Złośliwe oprogramowanie istnieje tak długo jak Internet. Krajobraz zagrożeń zmienił się jednak znacząco w ciągu ostatnich lat ewoluując od oprogramowania, którego celem było pokazanie swoich umiejętności przez hakerów i wyrządzenie drobnych szkód na komputerze ofiary, aż po dzisiejsze bardzo zaawansowane złośliwe oprogramowanie, często używane przez zorganizowane gangi i grupy przestępcze, których zasadniczym celem jest zarabianie pieniędzy.
Pierwsze znane wirusy rozprzestrzeniały się poprzez kopiowanie się do nowych urządzeń pamięci masowej, obecnie jednak zdecydowana większość rozszetrzenia się za pośrednictwem Internetu. Większość komputerów, które są obecnie użytkowane, używa i jest chronione przez lokalnie zainstalowane oprogramowanie antywirusowe, które jest stale aktualizowane w celu identyfikacji nowych wirusów.
WIRUS
Oprogramowanie (program lub fragment niebezpiecznego kodu) które ma za zadanie rozpowszechnianie własnych kopii. Działa i rozprzestrzenia się dokonując zmian w kodzie innego programu (dołącza się, nadpisuje lub zamienia), aby odtworzyć samego siebie bez zgody użytkownika.
Podstawowe działanie – infekcja
TYPY WIRUSÓW
Najbardziej znane: Chernobyl, CIH, Christmass Tree
Wiele wirusów rozprzestrzenia się również za pośrednictwem poczty elektronicznej. Ten typ zagrożeń rozprzestrzenił się na szeroką skalę w latach 90-tych i doprowadził do rozwoju kolejnego segmentu oprogramowania chroniącego użytkowników - bram pocztowych, których głównym zadaniem stało się skanowanie przychodzącej i wychodzącej korespondencji mailowej pod kątem zawartości różnego rodzaju złośliwego oprogramowania. Obecnie zdecydowana większość firm posiada zarówno ochronę antywirusową jak i bramę antyspamową filtrującą pocztę e-mail.
TROJAN
Często mylony z wirusem – nie replikuje się samodzielnie, nie infekuje innych programów lub danych, ale instalacja tzw. backdoora stanowi furtkę dla hackerów – umożliwiając dostęp do zasobów komputera. Idea działania konia trojańskiego polega na zmyleniu użytkownika - rozpowszechniany przez cyberprzestępców jako pożyteczne, czy też niezbędne oprogramowanie (nie atakuje komputerów samodzielnie). Może blokować działania programów i pojawianie się komunikatów o stanie zagrożenia i wykonywać inne działania bez wiedzy użytkownika, podszywa się pod pliki i programy, uruchamiane przez użytkowników.
Szkody – usuwanie informacji z dysków, stany bezczynności, wykradanie danych
Najbardziej znane trojany: Connect4, Flatley Trojan, Poison Ivy
NAJGROŹNIEJSZE TYPY ZŁOŚLIWEGO OPROGRAMOWANIA
EXPLOIT - program (kod) wykorzystujący luki w oprogramowaniu zainstalowanym na zaatakowanym komputerze w celu przejęcia kontroli nad działaniem danego procesu i wykonania odpowiednio spreparowanego kodu maszynowego. Może być użyty do ataku na stronę internetową, system operacyjny, czy aplikację.
ZERO-DAY - zagrożenie dnia zerowego to luka w oprogramowaniu istniejąca do czasu zanim zostanie ono naprawione (lub odkryte i naprawione) przez producenta. Nazwa oznacza sytuację, w której wydawca nie był świadomy istnienia podatności i nie załatał luki w systemie bezpieczeństwa do czasu jej wykrycia.
ROOTKIT - jedno z najbardziej niebezpiecznych narzędzi hackerskich. Ukrywa swoją obecność w systemie, wykorzystywany głównie do maskowania działania innego szkodliwego oprogramowania, niebezpiecznych plików i procesów mających kontrolę nad systemem, ułatwiając tym samym włamanie do systemu komputerowego. Bardzo trudno wykrywalny.
Najbardziej znane rootkity: Hacker Defender, CD Sony Rootkit
KEYLOGGER - oprogramowanie mające na celu głównie wykradanie haseł poprzez przejęcie kontroli nad obsługą klawiatury – odczytuje i przechowuje informacje o wszystkich znakach wprowadzanych za pomocą klawiatury przez nieświadomego użytkownika zainfekowanego komputera. Bardziej rozbudowane i „ambitne” keyloggery potrafią także monitorować otwarte okna systemu lub kliknięcia dostarczając dodatkowych informacji odnośnie aktywności użytkownika.
SPYWARE - oprogramowanie, którego celem jest szpiegowanie działań konkretnego użytkownika komputera lub organizacji. Gromadzi i wysyła bez wiedzy użytkownika informacje odnośnie odwiedzonych stron internetowych, słów wpisywanych w wyszukiwarkach, rodzaju zainstalowanego oprogramowania, rodzaju plików, preferencji systemu, haseł, adresów email, numerów kart płatniczych itp.
Najbardziej znane: Gator, Cydoor
Istnieją także wersje pozwalające także przejąć kontrolę nad komputerem oraz spyware wbudowany w przeglądarkę potrafiący przekierować ruch (podczas otwierania jednej strony otwiera się inna).
PHISHING - specyficzny rodzaj ataku wykorzystującego metody socjotechniczne, czasem zaliczany także do kategorii spyware. Typ oszustwa internetowego polegającego na wyłudzeniu od użytkownika jego osobistych danych (haseł, numerów kart kredytowych, danych kont bankowych i innych poufnych informacji). Forma fałszywych powiadomień z banku, komunikatów od dostawców e-płatności, aukcji internetowych i innych poważanych organizacji z reguły w celu nakłonienia użytkowników do odwiedzenia fałszywej strony.
PHARMING - bardziej niebezpieczna, groźniejsza i trudniejsza do wykrycia (ale także i do realizacji) odmiana phishingu. Ofiara jest przekierowana na fałszywą stronę nawet po wpisaniu prawidłowego adresu. Realizowane przez podmianę prawidłowych serwerów DNS, na te „złe”.
CLICKJACKING - "porywanie kliknięć" bazujące na manipulowaniu najczęściej używanymi przyciskami portali społecznościowych (np. like-jacking). Może prowadzić do wykradania haseł, rozsyłania spamu czy rozpowszechniania złośliwego oprogramowania.
JAK WYGLĄDA SYTUACJA DZISIAJ?
Obecnie ilość unikalnych kodów złośliwego oprogramowania podwaja się co pół roku. Codziennie powstaje kilkadziesiąt tysięcy nowych kodów, których celem jest wyłudzenie danych lub pieniędzy od użytkowników internetu, bez względu na to czy są to firmy czy osoby prywatne. Złośliwe oprogramowanie rozsyłane jest drogą mailową, umieszczane na stronach internetowych kontrolowanych przez hakerów lub na legalnych stronach różnych organizacji, które nieświadomie dalej infekują kolejnych użytkowników. Hakerzy wykupują również legalnie miejsca reklamowe na dobrych stronach www i poprzez niczego nieświadomego usługodawcę propagują swoje oprogramowanie za pośrednictwem banerów reklamowych czy linków do stron wyłudzających dane.
Jednymi z najczęściej eksploatowanych luk są te występujące w różnych wtyczkach Java, Adobe, Active-x czy wtyczek i dodatków w przeglądarkach internetowych. Podatności w nich występujące są odkrywane niemal codziennie i ekstensywnie eksploatowane przez hakerów. Czas oczekiwania na aktualizacje producentów bądź łatki i sygnatury firm zajmujących się ochroną antywirusową mogą trwać od kilku godzin do kilku tygodni co daje twórcom wirusów dużo czasu na wykorzystanie tych podatności. Tego typu zagrożenia, nazywane "Zero-Day" są obecnie jednym z największych wyzwań zarówno dla programistów jak i administratorów IT.
PIENIĄDZE
Nowoczesne organizacje stojące za dzisiejszym cyberbiznesem generują ogromne obroty finansowe. Ich celem jest przede wszystkim zarabianie pieniędzy oraz wykradanie informacji poufnych, które i sprzedawanie ich na czarnym rynku. Najcenniejszymi danymi, które są wykradane są dane użytkownika, hasła i konta bankowe czy numery kart kredytowych. Hakerzy piorą brudne pieniądze m.in. w grach on-line, gdzie złodziej gra z "przeciwnikiem", który wygrywa i w ten sposób legalizuje zarobek hakera, z którym dzieli się pieniędzmi. Dodatkowo wiele z kodów złośliwego oprogramowania napisanych jest w sposób niewłaściwy, co powoduje, że często oprócz kradzieży danych wirus powoduje komplikacje w pracy komputera lub wręcz uniemożliwia jego działanie. Hakerzy wykorzystują również tzw. botnety, czyli wiele zainfekowanych komputerów, których użytkownicy nie są świadomi pełnionej przez ich urządzenie roli. Są one wykorzystywane do rozsyłania spamu, co może prowadzić do wprowadzenia numeru IP komputera ofiary na tzw. czarne listy i zablokowania możliwości wysyłania wiadomości e-mail. Innymi zadaniami botnetów może być przechowywanie nielegalnych danych lub prowadzenie skoordynowanych ataków typu DoS (Denial of Service) na polecenie hakera kontrolującego sieć botnet.
SKUTEK
Liczba niezbędnych zabezpieczeń rośnie i staje się coraz bardziej kompleksowa i kosztowna. Ryzyko utraty danych firmowych, danych klientów lub personalnych, błędy w kodzie złośliwego oprogramowania czy w końcu możliwość rozsyłania szkodliwego oprogramowania w wyniku przejęcia komputera firmowego przez hakerów prowadzą do utraty wartości firmy i narażenia się na duże straty finansowe.
RÓŻNE RODZAJE OCHRONY
Dostępne obecnie rozwiązania w celu zabezpieczenia środowiska IT można podzielić na trzy główne kategorie:
OPROGRAMOWANIE
W tym modelu klient jest wlaścicielem oprogramowania i jest odpowiedzialny za wybór sprzętu na którym oprogramowanie będzie działać, systemu operacyjnego, aktualizacji, konfiguracji i obsługi. Ten model jest wciąż najbardziej popularny i jest jedną z najczęściej wybieranych opcji przez klientów, którzy sami chcą dbać o dobór sprzętu i konfigurację swojego systemu.
URZĄDZENIE
Dedykowane urządzenia zostały wprowadzone w celu uproszczenia instalacji oraz obsługi oprogramowania systemu jak również ze względu na zagwarantowanie określonej wydajności poprzez dostarczenie wraz z oprogramowaniem sprzętu o ściśle zdefiniowanych parametrach technicznych. Oprogramowanie i sprzęt są sprzedawane jako jeden system a klient pozostaje jego właścicielem.
USŁUGI BEZPIECZEŃSTWA
Ze względu na dynamicznie zmieniające się środowisko zagrożeń internetowych usługi bezpieczeństwa stają się coraz bardziej popularne i powszechne na rynku. Usługi takie obejmują wszystkie niezbędne elementy systemu, oprogramowanie, sprzęt jesli jest potrzebny, aktualizacje, instalacje i zarządzanie systemem. Klient, kupując usługi bezpieczeństwa ceduje zarówno własność jak i odpowiedzialność za sprawne zarządzanie systemem na dostawcę usług, co pozwala mu na zwiększenie elastyczności i oszczędności czasu przeznaczonego na konfigurację, administrację i utrzymanie systemu, a co za tym idzie ograniczenie kosztów całego systemu.