Analysis Board precum și lucrări asupra validării mostrelor și testele “In the Cloud”. Conferința EICAR (European Expert Group For IT Security), în cadrul căreia David și Randy au prezentat o lucrare despre modalităţile de testare, a mai inclus şi prezentări ale reprezentanților EICAR, AMTSO și ICSALabs. Cercetătorul Malware din cadrul ESET, Pierre-Marc Bureau, a fost prezent la conferința Confidence în Cracovia, și a recomandat-o cu plăcere. În San Diego, “Securing our eCity”, o inițiativă a comunității co-sponsorizată de ESET, a desfășurat o serie de prezentări gratuite de mare succes care au avut drept tematică criminalitatea informatică. În Marea Britanie problemele Serviciului National de Sănătate legate de scurgerile de date au atras atenția nefavorabilă din partea Comisarului de Informare.
Iunie
În Marea Britanie, infractorii prin telefon au avut ca țintă persoanele vârstnice din Scoția şi s-a înregistra totodată un interes destul de mare asupra neînțelegerii legii protejarii informaţiei, ceea ce a inspirat un nou Standard Britanic (BS 10012). MSN a descris Diploma de Master în Media Socială de la Universitatea Salford drept "MA în Facebook și Twitter". S-au înregistrat valuri de spargeri ale conturilor de email după care au fost trimise cereri de bani cunoscuţilor din lista de adrese upssub pretextul că proprietarii acelor conturi email ar fi fost tâlhăriţi și trebuie să ajungă cu ajutor financiar acasă. Lumea a început să facă prevestească moartea industriei antivirus odată cu lansarea programului antivirus de la Microsoft. Rapoartele cu privire la această ”moarte” au fost însă exagerate peste orice limită… Un studiu de piață a indicat că o treime din persoanele angajate au folosit PC-ul de la serviciu pentru a trimite email-uri cu conţinut „explicit”, pentru a se despărți de partener sau chiar au aplicat pentru altă slujbă ceea ce indică o lipsă îngrijorătoare a distincției dintre locul de muncă și mediile sociale. Moartea lui Michael Jackson a inspirat mai mulți infractori să-i folosească numele pentru diverse excrocherii și pentru răspândirea de malware.
Iulie
Cercetătorii ESET au jucat un rol important în reducerea impactului provocat de campania de spam a botnetului Waledac cu ocazia Zilei Independenței. Soția șefului MI6 (unul dintre serviciile de informații ale Marii Britanii) a pus multe, mult prea multe informații pe o pagină Facebook. Sebastián Bortnik, din cadrul ESET Latin America, a descoperit câteva cifre interesante cu privire la cantitatea de spam produsă de un singur PC infectat cu Waledac (experimentele sale au indit aproximativ 150.000 de email-uri spam pe zi de la un singur sistem). Au existat speculații cu privire la folosirea unor calculatoare din cadrul rețelei guvernului SUA pentru executarea unor atacuri de tip DDoS (Distributed Denial of Service), atacuri avand in spate Coreea de Nord. Aceste speculații nu au fost însă justificate în mod convingător. Mai multe situri de bloggeri de securitate, publicații și distribuitori au fost amenințate cu „ștergerea” de către cineva sau ceva auto-numit “Anti-sec” dar promisiunile încă nu au fost puse în practică. (//www.eset.com/threat-center/blog/2009/07/11/orwell-double-think-and-anti-sec)
Pericolul utilizării (eronate) a codului numeric personal (Social Security Number) drept autentificare au fost scoase în evidență de către David Harley, printre alții, iar Jeff Debrosse a discutat pe larg faptul că 85% din organizațiile SUA au raportat ca au experimentat scurgeri de date într-un sondaj al Ponemon Institute. Win32/TrojanDownloader.Bredolab.AA a avut un impact serios asupra utilizatorilor, mai ales în Europa, potrivit informațiilor primite de către laboratoarele principale din Slovacia. (//www.eset.eu/encyclopaedia/win32-trojandownloader-bredolab-aa-inject-abnx-x-spy-agent-bw?lng=en).
ESET, în Europa, a publicat un articol interesant asupra pericolelor navigării pe internet prin punctele gratuite wi-fi: //www.eset.eu/press/summer-surfing-on-free-wifi. Actualizările Adobe și Microsoft au reprezentat știri importante iar Apple s-a plâns despre pericolul decodării telefoanelor iPhone.
August
ESET Latin America a observat că Slideshare (//www.slideshare.net) era folosit pentru a partaja slide-uri false care îndreptau utilizatorii către site-uri ce ofereau false aplicaţii software de securitate (felicitări Slideshare pentru un răspuns atât de prompt și pentru sprijinul acordat prin ștergerea contului responsabil). Cercetătorii anti-malware și-au unit forțele pentru a combate un Troian Downloader destul de periculos cunoscut uzual sub numele de Delf sau Doneltart. Guvernul Marii Britanii a emis un document standard, surprinzător de util pentru departamentele guvernamentale care doresc să folosească Twitter. Microsoft a publicat o tehnică de a dezactiva Autorun (o funcție folosită în mod greșit de către INF/Autorun) ca standard. Aryeh Goretsky, Distins Cercetător la ESET LLC, a atras atenția asupra numărului în creștere de amenințări care au drept ţintă sistemele OS X, așa cum și Apple a început să observe ( temă dezvoltată pe larg în numeroase bloguri ale lui David Harley).
Septembrie
Inevitabil , unii fani ai Mac au presupus că funcția minimalistă anti-troian din Snow Leopard reprezintă toată protecția de care aveau nevoie sau chiar mai mult decât aveau nevoie. Pierre-Marc a publicat un blog (//www.eset.com/threat-center/blog/2009/09/03/more-infections-a-lot-more-malware) rezumând statisticile malware oferite de scanerul online gratuit al ESET la //www.esetonlinescan.com/. Aryeh a publicat un blog despre autoprotecție în contextul rețelelor sociale la //www.eset.com/threat-center/blog/2009/09/08/armor-for-social-butterflies. Articolul de la conferința CFET al lui David Harley despre denumirea malware-ului a fost postat în secţiunea white paper. (//www.eset.com/download/whitepapers/cfet2009naming.pdf). Un hoț de 19 ani din Virginia a fost prins deoarece și-a permis să acceseze contul de Facebook de pe laptopul victimei și nu s-a gândit să se dezautentifice. Conferința Virus Bulletin 2009 din Geneva a inclus articole aparţinând luo Juraj Malcho, Jeff Debrosse, Randy Abrams și David Harley.
Octombrie
A 6-a lună de conștientizare a Cybersecurity a avut un număr de evenimente și inițiative cu scopul de a ridica nivelul de conștientizare și de autoprotecție în SUA. Otrăvirea SEO (Search Engine Optimization) sau Index Hijacking este departe de a fi o noutate, dar a atins noi niveluri de complexitate în acest an și Cercetătorul Malware de la ESET Tasneem Patanwala a publicat pe blog o excelentă analiză a unui asemenea atac (//www.eset.com/threat-center/blog/2009/10/01/seo-poisoning-what%e2%80%99s-in-the-news-today). Sebastián Bortnik a sesizat o problemă cu HTTPS în blogul său la //blogs.eset-la.com/laboratorio/2009/10/02/mito-https și de asemenea a produs un filmuleț demonstrând aceasta, în timp ce echipa de cercetare a ESET LLC a preluat această temă în niște bloguri care de asemenea au abordat probleme cu SSL. Windows 7 a fost lansat. În lumina testelor comparative care pretind a fi “compatibile AMTSO” sau asemănător, au apărut discuții aprinse la întâlnirea Anti-Malware Testing Standards Organization din Praga despre modalități de a împiedica alte organizații de a submina sau reprezenta greșit „brandul” AMTSO. (Este foarte probabil ca la următorul workshop din Februarie să predomine teme asemănătoare). Actualizările false de Windows nu sunt nimic nou dar luna aceasta a fost o creștere abrupt; asemenea falsuri tind să fie asociate cu URL-uri nocive decât cu atașamente nocive.
Noiembrie
Încercările folosirii “Some Other Dude Did It” (SODDI) –“altcineva este de vină”- sau “Trojan Defense” drept o posibilitate de evitare a vinovăției pentru încălcarea unor legi cu privire la computere au ajuns în ochiul public mai ales în contextul pedofiliei. O serie de atacuri malware asupra iPhone-urilor decodate a exploatat o vulnerabilitate ce i-a afectat pe utilizatorii unor astfel de telefoane. Pe termen lung totuși, atitudinea de nepăsare a Apple își va spune cuvântul asupra comunității per ansamblu. O companie ce comercializa PC-uri în Australia a oferit computere „nevirusabile”: deși compania a fost evazivă cu privire la natura acestei caracteristici se pare că este vorba de o partiție „întărită” ce folosește un sistem de operare diferit de Windows, în locul partiției obișnuite de Windows pe care utilizatorii ar găsi-o necesară dar în același timp vulnerabilă la multe operațiuni de rutină tipice utilizării acestei platforme.
Un sondaj realizat sub sloganul “Securing our eCity” a descoperit câteva lucruri neliniștitoare cu privire la percepția comunității asupra criminalității cibernetice și problemelor de securitate. ESET a obținut un punctaj destul de bun într-un test de performanță comandat de către un alt competitor și s-ar fi descurcat și mai bine dacă s-ar fi folosit metode mai apropiate de scenariul real de utilizare al computerului pentru măsurarea ocupării memoriei, așa cum a scos în evidență Andrea Kokavcova la //www.eset.com/threat-center/blog/2009/11/16/what-a-performance. Noul sistem de operare Chrome de la Google, deși încă în dezvoltare, a atras atenția industriei datorită potențialului său de atenuare a atacurilor malware. Un brevet deținut de Qinetiq a fost aclamat de către “New Scientist” drept sfârșitul problemei “virușilor”. La o examinare mai detaliată am descoperit că , deși există câteva idei interesante în acest proiect, personalul ESET nu va rămâne încă pe drumuri.
Decembrie
Randy a trimis la PayPal o notificare care scotea în evidență faptul că o parte din mailurile acestora semănau prea mult cu phishing. Aceștia trebuie să fi fost de acord din moment ce au „confirmat” că propriul mail este un astfel de phish. Deși au încercat să minimalizeze cât mai mult această situație, în cele din urmă, o mare parte din comunitatea celor care activează in domeniul securităţii IT a fost de acord cu Randy. ESET a lansat către public versiuni beta ale produselor sale pentru OS X și Linux desktop. Motorola Droid a fost “rootat”, o tehnică pentru eludarea listei de aplicații permisă de vânzător asemănător cu decodarea iPhone/iPod. Și mai multe întrebări au fost puse cu privire la Facebook și securitatea informaţiilor confidenţiale iar alte întrebări au avut ca țintă folosirea de către instituțiile financiare a datelor publice drept autentificare precum și despre informațiile date direct de către clienţi acestor instituţii . (//www.eset.com/threat-center/blog/2009/12/14/your-data-and-your-credit-card). Cercetătorii de la ESET Latin America și ESET LLC și-au unit forțele (așa cum o fac de obicei) pentru a discuta și analiza un val de malware ce se pretind drept inregistrari tip clip video cu prezentarea atacului asupra primului ministru italian Silvio Berlusconi (//www.eset.com/threat-center/blog/2009/12/15/fake-videos-of-berlusconi-attack). Randy ne-a amintit să actualizăm la XP SP3 dacă vrem să beneficiem de suport Microsoft și după Iulie 2010, și a comentat despre numirea lui Howard Schmidt în funția de Coordinator Cybersecurity pentru Casa Albă. Apărarea “SODDI” a reapărut, de data aceasta pe contextul spargerii contului de email al Sarah Palin (//www.eset.com/threat-center/blog/2009/12/24/grasping-at-straws-did-malware-hack-palins-email-account).
Ce ne pregătește 2010?
Echipele de cercetare ESET Latin America și ESET LLC și-au pus mințile la contribuție pentru a discuta viitoarele 12 luni în materie de securitate și cybercrime (și cyberwarfare, ca să folosim unul din termenii la moda). Acestea fiind spuse, în continuare, un mic sumar al concluziilor la care am ajuns împreună. Atacurile de inginerie socială vor continua să predomine, iar atacurile bazate pe vulnerabilitățile sistemelor de operare vor începe să scadă deoarece din ce în ce mai multe persoane vor trece la sisteme de operare mai sigure. Deocamdată vulnerabilitățile din aplicații reprezintă o problemă majoră dar în timp acest aspect se va ameliora deoarece producătorii vor invăța să-și îmbunătățească controlul calității și metodele de actualizare. Windows 7 va contribui la declinul gradat al INF/Autorun și amenințărilor asociate.
1. Situații de actualitate ca sărbătorile publice, știri reale sau fabricate, evenimente de înalt interes ca și Cupa Mondială și preocupări de durată ca economia națională sau globală vor fi folosite ca unelte în atacurile de inginerie socială.
2. În timp ce atacurile asupra telefoanelor iPhone decodate vor afecta din ce în ce mai puține persoane deoarece aceștia vor realiza de unde apar aceste atacuri, se va înregistra o creștere în sondarea telefoanelor mobile după vulnerabilități exploatabile precum și oportunități de folosire ale ingineriei sociale așa cum s-a descris mai sus.
3. Se ve apune accentul pe izolarea proprietarilor de sisteme infectate până când aceștia vor acționa pentru remedierea situației.
4. Breșele de securitate vor continua să crească în importanță iar eficiența securității implementate în procesarea de date “In the Cloud”, cel puțin pe termen scurt, va varia destul de mult.
5. Se va folosi din ce în ce mai mult software falsificat pentru a stoarce bani, iar plaja de aplicații care vor fi falsificate va trece dincolo de software-ul de securitate.
6. Malware ca Serviciu – o tendinţă ce va reflecta din ce în ce mai mult modelul specialiștilor ce colaborează în lumea legitima a afacerilor.
7. Se vor folosi din ce în ce mai multe limbaje superioare de programare pentru a putea purta coduri dăunătoare pe mai multe platforme.
8. Rețelele sociale vor fi țintite din ce în ce mai mult, atât pentru atacurile de inginerie socială cât și pentru verificarea vulnerabilităților.
9. Se vor face cercetări suplimentare și de asemenea se vor opera atacuri asupra mediilor de virtualizare deși eficiența lor este pusă sub semnul întrebării.
10. Phishing și atacuri asemănătoare asupra gamerilor online vor continua să reprezinte un pericol mare deși atacurile asupra consolelor se vor solda probabil cu succese limitate.
11. Atacurile ce manipulează conexiunile wireless vor continua să înflorească.
12. Atât infractorii cibernetici cât și afacerile legitime vor sonda după date din cât mai multe resurse, exploatând interoperabilitatea dintre furnizorii de rețele sociale. Împărtășirea de date în sectorul privat va reprezenta un pericol în creștere până se va realiza nevoia de reguli mai stricte de protecție așa cum există în rețelele din sectorul public, mai ales în Europa.
13. Out-and-out crimeware va reprezenta forma cea mai folosită de malware, datorită potențialului său de a genera profit.
14. Subversiunea unor site-uri web legitime și folosirea rețelelor sociale drept vector de atac vor continua să fie activităţi infracţionale de succes. Este foarte probabil să vedem pe viitor o folosire din ce în ce mai mare a acestor rețele ca mod de administrare a infrastructurilor ilicite folosite de rețele organizate de afaceri (precum botnet), dar și o exploatare mai directă prin malvertising.
15. Atacurile cu ținte clare (spear-phishing, whaling) vor reprezenta o amenințare semnificativă deşi subestimată.
{mosloadposition user9} {mosloadposition user10}