Helyzetjelentés a vírusok, spamek és hackerek frontjáról

Helyzetjelentés a vírusok, spamek és hackerek frontjáról

2005. július 13. 23:52, Szerda
Az F-Secure közzétette IT-biztonsági beszámolóját az idei év első félévéről. A beszámoló szerint 2005 első hat hónapjára az volt általánosan jellemző, hogy az internetes bűnözés tökéletesítette a már bevált eszközeit, és egyre megújuló, a korábbiaknál lényegesen kifinomultabb módszerekkel próbálta becsapni a felhasználókat.

A vállalat a legnagyobb problémának a kéretlen leveleket látja. Annak ellenére, hogy a vezető IT-biztonsági cégek hatalmas erőfeszítéseket tesznek, hogy az e-mail szervereket és a magánpostaládákat megtisztítsák a kéretlen levelektől, 2005 első felében tovább növekedett a spamek száma. A levélszemét ma már a globális e-mail forgalom 85 százalékát teszi ki, és a cég szerint az IT-biztonsági gyártók és a törvényhozók közös fellépésére van szükség e modern pestis megfékezésére.

Idén a vírustámadások száma csaknem 50%-kal elmaradt 2004 azonos időszakához képest. Úgy vélik ennek oka, hogy a jelenleg elérhető technológia már képes harcolni a vírusokkal. A vírusok száma azonban az utóbbi két évben - a spam térhódításával párhuzamosan - folyamatosan, évente átlagosan 40 százalékkal nőtt. Az egyik leginkább megfigyelhető trend, hogy gyorsan növekszik az új trójai programok száma. A trójai programok célja az adatlopás, és több okból is veszélyesek. Egyrészt azért, mert - a vírusoktól és férgektől különbözően - célzottan jutnak el a megtámadni kívánt számítógépekre, másrészt azért, mert nem készítenek magukról másolatot, ezért egy a biztonsággal nem törődő felhasználó számára nehezen észlelhetőek.

Májusban jelentések érkeztek az Agent.aa Trojan nevű adatlopó trójai programról (más néven Trojan-PSW.Win32.Agent.aa vagy Bancos.NL), amely aktív Internet Explorereket figyel. Ha bizonyos domainneveket tartalmazó weboldalt látogatnak meg egy fertőzött számítógépről, a trójai program naplózni kezdi a számítógépen folyó tevékenységet, többek között a billentyűleütéseket, és pillanatképeket is készít a böngészőablakról. Ebben a konkrét esetben a domainnevek főleg online bankok voltak: 2764 különböző oldal több mint 100 különböző országból.

Az adathalászat (phishing) is jó példa a bűnözők leleményességére, mivel itt a spamek elterjedtségét és az emberek hiszékenységét egyaránt kihasználják. A tipikus adathalászati célpontok, például az eBay, a Paypal és a nagy amerikai és brit bankok mellett egyre inkább jellemző, hogy a csalók már a kisebb bankok ügyfeleit is megcélozzák. Ez valószínűleg azért van így, mert egy Citibankhoz hasonló bank legtöbb ügyfele már több száz különböző phishing üzenetet kapott, és egy újabb már nehezen csapja be. Mivel fennáll a lehetősége, hogy az adathalászati üzenetek az összes biztonsági szűrőn átjutnak, a védekezés egyetlen módja, hogy töröljük ezeket az üzeneteket.

Az adathalászat egy másik, egyre terjedő formája az eltérítéses adatlopás (pharming), azaz a DNS szerver sebezhetőségének kihasználása. A DNS szerverek az internetes neveket valódi címekké, az internet "irányjelzőivé" alakítják át. Pharmingnak azt nevezzük, amikor a hacker eltulajdonítja egy webhely nevét, és forgalmát átirányítja egy másik weboldalra. Ha a forgalmat fogadó weboldal hamisítvány, például egy bank weboldalának másolata, akkor felhasználható adathalászatra, azaz egy felhasználó jelszavának, PIN-kódjának, számlaszámának vagy egyéb személyes adatának ellopására. Ha olyan oldalra lépünk be, amelyen bizalmas információkat tárolunk, vagy pénzátutalásokat végzünk, és érvénytelen szervertanúsítvány érkezik, szakítsuk meg a tranzakciót!

Férgek, túszejtő programok, hamis WLAN-ok: kifinomultabb módszerek

Idén május elején egy új e-mail féreg jelent meg Európában, a Sober egyik variánsa, amely változó tartalmú, angol és német nyelvű üzeneteket küldött szét. Ennél a féregnél a szerzők a német közönség futball iránti érdeklődésére, főként a közelgő világkupára alapoztak. A férget ugyanazon a napon indították el, mint amelyiken megkezdték a világkupa jegyeladásait. A Sober.P németül küldött üzeneteket, amelyekben megerősítette a futball világbajnoksággal kapcsolatos jegyrendelést, arra ösztönözve a címzettet, hogy megnyisson egy fertőzött csatolt fájlt. A FIFA aránylag gyorsan, nyilvános felhívással reagált a problémára, de természetesen csak azután, hogy a levelezőrendszere gyanúsan nagy forgalmat tapasztalt.

Május végén egy olyan rosszindulatú kódról érkeztek jelentések, mely "túszokat szed, és váltságdíjat követel". A Gpcode (és PGPCoder) néven ismert trójai titkosítja a felhasználó bizonyos kiterjesztéssel rendelkező fájljait, majd váltságdíjat kér a kikódolásukhoz. Szerencsére a Gpcode nagyon egyszerű kódolási algoritmust használ, így létre lehetett hozni egy dekódolót, mellyel helyre lehet állítani a Gpcode által titkosított fájlokat.

A figyelmetlen internetezőket megtéveszteni próbáló online bűnszövetkezetek újabb próbálkozása az ún. typosquatting weboldalak számának növekedése. A typosquatting egy ismert domainnévtől egy-két karakterben különböző, a név elgépelése esetén megjelenő site. Így ha a felhasználó véletlenül elírja a www.google.com címet (helyette például www.googkle.com-ot írva), egy olyan oldalra jut, amely számos rosszindulatú oldalt tartalmazó weboldalláncot indít el. A felhasználó számítógépe így súlyosan megfertőződik rosszindulatú kódokkal és kémprogramokkal.

Márciusban, a hannoveri CeBIT vásáron mutatta be az F-Secure az új BlackLight Rootkit szoftverét. A rootkitekkel a hackerek hátsó bejáratot tudnak létrehozni a rendszeren, mégpedig olyan módon, hogy tevékenységük a hagyományos vírusvédelmi szoftverek látókörén kívül marad. A BlackLight technológiának köszönhetően állításuk szerint a rendszergazdák ezentúl eredményesen vehetik fel a harcot a rootkitekkel.

Szintén márciusban, egy londoni konferencián felfedezték, hogy hackerek olyan WLAN-pontokat helyeztek üzembe, amelyekről hamisított bejelentkezési weboldalak töltődtek le. Nagy valószínűséggel egyre több ilyen támadásra kell számítanunk. A hasonló támadások elleni védekezés legjobb módja az operációs rendszer és a böngésző naprakészen tartása a legújabb vírusvédelmi és tűzfal szoftverek telepítésével. Szintén nagyon fontos minden kritikus VPN-kapcsolat titkosítása, és minden olyan nem biztonságos szolgáltatás mellőzése, amely a felhasználó nevét és jelszavát kéri.

Mobilok: vírusok, férgek, trójaiak

A mobilvírusokról sokat lehet hallani, bár többségük csak ún. proof of concept jellegű, azaz a programozók csak azért hozzák létre őket, hogy bebizonyítsák: mobilvírusokat is lehet fejleszteni. A legnagyobb kárt eddig a Skulls nevű, rosszindulatú SIS fájl trójai program okozta, amely a rendszeralkalmazásokat nem működő változatokkal cseréli le, kikapcsolva az összes funkciót, kivéve a telefon alapvető funkcióit.

A biztonsági cég idén tavasszal kapott egy bejelentést a Skulls.L nevű Symbian trójai programról, amely az F-Secure Mobile Anti-Virus kalózváltozatának tünteti fel magát a következő párbeszédszöveggel: "az F-Secure Antivirus megvéd a vírusoktól. Ne felejtse el frissíteni!" A felhasználóknak azt javasolják, hogy ne töltsenek le ilyen fájlokat semmilyen más szerverről, csakis a hivatalos weboldalról. Minden hivatalos telepítőcsomag Symbian aláírással rendelkezik, és ennek hiánya esetén a telepítőből kilépést ajánlják.


A tényleges fertőzéshez jó néhányszor "Yes"-t kell nyomnunk

Tavasszal több mint 23 országban észlelték a Cabir károkozót, olyan egymástól távoli helyeken, mint Új-Zéland és Svájc. A Cabir egy olyan féreg, amely Series 60 platformot támogató Symbian-alapú mobiltelefonokon fut. A Cabir a Bluetooth kapcsolaton keresztül másolja magát, és a mobiltelefon bejövő postafiókjában egy férget tartalmazó SIS fájl formájában jelenik meg.

Az intelligens telefonok tulajdonosai számára még aggasztóbb a Commwarrior feltűnése. A Commwarriort először 2005 januárjában jelentették Írországból Ez a mobilvírus Bluetooth kapcsolaton és MMS üzeneteken keresztül terjed. A Commwarrior sokkal nagyobb gondokat okozhat, mint a Cabir, mert képes MMS-en keresztül is terjedni, így könnyedén vándorol országról országra. Az év közepéig a Commwarrior fertőzésekről 15 különböző országból érkeztek jelentések, többek között az USA-ból, Írországból, Indiából, Olaszországból, Németországból, a Fülöp-szigetekről és természetesen Finnországból.

Kapcsolódó linkek

Listázás a fórumban 
Adatvédelmi beállítások