2024. november 23., szombat - Kelemen

Adatbiztonsági összefoglaló 2008. első negyedévéről

2008-04-09 544

Az F-Secure kutatói szerint év végére várhatóan egymillióra növekszik a vírusok száma. A finn F-Secure antivírus-gyártó cég mérései szerint 2008-ban minden korábbinál gyorsabban gyarapszik az újonnan felfedezett kártevők száma - a vállalat kutatólaboratóriumába a hét minden napján átlagosan 25 ezer fertőzött fájlminta érkezik...

... , így valószínûsíthető, hogy év végére legalább egymillió különféle kártékony vagy veszélyes programot kell majd felismerniük a biztonsági szoftvereknek.

Miközben a bûnözők minden eddiginél több ártó programot készítenek, a felhasználók gyakran mégis a korábbi évekhez képest kevesebb fertőzésről számolnak be. Ennek a látszólagos ellentmondásnak az lehet a magyarázata, hogy a vírusírók az utóbbi időben megváltoztatták, kevésbé feltûnővé tették kártevő-terjesztési szokásaikat

Tavaly és tavalyelőtt a legtöbb fertőzést még levélmellékletben továbbították, ami nagy járványok kialakulásához vezetett (Beagle, MyDoom és Warezov). Ez a módszer napjainkban már nem igazán mûködik, mivel szinte minden cég és intézmény szûrést alkalmaz az .EXE fájlokhoz hasonló kockázatos mellékletek megállítása érdekében.

A netes bûnözők ezért újabban a "drive-by download" néven ismert módszert részesítik előnyben, amely webes letöltés révén juttatja el a fertőzést az áldozat gépére. A támadás első körben még mindig kéretlen üzenetek (ún. spam) tömeges kiküldésével veszi kezdetét, melléklet helyett azonban ezek a levelek rosszindulatú weboldalakra mutató hivatkozást tartalmaznak - vagyis az áldozat SMTP levélprotokoll helyett HTTP vagy FTP adatforgalom révén fertőződik meg.

Útszéli letöltések

Számítógépünk automatikusan drive-by típusú fertőzés áldozatává válhat, ha fertőzött webhelyre látogatunk. A legtöbb felhasználó nem rendelkezik tökéletesen befoltozott operációs rendszerrel, webböngészővel és kiegészítő programokkal, ezeknek a szoftvereknek a biztonsági hibái pedig kiszolgáltatottá teszik a rendszert. Az ártó kód manuális letöltés révén is felkerülhet a gépre, ha a hackerek megtévesztéssel rá tudják venni a felhasználót, hogy a veszélyes linkre kattintson és lefuttassa a webről származó kártékony programot.

A vírusterjesztők számára fontos, hogy minél nagyobb legyen a kártékony webhelyek látogatottsága, ezért gyakran olyan spam üzeneteket terjesztenek, amelyek figyelemfelkeltő témájuk révén igyekeznek rávenni a címzettet a csalárd webhivatkozás megnyitására. Ezek a levelek olyan tárggyal érkezhetnek mint pl. "Szerepelsz egy YouTube videón!", "Üdvözlőkártyád érkezett!" vagy "Köszönjük megrendelését!".

Ennél kifinomultabb az a módszer, amikor a bûnözők a Google netes keresőrendszer számára előkészített kulcsszavakkal feltöltött webhelyek sokaságát hozzák létre, arra várva, hogy a weben szörfözők valamilyen általános téma nyomában (pl. kötött kesztyûk) eljutnak a kártékony weboldalra, ahol a támadókód (ún. exploit) a háttérben automatikusan lefuthat - anélkül, hogy a képernyő előtt ülő felhasználó ebből bármi gyanúsat érzékelne.

A harmadik, leginkább kockázatos kártevő-terjesztési módszer azon alapul, hogy népszerû, sokak által megbízhatónak tartott webhelyeket is fel lehet felhasználni a netezők megfertőzésére. A régóta alkalmazott közvetlen támadás, a webhely feltörése magas kockázattal jár, a bûnözők ezért a korábbi évek vicces kedvû vagy éppen tiltakozni vágyó hackereitől eltérően általában egyetlen látható részletet sem változtatnak meg az ellenőrzésük alá vont weboldalon.

A portál látszólag továbbra is normálisan mûködik - eltekintve attól, hogy a HTML forráskódba illesztett néhány sornyi JavaScript utasítás közremûködésével kártevő települ a látogatók számítógépére. Több népszerû, naponta milliós nagyságrendû olvasótáborral rendelkező magazin webhelye vált már ilyen támadás áldozatává, az emberek pedig általában megbíznak a napi rutinjuk részévé vált webhelyekben és nem gondolnak arra, hogy oda látogatva a számítógépükkel baleset történhet.

Idegen honlapokat felhasználó támadás ráadásul a webszerver feltörése nélkül is kivitelezhető, mert a magas látogatottságú portálokon nap mint nap növekvő mennyiségû reklámmal találkozunk. Ha a vírusterjesztőknek sikerül megtévesztés vagy hackelés útján bejutniuk egy nagy reklám-háttérszolgáltató rendszerébe, az animációba rejtett támadó kód számítógépek millióit érheti el, gyakran anélkül, hogy erről a portál webmesterének tudomása lenne - ahogy ez a svéd TV4, az Expedia vagy az amerikai profi baseball- és jégkorong-ligák honlapjaival megtörtént.

A fenti okok miatt fontos, hogy a felhasználók tisztában legyenek a modern fertőzések megváltozott természetével - a hackerek ugyanis számos módon kihasználhatják az SMTP alapú kártevőket felváltó, HTTP letöltéssel érkező ártó kódok képességeit. Sok cég mind a mai napig a levélforgalomból kiszûrt vírusos mellékletek mennyisége alapján értékeli a számítógépes hálózatukat érintő fertőzések kockázatát, ami így egyértelmû csökkenést mutat - a web alapú kártevők terjedése miatt azonban az átfogó biztonsági helyzet valószínûleg semmit sem javult.

A magán- és céges felhasználóknak éppen ezért gondoskodniuk kellene arról, hogy a webhasználattal összefüggő adatforgalmuk is vírusellenőrzésre kerüljön - sőt a szûrésnek az FTP protokollra is ki kell terjednie, mert ez a régi fájlátviteli rendszer az utóbbi időben igen népszerûvé vált a spam levelekben fertőzött letöltési helyeket hirdető vírusterjesztők körében.

Fejlett rootkit technológia a neten

A Mebroot nevû rootkit - vagyis a rendszer szintje alatt rejtőzködni képes programkártevő - az utóbbi idők legnehezebben észlelhető fertőzései közé tartozik. A jelenleg már "drive-by" letöltések révén is szabadon terjesztett Mebroot ezen képessége abból származik, hogy a lopakodáshoz szükséges minimális programkódot az úgynevezett Master Boot Record területen, a merevlemez legelső fizikai szektorában tárolja és tölti be a rendszerindítás során.

Ezt a trükköt már jó 15 évvel ezelőtt is több híres MS-DOS alapú vírus alkalmazta - például a Stoned vagy a Michelangelo. A Microsoft Windows megjelenésével azonban a módszer egy időre feledésbe merült, így a legtöbb biztonsági szoftver ma még nincs felkészülve az MBR-rootkit fenyegetés kivédésére.

A meglepetésként felbukkant Mebroot kártevő arra használja a legelső szektor tárolóterületét, hogy víruskódjának kényes részeit kivonja az ellenőrzés alól, illetve a minimumra csökkentse a futó rendszeren végrehajtott rosszindulatú módosítások számát. Ez a trükk nagyon megnehezíti a fertőzés Windows alól történő észlelését, a Mebroot felfedése érdekében az F-Secure cégnek is tovább kellett fejlesztenie saját, Blacklight elnevezésû rootkit-irtó szoftverét.

Ez a fejlemény is azt bizonyítja, hogy a napjaink vírusfejlesztéseit meghatározó elektronikus bûnözői csoportok már megfelelő anyagi forrásokkal és szakértelemmel rendelkeznek új, komplex támadási módszerek kifejlesztéséhez. A boot-szektorból betöltődő, a Windows indulását túlélő, majd az operációs rendszerbe befurakodó és ott elrejtőzni képes hatékony programkód kifejlesztése és az éles bevetés előtt szükséges hosszadalmas tesztelés komoly erőfeszítést igényel.

A Mebroot kártevőt jelenleg elsősorban banki adatlopó trójai programok álcázására használják a vírusterjesztők, mivel egyértelmûen ez az a terület, ahol befektetéseik gyors megtérülésével számolhatnak - az F-Secure cég kutatói szerint azonban a jövőben több különféle rootkit program is alkalmazhatja majd az MBR-ben történő rejtőzködés módszerét.

Először észleltek zsaroló trójait okostelefonon

Az újabb és újabb kártevők kifejlesztését napjainkban elsősorban a haszonszerzés motiválja. A Kiazha trójai program megjelenése ismét alátámasztja ezt a megállapítást, hiszen ez a kínai eredetû fertőzés Symbian mobileszközökre is kiterjeszti a Windows vírusok világából már ismert váltságdíj-koncepciót. Az ilyen támadás lényege, hogy az ártó kód a fájlok illetéktelen titkosítása, vagy a számítógép mûködésének jelentős korlátozása révén "túszul ejti" az értékes adatokat és váltságdíjat követel az eredeti állapot visszaállításáért cserében. A felhasználó csak akkor kapja meg kikódoláshoz szükséges jelszót, ha előtte elektronikus úton átutalja a hackerek által kért összeget.

A második generációs S60 okostelefonokon futó Kiazha zsaroló trójai program ennél valamivel egyszerûbb módon mûködik. A fertőzést elsősorban ingyenesen letölthető shareware alkalmazásnak álcázva terjesztik, a telepítés során azonban a csomagból több régebbi mobilvírus kerül a rendszerre, a képernyőn megjelenő zsaroló üzenet pedig a mentesítésért cserébe kb. hét dollárnak megfelelő összeg átutalását követeli a felhasználótól.

Napjainkban egyre több ember munkája és kapcsolatai függenek a miniatûr irodaként is funkcionáló mobil-kommunikációs eszközöktől, így sokan hajlandóak kifizetni a váltságdíjat azért, hogy visszakapják leveleiket, címjegyzéküket és határidőnaplójukat. Elképzelhető tehát, hogy a jövőben még több hasonló kártevővel fogunk találkozni.

További fenyegetések a mobilkommunikáció területén

A Beselo mobilféreg, amely szintén az elterjedt Symbian mobil alapszoftvert veszélyezteti, más szempontból számít újszerûnek - sikeres terjedése ugyanis a felhasználók trükkös megtévesztésén alapul. A Bluetooth vagy MMS csatornán keresztül érkező támadó üzenetek olyan speciálisan formázott SIS programcsomagot tartalmaznak, amelyet a hackerek médiafájlnak álcáztak - a címzett emiatt nagyobb valószínûséggel kattint rá a tartalomra.

A féreg álcázását azonban felfedi a telepítés megerősítését kérő dialógus-ablak, amelynek megjelenése valódi audiovizuális tartalom esetén teljesen indokolatlan lenne. Ha a tehát beauty.jpg, love.rm, sex.mp3 vagy hasonló elnevezésû állománnyal találkozunk Symbian eszközön, figyeljünk arra, hogy az érvényes képek és zeneszámok a megnyitáskor azonnal elindulnak - így bármely más tevékenység gyanúra adhat okot.

Említést érdemel még a HatiHati.A elnevezésû, féreg jellegzetességeket felmutató mobiltelefonos alkalmazás, amely bár nem szándékosan, de igazi bajkeverőnek bizonyult. A kereskedelmi szoftverként, telefonlopás jelzésére és a készülék letiltására kifejlesztett alkalmazás egyik hibás bétaverzióját ugyanis gyakran terjesztik lopott szoftvereket ajánló "warez" oldalakon. Az illegális szoftver használói sajnos meglepődve tapasztalják telefon-számlájukon a rengeteg kimenő SMS-üzenet díját, ráadásul a hibás programkód MMC bővítőkártyákon keresztül egyik telefonról a másikra is képes terjedni.

Az F-Secure víruskutatói a fentebb ismertetett fenyegetések tükrében azt tanácsolják a felhasználóknak, hogy megbízható, neves gyártóktól származó, naprakész biztonsági termékek segítségével védjék számítógépeiket és mobil-eszközeiket a fertőzésektől.

Az F-Secure saját megoldásairól magyar nyelven is tájékozódhatnak olvasóink.

Az F-Secure cég mobil-felhasználók iránti tartós elkötelezettségéből adódóan kézi eszközök számára is könnyen elérhető, biztonsági híreket és termékinformációkat szolgáltató mobilportált üzemeltet a világhálón.

A mobil-eszközöket és okostelefonokat érintő fenyegetésekkel kapcsolatban további multimédiás tájékoztatás található az F-Secure által üzemeltetett videóportálon.

Forrás: (www.virushirado.hu)

Hírfigyelő

Kiváncsi, mit írnak a versenytársakról? Elsőként olvasná a szakmájával kapcsolatos információkat? Kulcsemberekre, projektekre, konkurensekre figyelne? Segítünk!

Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

 

 


 

Olvasta?

Tipp

Időrendben

« November 2024 »
H K Sze Cs P Szo V
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  

Tartalom galéria

15 városban várják az érdeklődőket a Fiatal Vállalkozók Hetén, 2024. november 25-29.

15 városban várják az érdeklődőket a Fiatal Vállalkozók Hetén, 2024. november 25-29.

More details
Magyar Szállodák és Éttermek Szövetsége különdíját nyerte el a WING

Magyar Szállodák és Éttermek Szövetsége különdíját nyerte el a WING

More details
Kiderült, ki nyerte idén az IFK Talentum 2024 díjat

Kiderült, ki nyerte idén az IFK Talentum 2024 díjat

More details
Alkalmazkodás a munkaerőpiac új követelményeihez

Alkalmazkodás a munkaerőpiac új követelményeihez

More details
Hogyan zárjuk ki a munkát a szabadidőnkből?

Hogyan zárjuk ki a munkát a szabadidőnkből?

More details
Kilenc százalékkal nő a minimálbér 2025-ben

Kilenc százalékkal nő a minimálbér 2025-ben

More details
Ne vásárolj semmit nap – egy hétig

Ne vásárolj semmit nap – egy hétig

More details
Ide menjünk shoppingolni, ha sok az elverni való pénzünk!

Ide menjünk shoppingolni, ha sok az elverni való pénzünk!

More details
Hétvégi tippek, kulturális programajánló

Hétvégi tippek, kulturális programajánló

More details
Az Üzleti Hírszerzés portál kiadója az O|G|H - Open Gates Hungary Kft. - O|G|H - a hír szerzője