Wirusy i inne zagrożenia
Nie oznacza to oczywiście , że dzisiejsze wirusy są niegroźne. Kolejnym punktem zwrotnym w rozwoju wirusów stał się rozwój internetu. Dzięki globalnej sieci wirusy mogą rozprzestrzeniać się o wiele szybciej i atakować znacznie więcej komputerów niż wcześniej. Wirusy komputerowe nie są jednak jedynym niebezpieczeństwem jakie niesie sieć. Obecnie zagrożone są nie tylko dane przechowywane na dysku twardym naszego komputera ale również nasze pieniądze. Nie trzeba jednak wpadać w panikę bo do zwalczania wirusów możemy użyć jednego z wielu programów antywirusowych. Natomiast by poradzić sobie z innymi zagrożeniami jakie możemy napotkać w internecie wystarczy zdrowy rozsądek i odrobina ostrożności.
Jakie są nowe oraz największe zagrożenia?
O wypowiedź na ten temat poprosiliśmy Piotra Walasa, dyrektora technicznego Panda Software Polska:
- Mówiąc o nowych zagrożeniach, podkreślić należy, że obecnie mamy do czynienia z ich ewolucyjnym rozwojem. Oznacza to, że rzadko pojawia się coś nowego, a wykrywane przez nas zagrożenia bazują na już istniejących. Są jednak coraz doskonalsze i tym samym trudniejsze do wykrycia. W ostatnim czasie pojawiło się jednak kilka ciekawych szkodliwych aplikacji, które nie były może bardzo groźne, ale z pewnością bardzo uciążliwe. Np. robak USBToy.A, który przy każdym uruchomieniu komputera wyświetlał cytat z Biblii albo robak Gronev.A. otwierający Windows Media Player i powodujący odtwarzanie utworu "Lagu".
Zaobserwowaliśmy również, że hakerzy coraz częściej bazują na socjotechnikach: starają się nas zainteresować, zamieszczając w mailu link do popularnego filmu, zdjęć sławnych osób czy plików muzycznych. Cyberprzestępcy wiedzą, że większość użytkowników komputerów bez namysłu kliknie link lub pobierze plik, nie przypuszczając nawet, że w ten sposób ściąga na komputer np. program szpiegujący. W taki sposób działały ostatnio m.in. Mops.A, który nęcił fotkami Paris Hilton czy Wapplex.C, rozprzestrzeniający się również za pomocą komunikatorów internetowych i oferujący karykatury i filmy z udziałem amerykańskiego prezydenta.
Moim zdaniem groźniejsze teraz są metazagrożenia tzn. aplikacje, które same w sobie nie czynią w komputerze spustoszenia, ale służą do tworzenia szkodników. Do tej grupy należą Icepack czy Shark 2, którego kolejne wersje pojawiały się regularnie w sieci. Programy te są groźne, ponieważ można je kupić na wielu forach internetowych za niewielkie pieniądze. Oprócz tego są coraz prostsze w obsłudze. O ile kiedyś podobnym narzędziem potrafił posłużyć się jedynie wybitnie zdolny informatyk, o tyle teraz korzystać z niego może każdy. Np. Shark 2 umożliwia nawet początkującym hakerom przechwytywać znaki wprowadzane z klawiatury, wykradać hasła bankowe, pobierać na komputer użytkownika złośliwe pliki, a nawet przechwytywać obraz z kamer internetowych i obserwować to, co internauci robią w domach.
Gdy stworzony za pomocą Shark 2 złośliwy program zainfekuje komputer, najpierw wyświetla dane na temat zainfekowanego systemu: procesora, pamięci RAM, zainstalowanego oprogramowania antywirusowego, a potem pozwala na uruchamianie różnych programów narzędziowych, co sprawia, że haker może modyfikować rejestr systemu czy edytować plik hosts, zawierający wpisy kojarzące nazwy serwerów z adresami IP. To z kolei umożliwia przekierowanie użytkowników komputerów na założone przez phisherów lub zawirusowane strony. Narzędzie jest groźne, ponieważ pozwala stworzyć w zasadzie każdego rodzaju zagrożenie i w bardzo łatwy sposób określić jego właściwości (np. zdefiniować serwer, z którym będzie się łączyć złośliwy kod czy opcje konfiguracji, które spowodują uruchamianie trojana przy każdym starcie systemu, wyświetlanie komunikatów o błędach czy otwieranie różnych plików).
Oprócz samych narzędzi do tworzenia złośliwych kodów problemem jest handel nimi. Dzisiejsi hakerzy to nie informatycy, którzy produkują trojany, wirusy czy robaki dla sławy czy rozrywki. Teraz chodzi o zarabianie pieniędzy, a hakerzy często pracują dla kogoś innego, często nie wiedząc nawet, komu stworzona przez nich aplikacja posłuży do przestępczej działalności. Można nawet pokusić się o stwierdzenie, że mamy do czynienia z seryjną produkcją złośliwych kodów, a rynek malware rozwija się prężnie. Pojawia się konkurencja, spadają ceny, są nawet promocje. Z naszych danych wynika, że za marne 1200 dolarów można na forach interentowych zakupić cały komplet narzędzi, które posłużą do przeprowadzenia ataku (np. lista mailingowa zawierająca milion adresów kosztuje 100 dolarów, wynajęcie serwera - 500 dolarów, a trojan do wykradania haseł bankowych to koszt 350 - 700 dolarów w zależności od ilości funkcji, jakie oferuje).
Jeśli zaś chodzi o sposób ataku, to najgroźniejszy wydaje się być phishing. Przestępcy rozsyłają do swoich ofiar maile, w których podają się np. za przedstawicieli banku i zalecają odwiedzenie konkretnych stron www, gdzie użytkownicy bankowości internetowej zostawiają poufne dane: numery kont, loginy, hasła. Strony te przypominają strony banku, ale nimi nie są. Najdziwniejsze jest to, iż tak dużo się mówi o phishingu, a i tak wielu użytkowników internetu daje się "złowić". Spora grupa klientów chyba nadal nie wie, że banki nigdy nie proszą o podawanie poufnych danych przez internet. Phishing jest przez przestępców tak chętnie wykorzystywany, ponieważ zapewnia dużą anonimowość. Podrobione strony www umieszczone są często na serwerach w egzotycznych krajach lub jeszcze częściej na botnetach. Podobnie też wysyłanie fałszywych maili odbywa się z użyciem botnetów lub niezabezpieczonych serwerów pocztowych.
Botnety to kolejne duże niebezpieczeństwo. Jest to sieć komputerów (pojedynczy komputer określa się wtedy jako zombie), nad którymi cyberprzestępca przejął kontrolę za pomocą internetowego robaka lub trojana, którego użytkownik sam zainstalował w przekonaniu, że instaluje atrakcyjny wygaszacz ekranu. "Botmaster", czyli osoba zarządzająca siecią botnet, może wykorzystać komputery zombie np. do rozsyłania maili. Największe dotychczas zarejestrowane botnety składały się z kilkudziesięciu tysięcy komputerów, ale wielkość sieci zawsze zależy od tego, do jakiego celu ma ona służyć.
Do najczęściej wykrywanych zagrożeń należą także ataki typu DoS, czyli zmasowany atak na infrastrukturę informatyczną firmy powodujący brak możliwości komunikacji. Chyba, że firma zapłaci okup... Oprócz tego mamy do czynienia z cichymi włamaniami do sieci z wykorzystaniem koni trojańskich oraz luk w zabezpieczeniach. Najważniejsze jest jednak to, że są to zazwyczaj ataki targetowane. To znaczy, że cyberprzestępca dokładnie wie, w kogo chce uderzyć i po co. Ofiarami tego typu ataków są zazwyczaj banki (przykład: ostatnie ataki na mBank i Inteligo) lub serwisy społecznościowe - w pierwszym przypadku chodzi o okradanie kont, a w drugim o kradzież danych osobowych - powiedział w rozmowie z nami Piotr Walas, dyrektor techniczny Panda Software Polska.
Robak Storm
Przestępcom wykorzystującym robaka o nazwie Storm udało się stworzyć sieć botnet składającą się z milionów komputerów. W ten sposób powstał "organizm", którego moc obliczeniowa przewyższa wszystkie istniejące superkomputery. Specjaliści przewidują, że botnet robaka Storm może osiągać wielkość od miliona do pięciu milionów komputerów. W praktyce oznacza to, że możliwości obliczeniowe tej struktury są obecnie większe od najszybszego komputera na ziemi BlueGene/L, który stworzyła firma IBM. Specjalista od zabezpieczeń Peter Guttman tak skomentował tę sytuację:
- Może to być pierwszy przypadek w historii, gdy superkomputer z listy top 10 będzie kontrolowane nie przez rząd, czy którąś z korporacji, ale przez cyberprzestępców. Pytanie brzmi: do jakich celów zostanie użyta tak potężna struktura? - Ten sam specjalista od zabezpieczeń wyliczył, że jeśli sieć ta składała by się tylko z miliona komputerów, to biorąc pod uwagę przeciętną konfigurację domowego sprzętu mogłaby ona pochwalić się pamięcią RAM o rozmiarze jednego petabajta (tj. 1015 bajtów). Dla porównania wymieniony wyżej BlueGene/L posiada jedynie 32 terabajty pamięci operacyjnej. Jednak, jak podaje James Turner będący analitykiem w firmie IBRS, nie można porównywać struktury superkomputerów z siecią stworzoną przez robaka Storm. Uważa on bowiem, że nie wystarczy zebrać ogromną ilość pamięci i pokaźną liczbę procesorów, muszą one przecież ze sobą szybko i sprawnie współpracować, wykorzystując chociażby dedykowany do tego celu system operacyjny. Według Pana Turnera sieć taka może zostać użyta z powodzeniem do łamania kodów zabezpieczających.
Ransomware
Jest to nowy rodzaj oprogramowania wykorzystywany przez cyberprzestępców. Jego działanie polega na wniknięciu do wnętrza atakowanego komputera i zaszyfrowaniu danych należących do użytkownika. Na tym jednak nie kończy się działanie tego typu programu ponieważ po zaszyfrowaniu danych program ten umieszcza w zaatakowanym komputerze notatkę z żądaniem okupu za ich odzyskanie.
Taka notatka zawiera informacje z numerem konta, na które mają zostać przelane pieniądze po czym twórca wirusa ma przesłać do szantażowanej osoby klucz wraz z instrukcją, jak ma ona z niego skorzystać i odzyskać swoje dane. Programem tego typu jest np. GpCode. Jak na razie programy tego typu są rzadkością ale korzyści płynące z ich stosowania na pewno przyczynią się do ich szybkiego rozwoju. Jak i w przypadku innych zagrożeń i tym razem istnieją pewne środki zapobiegawcze. Najważniejszym z nich jest robienie kopii zapasowych ważnych danych. Na kolejnym miejscu możemy umieścić bezpieczne korzystanie z sieci, czyli używanie bezpiecznych przeglądarek, oprogramowania zabezpieczającego typu firewall itp. Jednakże jeśli komuś już przydarzy się, że zostanie zaatakowany przez program typu ransomware nie powinien wpadać w panikę gdyż z pomocą może przyjść firma zajmująca się odzyskiwaniem danych. Przecież prawie każdy szyfr można złamać. Jak podaje firma Kaspersky Lab w przypadku programu Gpcode-AI dane szyfrowane są szyfrem strumieniowym RC4. Jednak i na tego typu zagrożenie firmy zajmujące oprogramowaniem antywirusowym szykują swoją odpowiedź.
Rootkity
Jest to narzędzie pomocne we włamywaniu się do systemu informatycznego. Jego zadaniem jest ukrycie niebezpiecznych plików i procesów, które umożliwiają przejęcie kontroli nad systemem. Rootkit ukrywa się najczęściej poprzez przejęcie wybranych funkcji systemu operacyjnego. Program ten na miejsce swojego ataku wybiera jądro systemu. Rootkity posiadają wiele wersji dla rożnych systemów operacyjnych m. in. Windows, Solaris i Linux. Program ten może dostać się do komputera użytkownika wraz z aplikacją będąc w rzeczywistości trojanem. Wykrycie rootkita jest bardzo trudne, ponieważ jest on w stanie kontrolować pracę narzędzi specjalizowanych do jego wykrywania. Jest on w stanie tak oszukać programy antywirusowe, że zwracają one do użytkownika informacje o tym, że nie wykryły żadnych zagrożeń. W ten właśnie sposób zachowywała się między innymi komercyjna wersja Atidetection rootkita Hacker Defender. Do wykrywania rootkitów stosuje się najczęściej technikę porównywania krzyżowego, w którym porównuje się listę plików w katalogu przez API (Application Programming Interface - interfejs programu użytkownika) systemu operacyjnego oraz informację odczytaną bezpośrednio z systemu plików. Analogicznie weryfikuje się rejestr w Windows porównując wyniki z API z tymi uzyskanymi bezpośrednio z rejestru. Istnieje też inna metoda wykrywania rootkitów polegająca na porównywaniu kodu programów binarnych lub bibliotek dynamicznych (DLL) na dysku oraz po załadowaniu ich do pamięci operacyjnej. Jeśli w pamięci operacyjnej kod wykonywalny został zmodyfikowany może to oznaczać działanie rootkita. Programy tego typu są w stanie kontrolować system a przez to oszukiwać narzędzia stworzone do ich wykrywania i niszczenia, dlatego najlepszym rozwiązanie jest przeskanowanie zarażonego dysku programem antywirusowym "odpalanym" przez system uruchomiony z zewnętrznego nośnika np. LiveCD.
Do wykrywania zainstalowanych w systemie Rootkitów możemy użyć jednego z pośród kilkuastu programów: chkrootkit, rkhunter, Rootkit Revealer, F-Secure Black Light, IceSword, Microsoft Strider Ghostbuster, Gmer, System Virginity Verifier, Spy Sweeper, Sophos Anti-Rootkit, AVG Anti-Rootkit Free, Avira Anti Virus, F-Secure Antivirus.
Podsumowanie
Jak widać w powyższym tekście, zagrożeń jest wiele ale to nie powód by rezygnować z używania komputera czy odłączać się od internetu. Jak twierdzą specjaliści zajmujący się programami antywirusowymi obecnie brakuje nowych pomysłów w dziedzinie wirusów. Firmy tworzące programy antywirusowe wyprzedziły twórców wirusów. Jednak choć obecnie wirusy nie są zbyt innowacyjne to atakują w coraz większej ilości. Umożliwiają to nowe narzędzia, dzięki którym osoby mniej zaawansowane są w stanie stworzyć własnego wirusa. Sami cyberprzestępcy również zmienili swój styl działania. Wcześniej zależało im na pokazaniu swoich umiejętności poprzez stworzenie groźnego wirusa, obecnie chodzi im o zarobienie na tym, stąd też pojawiające się wirusy żądające okupu. Z tych samych powodów dochodzi do wyłudzania od ludzi ich loginów i haseł do serwisów bankowości internetowej. Tak więc wszyscy użytkownicy komputerów powinni pamiętać o ostrożności i o tym, że internet nie jest skarbnicą wiedzy i narzędziem ułatwiającym komunikację, pozbawionym zagrożeń. Tam też, a może i zwłaszcza, czyhają rożnego rodzaju cyber-niebezpieczeństwa.
