SG.hu
Az ég kék, a számítógépek sebezhetőek
A káros anyagok írása ma már iparág, melyből bűnözők élnek. Meg kell tanulnunk együtt élni a támadásokkal, leginkább a Java és az Android a veszélyeztetett.
"Módosult a Cisco biztonsági stratégiája: a támadásokkal való együtt élés feltételeit kell megteremteni" - mondta el Ács György, a vállalat regionális hálózatbiztonsági szakértője a Cisco éves helyzetértékelését ismertető sajtóbeszélgetésén. "Mindenki látja, hogy nagy ütemben fejlődnek a mobil eszközök, a felhőalapú rendszerek, ezzel párhuzamosan az ezekhez kapcsolódó sérülékenységek száma jelentően megugrott." Szintén nőtt a túlterheléses (DDoS) támadások száma és a negyedével nőtt a többfunkciós trójaik menyisége. Vírust bárhol összeszedhetünk; példaként egy indiai bank oldalát említette, míg a pornográf anyagok és játékok meglepően hátul kullognak a fertőzöttségi listán.
Közlése szerint a spamek természete megváltozott: mennyiségük csökkent, de ma már a kéretlen levelek főként nem reklámszövegeket tartalmaznak hanem kártékony tartalmakra mutató linkeket, rákattintás terén pedig előszeretettel építenek az emberek információéhségére és kíváncsiságára. "A hackerek gazdaságilag érdekeltek, anyagi haszonért dolgoznak. Banki tranzakciók, online vásárlás, csomagküldés a téma, a levél egy linkre mutat, azaz a böngészőket támadják meg. Elég rámenni az adott weblapra, és onnantól a böngésző sérülekénységét kihasználva káros anyag kerülhet a gépre."
Ács György elmondta, hogy az internetes bűnözők a Javat nagyon kedvelik, 91%-ban ennek sérülékenységét használták ki. "Most már nem csak webes URL-eket vizsgálunk, hanem fájlokat is, tehát a káros anyag online elemzése történik. Az általunk üzemeltetett rendszer képes arra, hogy az eszközökről megállapítsa mennyire kompromittáltak, fel tudja sorolni azokat a gépeket, amelyeket egy hacker megfertőzött úgy, hogy át is vette a vezérlést. Ennek alapján történt egy elemzés, hogy hogyan tudták ezt megtenni, és azt mondhatjuk, hogy a Java szinte egyeduralkodó támadási vektor, ezt követi az Office (Word, Excel), illetve az Adobe Reader. A Java frissítése tehát kritikus fontosságú."
Az Android szintén kiemelt célpont, hasonlóan magas részesedéssel. A többi operációs rendszer - például az iOS vagy a BlackBberry- zártsága miatt kevésbé támadott. Itt a mobiltelefon vezérlésének átvételétől kezdve emelt díjas SMS-ek küldéséig mindenféle ártó módszer előfordul. "Egy játék volt ilyen, mely a felhasználó nevében, a tudta nélkül SMS-eket küldött. Komoly összegeket tudott generálni." Új tendencia, hogy eddig biztonságosnak tartott szektorokban dolgozó vállalatok weblapjai is fertőzöttek, például mezőgazdasági és bányászati cégek oldalai. Ennek oka az lehet, hogy a korábban kedvelt ágazatok tagjai, például a szórakoztató-elektronikai vagy a gyógyszerészeti cégek már erősen védik magukat, így a bűnözők könnyebb célpontok után néztek.
2014-re vonatkozóan nincs nagy újdonság: terjedésük miatt a mobileszközök (főleg azok vállalathoz való bevitele miatt) és a felhőalapú szolgáltatások kritikusan veszélyeztetett területek lesznek. "Egyre kifinomultabb, összetettebb akciókra számítunk, ma már egy iparágról beszélünk. Jó példa erre a Blackhole, ahol a káros anyag használatához támogatást is kapunk, frissítést is tartalmaz. Bűnözők azzal foglalkoznak, hogy eladásra írnak vírusokat. Az internetes infrastruktúra kedvelt célpont; rájöttek arra, hogy nem annyira jövedelmező egyéneket megtámadni, hanem nagyobb hatást tudnak elérni, ha eszközöket támadnak. Világtrend, hogy kevés a biztonsági szakértő, egymillióval van kevesebb, mint arra igény lenne a megelőzéshez."
"A hackerek általában alkalmazás sérülékenységeket használnak ki olyan zónákban, ami webes szolgáltatásokat tartalmaz. Az egyik gyakori példa a tartalommenedzsment eszközök, például a Joomla, ezen keresztül hatolnak be a vállalathoz, ahonnan célirányosan tudnak információt lopni. Újdonság volt a DNS támadások mellett az Apache webszerver sérülékenységének kihasználása." Magyarországról szólva az OTP Bank elleni akciókat és a zsarolóprogramokat említette. Utóbbiak például erősen titkosítják a merevlemezt, melyet a felhasználó nem tud önmaga feloldani, és pénzt (vagy bitcoint) kérnek a visszaállításért. Ebben az esetben még fizetés esetén sem garantált az eredmény, Ács György szerint eltérő beszámolókat kaptak az érintett felhasználóktól.
A védelmi technológiákhoz az eddigi tűzfalak, VPN-ek, antivírus rendszerek, betörés detektálók stb. mellé csatlakozik a sandboxing. Ezt kb. korlátozott futtatásnak lehet fordítani, azt jelenti, hogy egy adott fájl vizsgálata ne a gépünkön, hanem egy olyan rendszerben történjen, amely ezt önállóan, biztonságosan tudja elemezni. Például felküldjük egy felhőbe, és ott egy speciálisan felkészített virtuális gép követi a káros anyag nyomait, ellenőrzi a tevékenységét (milyen fájlokat hoz létre, milyen folyamatokat indít el, kommunikál-e más géppel, hálózaton forgalmaz-e stb.).
"A Cisco új biztonsági modelljének alapgondolata, hogy 'Mit csinálna másképp, ha tudná, hogy meghackelik?' Az bizonyítható, hogy minden egyes céghez be lehet törni. Az a legjobb, ha most végiggondolja minden biztonsági vezető, hogy mit tenne másként. Ez meg fog történni, csak idő kérdése. A legjobb pillanat most végiggondolni, hogy milyen technológiát alkalmazna ennek elkerülése érdekében. Ennek alapján új modellünk a támadási momentumra épül, milyen technológiákat lehet bevetni a támadás különböző szakaszaiban. Előtte vezérlési (tűzfal, hálózatbiztonsági) megvalósításokat, alatta betörésdetektáló rendszereket érdemes alkalmazni, utána pedig az Advanced Malware Protectionnal retrospektív elemzéssel meg tudjuk nézni, hogy mi volt a támadás hatása, milyen gépeket fertőzött meg és hogyan." - mondta el Ács György.
"Módosult a Cisco biztonsági stratégiája: a támadásokkal való együtt élés feltételeit kell megteremteni" - mondta el Ács György, a vállalat regionális hálózatbiztonsági szakértője a Cisco éves helyzetértékelését ismertető sajtóbeszélgetésén. "Mindenki látja, hogy nagy ütemben fejlődnek a mobil eszközök, a felhőalapú rendszerek, ezzel párhuzamosan az ezekhez kapcsolódó sérülékenységek száma jelentően megugrott." Szintén nőtt a túlterheléses (DDoS) támadások száma és a negyedével nőtt a többfunkciós trójaik menyisége. Vírust bárhol összeszedhetünk; példaként egy indiai bank oldalát említette, míg a pornográf anyagok és játékok meglepően hátul kullognak a fertőzöttségi listán.
Közlése szerint a spamek természete megváltozott: mennyiségük csökkent, de ma már a kéretlen levelek főként nem reklámszövegeket tartalmaznak hanem kártékony tartalmakra mutató linkeket, rákattintás terén pedig előszeretettel építenek az emberek információéhségére és kíváncsiságára. "A hackerek gazdaságilag érdekeltek, anyagi haszonért dolgoznak. Banki tranzakciók, online vásárlás, csomagküldés a téma, a levél egy linkre mutat, azaz a böngészőket támadják meg. Elég rámenni az adott weblapra, és onnantól a böngésző sérülekénységét kihasználva káros anyag kerülhet a gépre."
Ács György elmondta, hogy az internetes bűnözők a Javat nagyon kedvelik, 91%-ban ennek sérülékenységét használták ki. "Most már nem csak webes URL-eket vizsgálunk, hanem fájlokat is, tehát a káros anyag online elemzése történik. Az általunk üzemeltetett rendszer képes arra, hogy az eszközökről megállapítsa mennyire kompromittáltak, fel tudja sorolni azokat a gépeket, amelyeket egy hacker megfertőzött úgy, hogy át is vette a vezérlést. Ennek alapján történt egy elemzés, hogy hogyan tudták ezt megtenni, és azt mondhatjuk, hogy a Java szinte egyeduralkodó támadási vektor, ezt követi az Office (Word, Excel), illetve az Adobe Reader. A Java frissítése tehát kritikus fontosságú."
Az Android szintén kiemelt célpont, hasonlóan magas részesedéssel. A többi operációs rendszer - például az iOS vagy a BlackBberry- zártsága miatt kevésbé támadott. Itt a mobiltelefon vezérlésének átvételétől kezdve emelt díjas SMS-ek küldéséig mindenféle ártó módszer előfordul. "Egy játék volt ilyen, mely a felhasználó nevében, a tudta nélkül SMS-eket küldött. Komoly összegeket tudott generálni." Új tendencia, hogy eddig biztonságosnak tartott szektorokban dolgozó vállalatok weblapjai is fertőzöttek, például mezőgazdasági és bányászati cégek oldalai. Ennek oka az lehet, hogy a korábban kedvelt ágazatok tagjai, például a szórakoztató-elektronikai vagy a gyógyszerészeti cégek már erősen védik magukat, így a bűnözők könnyebb célpontok után néztek.
2014-re vonatkozóan nincs nagy újdonság: terjedésük miatt a mobileszközök (főleg azok vállalathoz való bevitele miatt) és a felhőalapú szolgáltatások kritikusan veszélyeztetett területek lesznek. "Egyre kifinomultabb, összetettebb akciókra számítunk, ma már egy iparágról beszélünk. Jó példa erre a Blackhole, ahol a káros anyag használatához támogatást is kapunk, frissítést is tartalmaz. Bűnözők azzal foglalkoznak, hogy eladásra írnak vírusokat. Az internetes infrastruktúra kedvelt célpont; rájöttek arra, hogy nem annyira jövedelmező egyéneket megtámadni, hanem nagyobb hatást tudnak elérni, ha eszközöket támadnak. Világtrend, hogy kevés a biztonsági szakértő, egymillióval van kevesebb, mint arra igény lenne a megelőzéshez."
"A hackerek általában alkalmazás sérülékenységeket használnak ki olyan zónákban, ami webes szolgáltatásokat tartalmaz. Az egyik gyakori példa a tartalommenedzsment eszközök, például a Joomla, ezen keresztül hatolnak be a vállalathoz, ahonnan célirányosan tudnak információt lopni. Újdonság volt a DNS támadások mellett az Apache webszerver sérülékenységének kihasználása." Magyarországról szólva az OTP Bank elleni akciókat és a zsarolóprogramokat említette. Utóbbiak például erősen titkosítják a merevlemezt, melyet a felhasználó nem tud önmaga feloldani, és pénzt (vagy bitcoint) kérnek a visszaállításért. Ebben az esetben még fizetés esetén sem garantált az eredmény, Ács György szerint eltérő beszámolókat kaptak az érintett felhasználóktól.
A védelmi technológiákhoz az eddigi tűzfalak, VPN-ek, antivírus rendszerek, betörés detektálók stb. mellé csatlakozik a sandboxing. Ezt kb. korlátozott futtatásnak lehet fordítani, azt jelenti, hogy egy adott fájl vizsgálata ne a gépünkön, hanem egy olyan rendszerben történjen, amely ezt önállóan, biztonságosan tudja elemezni. Például felküldjük egy felhőbe, és ott egy speciálisan felkészített virtuális gép követi a káros anyag nyomait, ellenőrzi a tevékenységét (milyen fájlokat hoz létre, milyen folyamatokat indít el, kommunikál-e más géppel, hálózaton forgalmaz-e stb.).
"A Cisco új biztonsági modelljének alapgondolata, hogy 'Mit csinálna másképp, ha tudná, hogy meghackelik?' Az bizonyítható, hogy minden egyes céghez be lehet törni. Az a legjobb, ha most végiggondolja minden biztonsági vezető, hogy mit tenne másként. Ez meg fog történni, csak idő kérdése. A legjobb pillanat most végiggondolni, hogy milyen technológiát alkalmazna ennek elkerülése érdekében. Ennek alapján új modellünk a támadási momentumra épül, milyen technológiákat lehet bevetni a támadás különböző szakaszaiban. Előtte vezérlési (tűzfal, hálózatbiztonsági) megvalósításokat, alatta betörésdetektáló rendszereket érdemes alkalmazni, utána pedig az Advanced Malware Protectionnal retrospektív elemzéssel meg tudjuk nézni, hogy mi volt a támadás hatása, milyen gépeket fertőzött meg és hogyan." - mondta el Ács György.