atacurile de pe Facebook si de pe alte retele sociale
Ce va aduce 2011 în termenii securităţii IT? Ce ameninţări va trebui sa înfuntăm şi ce tendinţe se vor contura în ceea ce priveşte atacurile malware? Pentru a răspunde acestor întrebări am utilizat resursele globale ESET şi am chestionat unii din cel mai buni analişti din industrie, inclusiv pe expertul ESET David Harley şi pe colegii din cadrul noului centru ESET Cyber Threat Analysis Center (CTAC) despre direcţiile si tendinţele din 2011:
· Echipa CTAC localizată în San Diego consideră că reţelele de socializare vor fi în prim planul atacurilor şi „ingineriilor” sociale de tipul celor pe care deja le experimentează utilizatorii de Facebook şi Google, şi anticipează de asemenea o creştere a volumului de atacuri îndreptate asupra altor site-uri de social networking precum LinkedIn, Twitter şi Orku, dar şi asupra altor motoare de căutare precum Bing şi Yahoo. Acest lucru va fi posibil în ciuda faptului că liderii de pe această piaţă vor continua să ia măsuri speciale care cresc costul atacurilor sociale asupra Facebook şi Google. Facebook prezintă de pildă un tip special de vulnerabilitate: poate continua să încerce să trateze simptomele mai degrabă decât cauza acestora, continuand să prezinte problema expunerii excesive a datelor intime din reţelele sociale drept ceva dorit şi solicitat de către clienţi, astfel încât devine responsabilitatea acestora să se asigure că datele afişate nu sunt oferite public într-o modalitate cu care nu ar fi normal de acord dacă ar fi întrebaţi explicit. Anumite reţele de socializare cu profil similar Facebook, mai puţin cunoscute in România, (Bebo spre exemplu), au decis să treaca de la abordarea standard “nu se blocheză accesul public la nici una din informaţiile postate de utilizator” către “se blocheză accesul liber la anumite informaţii intime ale acestuia ”, cu toate că punerea liberă la dispoziţia publicului a cât mai multe informaţii despre clienţii lor reprezintă fundamentul modelului lor de business. Facebook rămane în continuare echivoc.
· Dispozitivele mobile de tipul smartphone-urilor vor fi o ţintă din ce in ce mai atractivă: mărcile care sunt protejate de către aplicaţii solide de whitelisting vor fi mult mai puţin vulnerabile în faţa atacurilor malware, însă este de aşteptat ca atacurile fraudulente prin inginerii sociale să continue.
· Deşi reţelele de tip botnet nu mai reprezintă de mult ceva nou, ele vor continua să crescă în importanţă de-a lungul anului 2011: datele din serverele de tip Shadowserver anticipează o creştere în volumele reţelelor botnet, în vreme ce datele oferite de ThreatSense.Net sugerează o creştere comparabilă în volumele bot malware, informaţii care arată că PC-urile zombie vor constitui o pondere mare din totalul tuturor sistemelor PC infectate. Este de aşteptat, de asemenea, ca ulterior importantei pe care au avut-o în 2010 reţelele botnet controlate prin Twitter, cei care „cresc” astfel de reţele să experimenteze şi alte canale de tipul Comandă şi Controlează. Vestea buna este ca succesul recent înregistrat în depistarea şi anihilarea acestor reţele de boti este aşteptat să continue şi poate chiar să crească. Echipa ESET Cyber Threat Analysis Center a căzut astfel de acord şi în privinta faptului că reţeleele de boţi vor constitui o problema majoră în continuare, dar speră că tot mai mulţi oameni implicaţi vor intelege că reţelele botnet de mici dimensiuni şi aproape inactive reprezintă o ameninţare cel puţin la fel de mare ca reţelele botnet de mari dimensiuni, atât de atent monitorizate de cercetatorii din domeniul securitatii încat pot fi abandonate oricând de creatorii lor. Pornind de la Boonana, care are un caracter similar cu ameninţarea Koobface în sensul în care deţine potenţial de infectare pentru mai multe sisteme de operare, este probabil ca în 2011 să apară mai multe ameninţări malware care sa utilizeze medii precum Java pentru a acţiona pe platforme multiple, spre exemplu reţele botnet care includ unităţi zombie capabile să ruleze atât pe sisteme de tip Windows cât şi pe platforme diferite de cea oferită de Microsoft.
· BlackHat SEO (Search Engine Optimization), uneori folosita cu sensul de otrăvire a indexurilor web sau “index hijacking”, reprezintă o tehnică deloc noua: cu toate acestea utilizarea mediilor sociale le oferă atacatorilor blackhat suficiente motive pentru optimizarea acestei tehnici prin care direcţionează traficul utilizatorilor spre site-uri maliţioase în timp real, în timpul căutarilor, subiect dezbătut pe larg în cadrul conferinţei Virus Bulletin din 2010.
Echipa CTAC a confirmat că tehnicile de inginerie sociala vor continua să reprezinte una dintre problemele principale, nu numai în contextul discuţiei despre malware. Majoritatea conţinutului malware va continua să se propage prin canalale deja ştiute (email, URL-uri maliţioase, forumuri etc.) prin păcalirea utilizatorilor de a da click în zone capcana. Cu toate acestea, sunt aşteptate din cand în cand şi alte suprize neplăcute de tipul vulnerabilităţiior .LNK, chiar dacă este posibil să treacă ceva timp până ce “băieţii rai” le vor descoperi. Este posibil să ne confruntam cu noi atacuri, similare celor efectuate asupra sistemelor SCADA, cu intenţia de subtilizare a datelor, dar probabil că tehnicile se vor diversifica înspre spear-phishing şi utilizarea malware-ului tipic ingineriilor sociale precum şi în direcţia atacurilor 0-day şi troienilor, mai degraba decât prin malware autoreplicant precum Win32/Stuxnet. Cu toate acestea, scopul pentru care se pare că a fost conceput Stuxnet este cel mai probabil sabotajul industrial: deşi multe analize au sugerat ca codul utilizat de Stuxnet poate fi foarte uşor de adaptat pentru a ataca tot soiul de instalaţii diferite de cele afectate, este de aşteptat ca ideea utilizării acestui cod malware în scopul sabotajului să rămana în continuare un subiect de speculare şi investigare activa. În plus, uneltele automate de colectare a informaţiilor de pe site-urile de socializare, precum şi scurgerile de date, vor reduce considerabil costurile noilor atacuri de tip spear phishing, condiţii care înlesnesc potenţialul de apariţie al unor atacuri puternice şi foarte profilate.
Furnizorii de soluţii anti-malware vor depinde din ce în ce mai mult de telemetria bazată pe sisteme cloud pentru analize reputaţionale sau pentru programarea anti-malware facută de către inginerii de securitate. În cadrul workshop-ului CARO care a avut loc în Helsinki în mai 2010, numarul de mostre maliţioase unice “cunoscute” a fost acceptat ca fiind de peste 40 milioane. Anticipăm că această contabilizare va depăşi peste 50 milioane în cursul anului 2011. De fapt, acesta cifră este destul de conservatoare: totuşi, obţinerea unei cifre precise reprezintă în sine o provocare datorită unor factori precum diferenţele în modalitatea în care companiile efectueaza număratoarea şi timpul necesar pentru verificarea existenţei duplicatelor.