Monthly Archives: február 2003

Symantec: jelentés az internetes veszélyekről

Az Internet veszélyeirol szóló jelentés mélyebb áttekintést ad az internetes közösség számára arról, hogyan fejlodtek az internetes veszélyek az idok során. A jelentés bepillantást ad a világ legkiterjedtebb behatolásérzékelo-rendszer hálózata és a világszerte muködo tuzfalak által észlelt számítógépes támadások fejlodési irányába.

Mi történt tavaly?
A hálózatos támadások igen alapos elemzésén túl a jelentés a sérülékenységek és a rosszindulatú programok egyesített elemzésére is kiterjed. A fentiek összegzése révén az internet veszélyeirol szóló jelentés – a biztonság ilyen széles köru áttekintésével – egyedülállónak tekintheto. Ez az áttekintés a Symantec forrásain alapul, amelyek a világ legnagyobb, támadásokat összegyujto adattárát, valamint a víruselhárító programok felhasználóitól milliószám beérkezett vírusgyanús programrészletet foglalják magukban.

Az internetes veszélyek sok tekintetben megerosödtek és elterjedtek, míg más szempontok szerint nézve viszonylag állandóak. A férgeket és az összetett veszélyeket nem számolva a támadások száma most eloször csökkent kis mértékben. Ez az elozo 6 hónaphoz képest 6%-os csökkenést mutat. A csökkenés ellenére számos szervezetnél a támadások számának és viszonylagos súlyosságának meredek emelkedését tapasztalták, míg más cégeknél, ahol már régebben felügyelik a védelmet, lényegesen csökkent a kockázat. A támadások kiindulási ország szerinti mennyiségi eloszlása jórészt megegyezik a korábbi tanulmányokban leírtakkal. A támadások 80%-a mindössze tíz országból indult, messze a legtöbb támadás az Egyesült Államokból eredt.

A számítógépes támadásokkal kapcsolatos kockázatokhoz az is hozzájárul, hogy az új informatikai termékekben található sebezheto pontok felfedezésének üteme tavaly jelentosen felgyorsult. Az új, dokumentált sérülékenységek száma 2002-ben 81,5%-kal volt magasabb az elozo évinél. Ezt a növekedést szinte kizárólag a kritikusnak minosített sérülékenységek adták. Továbbá a dokumentált sérülékenységek körülbelül 60%-a könnyen kihasználható lenne, vagy azért, mert az erre szolgáló rafinált eszközök széles körben elérhetok, vagy azért, mert kihasználásukhoz egyáltalán nem kell semmilyen eszköz. Végül a sérülékenységek hatalmas számát kihasználva a rosszindulatú programok írói az elmúlt 6 hónap során több sikeres összetett károkozót is útjára bocsátottak. Ezek jó része az útnak indításukat követo néhány órán belül gyorsan elterjedt az Internetre kapcsolt szervezetek között, és számos közülük mind a mai napig rendszerek ezreit fertozi meg szerte a világon.

Világosan látszik, hogy minden Internetre kapcsolódó szervezetnél nagy a számítógépes támadás és a rosszindulatú programok okozta fertozés kockázata. Emellett a teljesen új és – meglehet – még nagyobb pusztítással fenyegeto rosszindulatú programok és számítógépes támadásra szolgáló eszközök felbukkanásának lehetosége a jövore nézve lényeges kockázatot jelent. A jelentés további részében részletesebben kerülnek bemutatásra a fontosabb veszélyek irányzatai és a jövoben várható gondok.

A ˝Jelentés az internetes veszélyekrol˝
A Symantec „Jelentés az internetes veszélyekrol” címu tájékoztatója a világ legszabatosabb, legátfogóbb összefoglalója a jelenlegi számítógépes veszélyek irányzatairól. A tendenciákat nagy mennyiségu, a veszélyekre vonatkozó adat elemzésébol vezették le. A jelentés elso része napjaink számítógépes támadásainak fo irányzataiba ad betekintést. Ezeknek a következtetéseknek a levonására egy négyszáznál több céget felölelo mintavétel szolgált. A következtetések a több mint 30 országban muködo cégeknél üzemelo ezernél több behatolásérzékelo rendszer és tuzfal által a bekövetkezéssel egy idoben észlelt számítógépes támadások statisztikai elemzésén alapulnak. A jelentés második részében a dokumentált sérülékenységek és a rosszindulatú programok okozta járványok elemzése révén bepillantást nyerünk a veszélyeztetettség fo irányzataiba. Az ebben a részben olvasható következtetések a világ számtalan helyérol több milliónyi céges és magánfelhasználó által elemzésre beküldött rosszindulatú programkódok statisztikai elemzésébol és a több mint hatezer eltéro bejegyzést tartalmazó sérülékenységi adatbázisból származnak.

A jelentés kifejezetten a tapasztalati adatok elemzésén alapul. A Symantec teljes technikai és szolgáltatási kínálatát felhasználva ezek az adatok és elemzések az információvédelem teljes skáláját, a sérülékenységek és a rosszindulatú programkódok elemzését, valamint a hálózat felol érkezo számítógépes támadásokat is tartalmazzák. Ennek a tudásnak a közzétételével az információbiztonsággal foglalkozó közösség tagjai számára módot adunk arra, hogy felmérhessék cégük, az iparág és az egész internetes közösség jelenlegi és a jövobeni védelmi stratégiáját.

A fobb témák

A számítógépes támadások, az informatikai termékek sebezheto pontjai és az újszeru rosszindulatú programokra való általános érzékenység formájában megjeleno veszélyek az elmúlt hat hónapban jelentosek maradtak és továbbra is folyamatosan jelentkeztek. Tovább nott azon cégek veszélyeztetettsége, amelyek nem tették meg a megfelelo ellenintézkedéseket. Ezeket a tapasztalatokat az alábbi alcímek alatt található megállapítások támasztják alá: A számítógépes támadások, A sérülékenységek, A rosszindulatú programok.

A számítógépes támadások I.
Az elmúlt 6 hónap során a számítógépes támadások mennyisége – a férgek és az összetett veszélyek által kiváltottak kivételével – 6%-kal csökkent az azt megelozo 6 hónaphoz képest.

– hetente átlagosan 30 támadást észleltek a cégek az elmúlt 6 hónap során; ez az érték a megelozo fél évben 32 volt
– ennek a tevékenységnek a 85%-a támadás elotti „puhatolózásnak” bizonyult, a fennmaradó 15% valamely sérülékenység megkísérelt vagy sikeres kihasználása volt
– a támadások számának az elmúlt hat hónap során tapasztalt csökkenése ellenére a támadások átlagos mennyisége az elmúlt 6 hónapban is 20%-kal magasabb volt, mint 2001 azonos idoszakában

A kritikus események elofordulási gyakorisága az utóbbi hat hónapban kis mértékben csökkent az azt megelozo hat hónaphoz képest.

– a mintában szereplo cégek 21%-a legalább egy komoly támadást szenvedett el az elmúlt 6 hónap során; ez az érték a megelozo fél évben 23% volt
– a kritikus események jelenlegi elofordulási gyakorisága jóval alacsonyabb, mint ahogy az 2001 azonos hat hónapja során tapasztalható volt

A támadások bizonyos idoszakokban más-más mintát követtek.

– a támadások mennyisége és súlyossága a hét többi napjához képest szombaton és vasárnap számottevoen alacsonyabb volt, ez megfelelt az elozo hat hónap tapasztalatainak
– a támadások ingadozása inkább a támadó rendszerek földrajzi helyén érvényes helyi idovel hozható összefüggésbe, semmint a megtámadottéval
– az Internetre kapcsolódó szervezetek által észlelt támadások észlelhetoen a greenwich-i ido szerinti (GMT) 12 és 21 óra között csúcsosodtak ki, függetlenül az egyes hálózatok helyétol és az ottani helyi idotol; ez több, nagy kapacitású helyi támadásforrás hozzávetolegesen egyideju csúcstevékenysége következményének tunik

A vállalatokat ért támadások relatív súlyossága és mennyisége továbbra is a tevékenységi kör, a méret és az ügyfelünkként eltöltött évek függvénye.

– továbbra is az energiaipari cégek tapasztalták a legtöbb támadást és kritikus eseményt
– a non-profit és a pénzügyi szolgáltatási szektorban is több támadás és kritikus esemény fordult elo
– a nagyobb cégek (az alkalmazottak számát tekintve) szintén több és súlyosabb támadást tapasztaltak
– azoknál a cégeknél, ahol a védelem felügyelete hosszabb ideje muködik, csökken a veszélyeztetettség; a védelmet 12 hónapnál rövidebb ideje felügyelo cégeknél a súlyosabb támadások aránya 29%, az ezt 12 hónapnál régebben alkalmazóknál 17%

A számítógépes támadások II.
A támadások kiindulási ország szerinti eloszlása az elmúlt 18 hónapban viszonylag állandó volt, de néhány esetben az aktivitás jelentos ingadozása is megfigyelheto volt.

– a tíz legaktívabban támadó ország számlájára írható az elmúlt hat hónap támadásainak 80%-a; az Egyesült Államok továbbra is a legnagyobb részese ezeknek, innen eredt az összes támadás 35,4%-a
– A Dél-Koreából származó támadások száma az elmúlt hat hónap során 62%-kal nott, ezzel ez az ország az összes támadást tekintve a második helyre került. A tízezer internetezore vetített támadásokat tekintve az elso csoportbeli országok között a vezeto helyen áll. Ennek a tendenciának az egyik oka feltehetoleg Dél-Korea gyorsan növekvo magánfelhasználói célú szélessávú infrastruktúrája. Ha nem alkalmaznak széles körben védelmet, a szélessávú elérés elterjedésével más országokban is nohet az oket érinto és a tolük kiinduló rosszindulatú tevékenység.
– egyes kelet-európai országokban a tízezer felhasználóra vetített támadások száma magas; az elso csoport országai közül Lengyelország és a Cseh Köztársaság áll a második és harmadik helyen, míg Románia Lettország, Litvánia és Szlovákia mind a második csoport országai közt szerepel

Az elmúlt fél év során a Symantec nem tapasztalta a számítógépes terrorizmus bizonyítható jelét.

– a számítógépes terrorizmus miatt figyelemmel kísért országok jegyzékén szereplo országokból érkezo támadások az összes káros tevékenység kevesebb mint egy százalékát tették ki

Az eseményekre több mint 50%-ban a belso visszaélések miatt kellett reagálni.

– a túlsúlyban levo külso támadások mellett az ügyfelek úgy értékelték, hogy a belso visszaélések okozta kár is különösen nagy volt
– az elkövetés viszonylag egyszeru módja és a saját becslésen alapuló magas kárérték arra figyelmeztet, hogy rendkívül fontos a belso veszélyek elleni védekezés

A sérülékenységek
A Symantec 2524 új sérülékenységet dokumentált az elmúlt hat hónapban, amely a 2001. évihez képest 81,5%-os növekedést jelent.

– átlagosan napi hét új sérülékenységet jegyeztek fel a Symantec elemzoi az elmúlt év során
– a növekedés lehetséges okaként a gyártói felelosség kizárására való törekvés, a szoftverhibák kihasználásának egyes új módszerei és a sérülékenységeket kutatók iránt megnövekedett sajtóérdeklodés említheto

Az új sérülékenységek számának növekedése a közepesen vagy nagyon veszélyes sérülékenységek számának meredek emelkedésére vezetheto vissza.

– a 2002-ben leírt közepesen vagy nagyon veszélyes sérülékenységek száma 84,7%-kal volt magasabb a 2001. évinél; összehasonlításképpen a kevéssé veszélyes sérülékenységek száma csupán 24%-kal nott 2001-hez képest
– ezt a tendenciát láthatólag leginkább a kívülrol támadható webes alkalmazások gyors kifejlesztése és alkalmazásba vétele erosíti

Az elmúlt néhány év alatt semmi sem változott azon a téren, hogy az új sérülékenységeket viszonylag könnyen kihasználhatják a támadók.

– az új sérülékenységek körülbelül 60%-a könnyen kihasználható, mert vagy egyáltalán nincs szükség a kihasználásához megfelelo programra, vagy azért, mert az széles körben hozzáférheto
– mindamellett a kihasználásukhoz külön programot igénylo sérülékenységek csupán 23,7%-ához áll jelenleg rendelkezésre ilyen program, szemben a 2001. évi 30%-kal

A 2002-ben felbukkant sérülékenységek alapján számos, igen káros jövobeni veszély jelentkezett, amelyeket még csak éppen elkezdtek alkalmazni a támadók és a rosszindulatú programok írói.

Az ismert összetett veszélyek csak egy töredékét használják ki az eddig leírt sérülékenységeknek. Míg a korábbi összetett veszélyek sikeresen használják ki a már hónapok óta ismert sebezheto pontokat, úgy tunik, hogy a mostanában felfedezett sérülékenységek jó része továbbra is a jövobeni támadások jelentos mértékben kihasználható célpontja marad.

Számos elterjedten használt, nyílt forráskódú alkalmazást láttak el trójai célra „hátsó ajtóval” a múlt év során. A támadások a nagy forgalmú terjeszto webhelyekre irányultak, akik jelentos erofeszítéseket tettek saját védelmük érdekében. Ez figyelmeztetésül szolgálhat nem csak más, nyílt forráskódú projektek, hanem a kereskedelmi szoftverek gyártói számára is. Az egyedi rendszerek megtámadása helyett a támadók nyíltan keresik az olyan lehetoségeket, amelyekkel rövid ido alatt nagy számú rendszert befolyásolhatnak.

A webes felhasználói programok sebezheto pontjaira, különösen azokra, amelyek a Microsoft Internet Explorerére hatnak, idén különösen oda kell figyelni. A múlt évben ezeknek a sebezheto pontoknak a száma és veszélyessége nagy mértékben nott.

A rosszindulatú programok
Az internetes közösség számára a legnagyobb kockázatot továbbra is az összetett veszélyek jelentik.

– három összetett veszély (a Klez, a Bugbear és az Opaserv) tette ki a Symantec Security Response-hoz az elmúlt hat hónap során beérkezett rosszindulatú programrészletek közel 80%-át
– a Symantec ügyfélköre által észlelt számítógépes támadások nagy részét csupán néhány régi és új összetett károkozó, például a Bugbear, a Nimda és a Code Red okozta
– a mostani rosszindulatú programok, például a Bugbear továbbra is sikeresen használják ki az olyan sebezheto pontokat, amelyek már legalább egy hónapja ismertek, így az internetes közösség egésze továbbra is nagyon sebezhetonek tunik az új összetett veszélyekkel szemben, amelyek terjedésükhöz az ismert sebezheto pontokat használják ki

A fertozés hordozói (a sérülékenység kiaknázásának módszerei) és magának a bajt okozónak a célpontjai is megváltoztak az elmúlt hat hónap során.

– az öntöbbszörözo tömeglevél-küldok száma meredeken emelkedett; az elmúlt hat hónap során leggyakrabban jelzett ötven veszély közül nyolc öntöbbszörözo tömeglevél-küldo volt, míg 2001-ben csupán egy ilyen volt az ötven között
– a bizalmas felhasználói információk ellopására szakosodott rosszindulatú programok az elmúlt év során jelentosen elszaporodtak; az üzleti titkok, a kényes pénzügyi információk és más magánjellegu adatok nyilvánosságra kerülésének lehetosége nagyságrendekkel megnövelheti a kár lehetséges mértékét

A tömeges felhasználás piacára most belépo technikai eljárások igen kedvezo lehetoséget jelentenek a rosszindulatú programíróknak.

– a közvetlen üzenetküldo és az egyenrangú hálózati (P2P) alkalmazások nagy piaci térhódítása és növekvo jogtalan használata ezeket a programokat a jövo összetett veszélyeinek fertozésközvetítoivé teszi
– a mobil eszközöktol 2003-ban és 2004-ben erosebb piaci térhódítást várnak; ezek az eszközök gyakorta meglehetosen gyenge védelemmel kerülnek használatba, ezáltal a jövo rosszindulatú programjainak nagyon hatékony terjesztoi lehetnek

Megjegyzés: Az összetett veszélyek a vírusok, a férgek, a trójaiak és a rosszindulatú programok tulajdonságait a szerverek és az internetes sérülékenységek kihasználásával ötvözve indítják, viszik át és terjesztik el a támadást. Az összetett veszélyek többféle módszert és eljárást használva gyakran igen gyorsan terjednek és széles körben okoznak károkat.