Anul 2005 a fost marcat de o crestere sensibila a numarului de vulnerabilitati descoperite in principalele programe care ruleaza pe computerele din intreaga lume, iar aceasta situatie va pune mari probleme companiilor care doresc sa asigure protectia sistemelor lor, se arata intr-o analiza realizata de GECAD NET, companie romana de securitate IT, membra a Grupului GECAD.

Astfel, nu doar virusii vor fi in centrul atentiei, ci mai ales noile modalitati de atac electronic, cu precadere in domeniul programelor-spion (spyware) si a furtului de identitate (phishing), accentul fiind pus pe atacuri cu scop financiar asupra companiilor si utilizatorilor individuali.

Banii si viata – varianta electronica

Amenintarile electronice din primele 11 luni ale acestui an s-au orientat din ce in ce mai mult catre obtinerea de profit si pe furtul de date personale, continuand tendinta aparuta in urma cu un an. Din acest motiv, periculozitatea atacurilor electronice este mai mare – utilizatorii avand de pierdut pe langa timp sau documente la care au lucrat chiar si banii sau identitatea personala. La nivel corporatist aceasta problema este cu atat mai acuta cu cat accesul neautorizat in sistemele companiilor poate duce la faliment sau la o pierdere masiva de business.

„Avem de-a face cu o tendinta ingrijoratoare, in care atacatorii nu mai sunt niste pustani cu capul mare care ataca la intamplare pentru a-si face un renume, ci niste profesionisti bine platiti care isi directioneaza atacurile foarte precis, in scopul obtinerii de avantaje financiare”, declara Mihai Dutescu, CIO GECAD NET. „Acesti atacatori schimba informatii intre ei si creaza retele de mii de calculatoare-fantoma care pot directiona atacuri la momentul dorit, profitand de vulnerabilitati recent descoperite”, este de parere el.

Tendinte inregistrate in 2005 – amenintari electronice

• Mai multi virusi, mai rapizi, dar mai putin periculosi
• Vulnerabilitati majore in aplicatiile principale
• Timp de reactie tot mai mic la vulnerabilitati
• Accent pe boti, spyware, spam, phishing
• Accent pe obtinere de profit
• Retelele devin tot mai complexe, cu puncte vulnerabile

Astfel, autorii de virusi cad treptat pe planul doi. Ei nu dispar din peisaj, ci doar se reprofileaza, pregatind noile generatii de virusi in asa fel incat sa fie doar o rotita dintr-un mecanism intreg de obtinere de bani de pe urma atacurilor electronice.

Tendinte inregistrate in 2005 – industria securitatii IT

• Versiunile noi de sisteme de operare si aplicatii sunt mai sigure, cu facilitati de securitate incorporate
• Implementare automatizata de patch-uri si update-uri de securitate
• Intrarea Microsoft pe piata securitatii IT
• Solutii antivirus complexe, care includ antispam, antiphishing, antispyware


Lantul slabiciunilor

Sistemul inregistrat in ultimul an este complex, dar simplu de explicat. Autorii de virusi se folosesc de vulnerabilitatile descoperite in principalele sisteme de operare si aplicatii pentru a lansa in libertate virusi capabili sa dezactiveze sistemele de securitate ale unui computer. Pe aceasta cale se preia controlul asupra a mii si mii de computere lasate neprotejate. Acestea sunt folosite in schimb la o multitudine de operatiuni ilegale, precum trimiterea automata de mesaje spam, atacuri concertate asupra retelelor unei companii sau trimiterea mai departe de mesaje virusate. Unii indivizi chiar inchiriaza aceste retele pentru bani, de unde si apetenta pentru coordonarea eforturilor de a scrie virusi spre aceasta destinatie.

Timpul tot mai scurt de la publicarea unei vulnerabilitati pana la lansarea unui virus care sa faca posibila exploatarea ei in scop ilegal duce la cresterea periculozitatii atacurilor. Viermele Zotob a lovit, de exemplu, la numai 5 zile de la publicarea vulnerabilitatii pe care o putea exploata. Paradoxal, in ultimul an nu s-a inregistrat nici macar o singura „alerta rosie” cu privire la virusi ci doar 22 de alerte „galbene”, in timp ce anul trecut raportul era de 5 alerte rosii si 45 de alerte galbene.

Cantitatea de virusi a crescut insa cu circa 130% fata de 2004, majoritatea fiind variante ale unor „familii” importante. Netsky conduce detasat in topul infectiilor raportate de producatorii antivirus precum Trend Micro, insa Sober este virusul care ocupa prima scena la sfarsitul anului, pregatind chiar un atac pentru inceputul lui 2006. Majoritatea sunt orientati pe producerea de boti exploatabili prin Internet si pe organizarea de retele de computere fantoma. De remarcat este si modularitatea lor, ceea ce permite realizarea de variante multiple cu scopuri si tinte diferite.

Amenintarile electronice in 2005 – date statistice GECAD NET

• 22 virusi cu grad mediu de periculozitate
• “Familii” de virusi devenite clasice – Netsky, Bagle, Mytob
• Peste 630 versiuni de virusi importanti
• Peste 1550 de noi versiuni de virusi in primele 11 luni ale lui 2005
• Peste 180 de vulnerabilitati in aplicatiile bazate pe sistemul de operare Windows
• Peste 140 de vulnerabilitati in aplicatiile bazate pe alte sisteme de operare

Noua generatie – mai agresiva, mai rapida, mai lacoma

O crestere masiva se inregistreaza insa in privinta noilor tipuri de atacuri electronice, acestea devenind deja mai periculoase decat cele traditionale. Acest lucru se datoreaza atat cresterii interesului pentru obtinerea de date confidentiale, cat si faptului ca aceste date dobandite in mod ilegal sunt utilizate in cadrul unor altor atacuri.

Programele spion (spyware) permit atacatorilor sa colecteze date despre comportamentul utilizatorilor iar atacurile de tip phishing permit chiar furtul de identitate, cu consecinte dezastruoase pentru victima. Acesteia i se fura datele de pe cardurile de credit utilizate online, parolele de pe computer si chiar informatii referitoare la comportamentul ei pe Internet. O varianta mai grava a acestor atacuri priveste marile corporatii, care pot fi astfel atacate din afara prin intermediul unor statii vulnerabile.

Efectele sunt vizibile: daca in 2005 s-a inregistrat o crestere cu 20% a costurilor legate de repararea efectelor atacurilor electronice „traditionale”, acestea ajungand la circa 20 de miliarde de dolari, in aceeasi perioada de timp costurile legate de phishing au depasit 48 miliarde $ (daune pentru banci, institutii financiare si mari corporatii, conform unui studiu Consumer Reports State of the Net 2005). Este vorba, e adevarat, de estimari, data fiind natura sensibila a informatiilor furate, dar este destul pentru a trage un semnal puternic de alarma cu privire la aceasta modalitate de atac.


Amenintarile de ultima generatie - 2005

• Phishing - iunie 2005, peste 60.000 de atacuri, de la doar 56 in Ianuarie 2005
• Atacurile asupra informatiilor confidentiale au crescut cu 37% in primele 6 luni
• 74% din malware expune informatii confidentiale
• Spyware – peste 67% din computerele de pe glob sunt infectate
• Spam – 61-80% din e-mail-urile trimise in 2005

Romania – sfarsitul perioadei linistite

Pana acum Romania era oarecum in afara furtunilor electronice care agita lumea occidentala, iar acest lucru se intampla din doua motive principale: slaba conectare la Internet si dezinteresul autorilor de atacuri electronice pentru piata romaneasca. Chiar si hackerii romani se orientau spre „export”, atacand site-uri si companii straine de la care puteau obtine mai multe avantaje. Aceasta situatie nu va mai dura multa vreme. Piata romaneasca devine din ce in ce mai interesanta pentru atacatori din simplul motiv ca tot mai multa lume acceseaza Internetul in scop de afaceri. Tendinta mondiala a atacurilor pentru bani incepe deci sa se resimta si in Romania.

Conform unor studii GECAD NET, 36,9% dintre utilizatorii romani primesc intre unul si cinci mesaje virusate in fiecare zi, costurile anuale legate de infectarea cu virusi si spam depasind 210 milioane euro. Din fericire, majoritatea companiilor 60% din companii au o forma de protectie antispyware si marile corporatii prezente in Romania acorda o atentie deosebita asigurarii protectiei sistemelor lor informatice. In acelasi timp insa, 64,6% din companii cheltuiesc sub 1000$ anual pentru solutii de securitate IT si piata este orientata in continuare spre produse, nu spre solutii dedicate.

In afara presiunii exercitate de virusii primiti de pe Internet, utilizatorii romani au trebuit sa faca fata si primelor atacuri neconventionale, precum virusi conceputi strict pentru piata romaneasca (virusul antimanele) si primele tentative de phishing („campania sociala BNR”). Aceste atacuri au avut mari sanse de succes datorita faptului ca erau primele orientate strict spre publicul roman, care de obicei nu raspunde la spam-urile si tentativele de phishing straine pentru ca nu il privesc. A fost insa de ajuns sa se utilizeze inginerii sociale simple, precum recurgerea la antipatia generala fata de manele si la emotia cauzata de inundatiile din vara pentru a se genera un flux impresionant de mesaje virusate si pentru ca destui romani sa isi ofere de bunavoie datele de pe cardurile lor, cu pagube inca greu de calculat.

Virusul Antimanele (worm_antiman) are sanse sa ramana in istoria IT ca primul virus dat mai departe de bunavoie in afara laboratoarelor. Virusul stergea de pe computerul infectat toate fisierele care contineau manele, iar reactia publicului la acest virus a fost complet atipica, foarte multe persoane trimitand virusul la prieteni de bunavoie, pentru a le face „surpriza” de a-i lasa fara manelele de pe computer. Desi antipatia fata de manele putea justifica aceasta reactie in masa, virusul in sine avea un potential periculos mult mai mare decat isi dadeau seama cei ce l-au trimis voluntar mai departe. Virusul putea fi usor modificat pentru a sterge orice tip de fisier, inclusiv documente importante. Mai mult, reactia marilor producatori de antivirus a fost un pic intarziata tocmai din cauza limitarii acestui virus la zona Romaniei.

Phishing-ul „BNR” – un mail care pretindea a fi din partea BNR si care, profitand de pe urma inundatiilor si a campaniilor sociale initiate cu aceasta ocazie, cerea utilizatorului sa doneze online o suma de bani. Odata ajuns pe site-ul care imita site-ul BNR, victima era indrumata sa introduca datele cardului sau, inclusiv PIN-ul acestuia. In mod evident, nici o banca nu va cere vreodata, in nici un fel, PIN-ul utilizatorilor. Pana la blocarea serverului care adapostea site-ul fals, destui utilizatori furnizasera deja datele de pe cardurile lor, riscand astfel ca intreaga suma de pe aceste carduri sa fie compromisa.


Ce ne asteapta in 2006

2006 poate fi numit „anul vulnerabilitatilor IT”, si aceasta din mai multe motive. In primul rand, ritmul descoperirii de vulnerabilitati in principalele aplicatii si sisteme de operare este foarte mare. In acest aspect diferentele cantitative intre diferitele sisteme de operare sunt neglijabile, ceea ce arata ca cel mai important pentru securitatea IT este comportamentul utilizatorului, nu doar mediul electronic folosit.

In al doilea rand este foarte greu ca toate patch-urile de securitate pentru fiecare aplicatie in parte sa fie instalate la timp, din cauza transformarii retelelor obisnuite (statii de lucru si servere inchise intr-un spatiu anume si conectate intre ele si la Internet) in retele complexe si dispersate (la reteaua obisnuita se adauga laptop-urile conectate de la distanta precum si alte dispozitive mobile care deja interactioneaza cu reteaua), precum si a numarului mare de aplicatii utilizate in companii. In al treilea rand, timpul de reactie al atacatorilor este din ce in ce mai mic, de la publicarea unei vulnerabilitati pana la aparitia atacului care o exploateaza trecand doar cateva zile. Daca in aceasta perioada de timp aplicatiile cu probleme nu sunt actualizate, organizatia respectiva este intr-un mare risc.

Pe de alta parte, vectorii de atac vor fi orientati tot mai mult pe obtinerea de profit, atacurile spyware si phishing devenind cele mai periculoase tipuri de atacuri distribuite. Aceasta ridica gradul lor de periculozitate, pentru ca una este sa pierzi anumite sume de bani ca urmare a unui atac DoS sau a unei infectari cu un virus, si cu totul alta este sa pierzi datele confidentiale ale clientilor si partenerilor precum si informatiile financiare referitoare la acestia. Utilizatorii casnici care utilizeaza computerul pentru a cumpara de pe Internet sunt si ei sfatuiti sa acorde atentie sporita site-urilor de pe care cumpara si modului in care utilizeaza informatiile financiare personale. Nu in ultimul rand, atacurile de tip spyware si phishing vor fi orientate tot mai mult si spre piata romaneasca.

Iata de ce GECAD NET considera ca este cazul sa avertizeze intr-un mod serios asupra necesitatii schimbarii de optica in cadrul marilor organizatii. Instalarea unui antivirus si a unui firewall nu mai sunt masuri suficiente pentru asigurarea securitatii unei organizatii. Companiile care nu au o politica de securitate clara vor fi cele mai afectate, unele dintre ele putand suferi pierderi de business importante. Este de asemenea necesara o educare a angajatilor pentru a avea un comportament corect atunci cand utilizeaza mailul sau Internetul. Virusii si mesajele dubioase nu trebuie sa fie trimise mai departe sub nici o forma. In plus, datele personale trebuie folosite pe Internet cu mare grija, de preferabil doar pe site-uri securizate.

Cuvintele de ordine pentru departamentele de securitate IT in 2006 ar trebui sa fie: solutii dedicate, solutii multinivel si solutii de gestiune a securitatii. Aceasta ar racorda organizatiile romanesti la tendintele mondiale, in care organizatiile trec de la politicile de securitate orientate spre produse, la politicile de securitate bazate pe solutii specifice necesitatilor acelor organizatii.

Utilizatorii casnici vor trebui sa renunte la utilizarea de soft piratat. De exemplu, sistemele de operare Windows nu mai pot fi actualizate – inclusiv cu patch-uri de securitate – daca nu au o licenta valabila. Acest lucru va face ca acei utilizatori care utilizeaza versiuni piratate de Windows sa devina din ce in ce mai vulnerabili odata cu trecerea timpului. Aceeasi tendinta se observa si la alti producatori de aplicatii software. Daca pana acum utilizarea conexiunilor dial-up facea putin probabila infectarea cu viermi de internet, conexiunile rapide actuale duc la infectarea unui computer neprotejat in mai putin de 20 de minute. De acest lucru ar trebui sa se tina cont in primul rand la cumpararea unui computer nou. Inexistenta unui sistem de operare si a unor aplicatii de securitate cumparate in mod legal pe acel computer nou poate duce la ratarea intregii investitii.

„Avand in vedere si timpul scurt ramas pana la integrarea in Uniunea Europeana, GECAD NET sfatuieste organizatiile romanesti sa priveasca securitatea IT ca pe un element critic de business, si nu ca pe o problema de natura tehnica”, spune Mihai Dutescu. „Companiile occidentale de succes utilizeaza investitiile in securitatea IT pentru a-si asigura o dezvoltare puternica. Companiile romanesti nu mai pot utiliza mult timp investitiile costisitoare in IT doar pentru prelucrarea de documente intr-un mediu slab protejat. Fara o atentie egala acordata modului in care se utilizeaza resursele IT, investitiile in acest domeniu se pot dovedi nerentabile. 2006 va fi un an critic in recuperarea distantei care desparte inca organizatiile romanesti de standardele europene.”