Roční virový souhrn a předpověď na rok 2004

Na sklonku roku 2003 zůstává nebezpečný kód (viry a jiný zlomyslný kód) problémem počítačových uživatelů.
Roční virový souhrn a předpověď na rok 2004

Uživatelé musí být stále na pozoru a potřebují ochránit své internetové brány a počítače a zabezpečit své informace. Nebezpečný kód se totiž stále šíří, i přesto, že se vylepšují ochrany obsahu včetně antivirových řešení, firewallů a zavádí se další bezpečnostní inovace. V současnosti má většina podniků zavedený nějaký způsob ochrany. Plní ovšem tato řešení správně své úkoly? Jak se mají systémoví správci rozhodnout, které řešení implementovat? A jak mají s ohledem na stávající rozpočet správně přednést své rozhodnutí vyššímu managementu? Tato zpráva by měla pomoci najít odpovědi na uvedené otázky, pochází od společnosti Trend Micro a jedná se o analýzu vývoje nebezpečného kódu a předpoklady dalšího vývoje.

 

Před dvanácti měsíci předpověděla společnost Trend Micro, že červi hromadně zaplaví e-mailové systémy a stanou se tak největším počítačovým nebezpečím v roce 2003. Tento odhad se potvrdil a stal se významným problémem s předpokladem, že e-mailoví červi zde jsou nyní, a zůstanou zde i v budoucnosti.

 

Když se podíváme na strohá data pro leden až listopad vztažená k tříletému období mezi 2001 a 2003 (graf 1), zjistíme, že počet upozornění společnosti Trend Micro je podobný pro každý rok.[1] Z čísel také vyplývá, že ačkoliv se filtrování e-mailů podle typu souboru v příloze daří, ostatní nebezpečný kód může stále pronikat do podnikové sítě.

 

Kdysi se nebezpečný kód šířil disketovými jednotkami, soubory napadené virem byly rozeslány na kontakty z počítače uživatele, viry byly uloženy v souborech na sdílených discích apod. Virus mohl nakazit jeden soubor za druhým, dokud nebyl nalezen a vymazán antivirovým produktem nebo se neprozradil svou činností tak, že například vypsal nějaké hlášení nebo způsobil extrémní zatížení stroje.

 

Vlastnosti dnešních červů využívajících pro své hromadné šíření e-mailů jsou důsledkem propojení digitálního světa a toho, že tvůrci virů objevili nové metody, jak šířit nebezpečný kód dále a rychleji a používat k tomu komunikačních připojení uživatelů. Od roku 2001 do 2003 měly všechny průlomy charakteristiky počítačových červů.

 

 

Další zkoumání těchto dat potvrzují, že průlomy realizované pomocí scriptů a makrovirů ztratily svou úspěšnost. Uvízly na spodku grafu, měly zenit v roce 2002 a přestanou se objevovat v roce 2003. Graf 2, viz níže, byl sestaven podle aktuálních statistik zaznamenaných Centrem pro sledování nebezpečných kódů společnosti Trend Micro (World Malware Tracking Center), které je částí laboratoří TrendLabs. TrendLabs tvoří globální výzkumné centrum společnosti Trend Micro.

 

  Podobné údaje publikoval také Virus Bulletin Magazine. Údaje (ve srovnání s podnikovými průniky zjištěnými v tříleté periodě) odpovídají procentnímu růstu různých základních typů nebezpečných kódů In-the-Wild (ItW).  (Viz Graf 3)

  

Jiným měnícím se trendem je používání Internet relay chat (IRC), který v roce 2002 fungoval jako distribuční most nebezpečného kódu a zůstal aktivním distribučním mechanismem v roce 2003. V jednom případě napadl červ síť velkého podniku a zanesl do ní trojského koně se zadními vrátky. Nejdříve oblafnul správce, kteří si mysleli, že v síti žádný virus není; postupně byl objeven, když se několik zaměstnanců prostřednictvím podnikové sítě napojilo na chat server.

 

Tvůrci virů prokázali rostoucí tendenci napadat systémové chyby a využívat jejich děr pro další šíření nebezpečeného kódu. Patří mezi ně služby pro webové publikování zahrnující Microsoft Internet Information Service (IIS) a Apache, Microsoft SQL Server, a jak jsme zmínili výše, nejrůznější exploidy zapříčiněné automatickým spouštěním e-mailových příloh. Díky využití lepších filtrů příloh se snižují počty výskytů masivních mailingů a jsou na ústupu, ale stále představují společně se sociálním engeneeringem nejefektivnější distribuční metodu. Mapované a systémové disky se nyní stávají hlavní metodou šíření. V minulosti panovala domněnka, že je to jednoduchý problém – pravděpodobně to způsobovaly chyby v konfiguraci nebo bezpečnosti, například se sdílením hesel v systémech s Windows 9x. V souvislosti s těmito typy nebezpečného kódu se začal používat termín „blended threat“ označující kód, jenž pro atakování různých částí sítě kombinoval několik distribučních metod. (Viz Graf 4 níže)

 

  

Podle grafu uvedeného výše by si administrátoři měli dát pozor na zvláštní charakteristiky, podle kterých se nebezpečných kód projevuje a jimiž se snaží udržet v síti, do které proniknul. 

 

 

 

 

 

 

Rekapitulace společnosti Trend Micro za rok 2003 včetně poznámek:

 

 

1.      Jak vidíte na grafu 1 a grafu 5, většina červů používá pro navedení uživatelů, aby klikli na přílohy a spustili přílohy e-mailů, některých forem sociálního engeneeringu.

2.      Hlavním zklamáním je skutečnost, že tvůrci virů přidali do kódů kromě samokomprese, šifrování a ochrany proti trasování také další vrstvy, které zapříčinily další komplikace z hlediska zpomalení jejich analýzy. (Viz Graf 5 výše)

3.      Bezpečnostní chyby a chyby v běžných aplikacích jsou využívány tvůrci virů a hackery a prokazují, že se jedná o slabá místa v obranných strategiích podniků.  

4.      V letošním roce jsme zaznamenali významný nárůst nebezpečného kódu využívajícího útoku typu Denial-of-Service. Tyto druhy útok jsme zaznamenávali zejména v roce 2000; hlavním rozdílem mezi minulým a současným stavem je přesun od unixových kódů na implementace na platformě Windows.

5.      Podle úrovně, jaká uživatelská práva jsou poskytována systémem se hackeři mohou pomocí zadních vrátek (backdoors) dostat zpět do systému a způsobit větší škody. Existuje jen několik antivirových a bezpečnostních výrobců, kteří dovolí softwarovým vývojářům vyvinout opravy pro jejich „děravé“ aplikace,

6.      Další z technik vyskytujících se častěji bylo využití samoinstalujícího se kódu, který zabránil tomu, aby se antivirový produkt úspěšně napojil na svůj internetový server a stáhnul si nejnovější virové vzory.

7.      Nárůst jsme také zaznamenali u kódu, který se sám kontroluje, instaluje se do počítače a dokáže sám sebe znovu vytvořit pokaždé, když se počítač znovu zapne. Umí také bránit ve fungování antiviru a zajistit jeho odstranění z paměti, podobně je tomu u personálního firewallu a také u aplikací na boj s trojskými koni.

8.      Zaznamenali jsme také nárůst počtu případů, kdy se nebezpečný kód dostal do archivů, kde je e-mailová brána nastavená na filtrování příloh neobjevila. Bohužel stačí aplikovat jen minimum sociálního engineeringu a nechat uživatele, aby svou akcí sami umožnili další šíření viru.

9.      V současnosti vybavují tvůrci virů své výtvory vlastním SMTP serverem (Simple Mail Transfer Protocol) a eliminují tím závislosti na MAPI (Messaging Application Program Interface) využívaném v e-mailových řešeních společnosti Microsoft.

10.  Podle všeho se i tvůrci virů učí z vlastních chyb. Jak je ukázáno na Grafu 5, vrací se zpět k tradičním virovým základům.

 

Co tedy říci na závěr – co můžeme čekat? Společnost Trend Micro vytvořila na základě svých zkušeností s počítačovými viry následující předpovědi a poznámky pro rok 2004:

 

§         Standardně se budou využívat smíšené způsoby útoků.  

 

§         Stávající a budoucí kódy budou nadále zastavovat antiviry, personální firewall a monitorovací programy proti trojským koním.

 

§         Software pro filtrování webového obsahu a minimálně také pravidla pro prohlížení internetu musí být začleněny do podnikového prostředí. Jen tak lze zabránit nečekanému přesměrování na webové stránky s nebezpečným kódem.

 

§         Aplikace pro filtrování e-mailů budou poskytovat další úrovně ochrany. Antivirový software instalovaný na bránách je efektivnější ve vyhledávání nakažených souborů, které se pohybují v podnikové síti, a umí také prohledávat různé typy archívů a souborových formátů.

 

§         Vlivem ucpání e-mailových systémů způsobených činností virů se občas budou používat veřejné nebo nemoderované komunikační prostředky jako ITC a P2P.

 

§         Několik zprávy publikovaných v roce 2002 předpovídalo, že v roce 2007 bude mít 25 procent e-mailového obsahu nějakou formu komerčního spamu. Bohužel, realita je jiná. Prokazují to informace publikované organizacemi Nucleus Research, AmikaNow!, IDC a New York Times. Podle jejich zjištění datovaných k říjnu 2003 dosáhl spam 49 procent a očekávají, že poroste každý rok o 7 procent.

 

§         Systémoví správci musí být opatrní při hodnocení a výběru softwaru do svých podnikových sítí. Měli by si ověřit, zda jsou dodavatelé softwaru schopni zavčas poskytnout opravy chyb ve svém softwaru a jsou schopni nepřetržitě a spolehlivě poskytovat služby.

 

·        Podle toho, jak rostou podniky, je pro ně stále důležitější používat systémy centrálního řízení služeb. Několik dodavatelů poskytuje balíky řešení pro správu obsahu. Pokud se tyto balíky hodnotí, je potřeba dát pozor na jejich celkovou efektivitu a schopnost poskytovat provázaná data.

 

·        Síťoví správci se musí poohlížet po správcovských nástrojích, které jim umožní odpojit celé segmenty sítě, protože síťové viry se stále více stávají jejich běžnou součástí. Například lze stáhnout pravidla pro stahování souborů z internetu a rychle oddělit napadnutelné nebo nakažené části sítě a zabránit tak dalšímu síření nákazy, alespoň do doby, než se objeví vzor viru.

 

·        Náklady spojené s obnovou sítě a náklady na opravu škod budou i nadále představovat významnou položku. Pomocí vzorů chování virů (podle zařízení nebo podle útoku), mohou společnosti zkrátit dobu a potřebné zdroje nutné pro obnovení fungování sítí.

 

Více informací najdete na internetové stránce: www.trendmicro.com

 

 

Trend Micro, logo t-ball a TrendLabs jsou obchodními známkami a registrovanými obchodními známkami společnosti Trend Micro, Inc. Všechna ostatní jména společností a produktů mohou být obchodními známkami a registrovanými obchodními známkami příslušných vlastníků. 



[1] Trend Micro is conservative when calling virus alerts to avoid causing unnecessary concern

Váš názor Další článek: Balóny a bezpilotní letadla přinesou broadband

Témata článku: Microsoft, Zapříčiněná výše, Nebezpečná příloha, Wild, Nejnovější výtvor, Text, Nejefektivnější způsob, Škoda Element, Zenit, List, Roman, De


Určitě si přečtěte

Hesla jsou zlo. Hackeři napáchali tolik škody právě proto, že vůbec existují

Hesla jsou zlo. Hackeři napáchali tolik škody právě proto, že vůbec existují

** Nikdo si je nepamatuje ** Žádné není zcela bezpečné ** Nejlepší by bylo je prostě zrušit

Jakub Čížek | 59

Windows 10 podle našich čtenářů: Poslali jste nám skoro 300 nápadů, jak je vylepšit

Windows 10 podle našich čtenářů: Poslali jste nám skoro 300 nápadů, jak je vylepšit

** Microsoft aktualizuje Windows 10 dvakrát ročně ** Jenže praktických novinek už není tolik jako dříve ** Poslali jste nám skoro 300 tipů, co by se měly Desítky ještě naučit

Jakub Čížek | 139

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35


Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky