FORTINET, dostawca zaawansowanych rozwiązań bezpieczeństwa sieciowego, opublikował wyniki badania przeprowadzonego przez specjalistów ds. zagrożeń z FortiGuard Labs za okres od 1 stycznia do 31 lipca 2013 r. Według raportu, w ciągu ostatnich siedmiu miesięcy, liczba złośliwych programów atakujących urządzenia mobilne wzrosła o 30 proc. Dodatkowo zespół FortiGuard® Labs ujawnił, że pomimo wprowadzania poprawek, atakujący nadal wykorzystują luki w zabezpieczeniach programów Ruby on Rails, Java, Acrobat i Apache.
Pełną wersję raportu można pobrać tutaj: http://www.fortinet.com/resource_center/whitepapers/quarterly-threat-landscape-report-q213.html .
Coraz więcej złośliwych programów atakuje urządzenia mobilne
W ciągu ostatnich siedmiu miesięcy laboratorium FortiGuard® Labs odnotowało 30-procentowy wzrost liczby złośliwych programów atakujących urządzenia mobilne. Zespół monitoruje ponad 1 300 nowych próbek dziennie, śledząc ponad 300 unikatowych rodzin złośliwych programów i ponad 250 000 unikatowych złośliwych próbek atakujących system Android. Na wykresie nr 1 przedstawiono dane na temat mobilnego oprogramowania złośliwego w okresie od stycznia 2013 r. do lipca 2013 r.
Wykres nr 1: Wzrost liczby złośliwych programów na system Android od stycznia 2013 r. do lipca 2013 r.
Bring Your Own Trouble czyli kłopoty na własne życzenie
Trend Bring Your Own Device (BYOD), czyli możliwość korzystania z prywatnych urządzeń do celów zawodowych, przynosi wiele korzyści, m.in. wzrost wydajności pracowników i produktywności całej firmy. Liberalna polityka BYOD wiąże się jednak z zagrożeniami ze strony złośliwego oprogramowania, które w pierwszej kolejności atakuje urządzenie użytkownika, a następnie sieć firmową.
„Jeszcze trzy lata temu złośliwe oprogramowanie atakujące urządzenia mobilne nie stanowiło realnego zagrożenia dla użytkowników i firm. Większość ówczesnych złośliwych programów atakujących smartfony i tablety, m.in. wirus Cabir lub oprogramowanie typu scam, zaliczano do kategorii oprogramowania annoyware, za pośrednictwem którego popełniano oszustwa SMS-owe lub zamieniano ikony” – wyjaśnia Axelle Apvrille, badacz oprogramowania antywirusowego z FortiGuard Labs. „Urządzenia mobilne stały się bardzo popularne, a wraz ze wzrostem liczby użytkowników rozszerzyło się też grono cyberprzestępców, przy czym badania wskazują na to, że tendencja wzrostowa szybko się nie odwróci”.
Wszystko zaczęło się od Symbiana
W 2009 r., kiedy systemy iOS i Android były jeszcze nowością, większość złośliwych programów atakowała system operacyjny Symbian. Kodowaniem wielu złośliwych programów zajmowali się programiści z Europy Wschodniej i Chin, czyli z miejsc, w których system Symbian był bardzo popularny. Na wykresie nr 2 przedstawiono kraje o najwyższych wskaźnikach rozpowszechnienia złośliwego oprogramowania na urządzenia mobilne w 2009 r.
Wykres nr 2: Kraje o najwyższych wskaźnikach rozpowszechnienia złośliwego oprogramowania na urządzenia mobilne w 2009 r.
Wykres nr 3 ilustruje najczęściej atakowane mobilne systemy operacyjne w 2009 r.
Wykres nr 3: Najczęściej atakowane mobilne systemy operacyjne w 2009 r.
Rok 2013 zmienił krajobraz zagrożeń mobilnych
Rok 2013 był rokiem gwałtownych zmian w krajobrazie zagrożeń mobilnych. Producenci zaczęli powszechnie korzystać z systemu operacyjnego Android, a na rynku zaroiło się od smartfonów. Urządzenia z systemem Android stały się powszechnie dostępne w niemal każdym przedziale cenowym, od niewiarygodnie tanich, prostych urządzeń po wielofunkcyjne, najnowocześniejsze cuda techniki. Lawinowo rosła też liczba aplikacji rozszerzających funkcjonalność urządzeń mobilnych, a cyberprzestępcy i inni oszuści dostrzegli w tym nową szansę na zyski.
Na scenę wkracza oprogramowanie ransomware
W 2012 r. laboratorium FortiGuard przewidziało nadchodzące nowe zagrożenie ze strony oprogramowania ransomware.
„Oprogramowanie ransomware przynosiło cyberprzestępcom ogromne zyski, nic więc dziwnego, że postanowili zaatakować urządzenia mobilne” – mówi Richard Henderson, specjalista ds. strategii bezpieczeństwa w laboratorium FortiGuard Labs firmy FORTINET. „Złośliwe oprogramowanie Fake Defender na Androida przypomina oprogramowanie na zwykłe stacje robocze podszywające się pod programy antywirusowe – pozoruje dobre zamiary, a w rzeczywistości czeka tylko na właściwy moment, aby ujawnić swoje prawdziwe oblicze. Blokuje telefon ofiary, a następnie żąda opłaty za odblokowanie urządzenia. Można albo zapłacić okup, albo wyczyścić wszystkie dane, co równa się utracie zdjęć i informacji, o ile nie utworzono wcześniej kopii zapasowych”.
Nowe ataki z wykorzystaniem dobrze znanych luk w zabezpieczeniach
Laboratorium FortiGuard alarmuje, że atakujący nadal korzystają z luk w zabezpieczeniach, które miały być naprawione przez najnowsze poprawki wprowadzane w programach Ruby on Rails, Java, Adobe Acrobat i Apache.
Ruby on Rails
W styczniu informowano o przypadkach zdalnego wykonywania kodu na serwerze WWW z wykorzystaniem krytycznej luki w zabezpieczeniach frameworka Ruby on Rails.
Ruby on Rails (RoR) to framework do tworzenia aplikacji webowych w języku programowania Ruby. Umożliwia szybkie, proste i przejrzyste wdrażanie witryn internetowych Web 2.0. Framework RoR cieszy się dużą popularnością i wykorzystywany jest do tworzenia setek tysięcy witryn internetowych.
Problem dodatkowo pogłębia moduł Metasploit, który w zamyśle miał służyć do eksplorowania podatności, lecz może być też wykorzystywany do wyszukiwania serwerów WWW podatnych na atak.
„Do ataku wykorzystywano wadę w procedurze deserializacji XML, stosowanej do tworzenia obiektów Ruby w czasie rzeczywistym” – wyjaśnił Richard Henderson. „Po czterech miesiącach od wprowadzenia poprawek do RoR stało się jasne, że atakujący nadal próbują wyszukiwać i wykorzystywać serwery WWW bez poprawek i zarażać je złośliwym oprogramowaniem”.
Zdalne wykonywanie kodu Java
W styczniu odkryto atak typu zero-day, omijający środowisko sandbox Java, aby samowolnie wykonać kod Java.
Technologia Java jest wszechobecna – różne formy technologii Java instaluje się i uruchamia na większości komputerów. Luka umożliwiała uruchamianie programu Java przez złośliwy aplet z pominięciem środowiska Java sandbox i uzyskanie pełnego dostępu do zaatakowanego komputera.
Ataki wykryto w fazie rozprzestrzeniania i szybko zintegrowano z wieloma popularnymi zestawami do ataków oprogramowania crimeware, takich jak BlackHole, Redkit i Nuclear Pack, a ich nabywcy mogli wykorzystywać eksploita do instalowania złośliwego oprogramowania na komputerach. Powstał też moduł Metasploit, służący do prostego wyszukiwania ofiar na zasadzie „wskaż i kliknij”.
„W ataku wykorzystano lukę w komponencie JMX (Java Management Extensions), dzięki której złośliwy aplet rozszerzał swe uprawnienia i wykonywał dowolny kod Java” – wyjaśnił Richard Henderson.
Oracle szybko stworzyła poprawkę łatającą wykrytą lukę, jednak – podobne jak w przypadku innych eksploitów zintegrowanych w zestawach oprogramowania crimeware – liczba ofiar ataków nadal rośnie, głównie wśród osób korzystających z wersji Java bez poprawki, na których wciąż można zainstalować złośliwe oprogramowanie.
Atak typu zero-day na oprogramowanie Acrobat/Acrobat Reader
W lutym wykryto eksploit dla plików PDF, podszywający się pod formularz tureckiej wizy turystycznej, który wykorzystywał uprzednio niewidoczną lukę w oprogramowaniu Adobe Reader. Eksploit działał we wszystkich najnowszych wersjach Adobe Reader (9.5.X, 10.1.X i 11.0.X) oraz w większości wersji Microsoft Windows, m.in. 64-bitowej Windows 7 i prawie wszystkich systemach Mac OS X.
Za pośrednictwem eksploita dla plików PDF cyberprzestępcy instalowali złośliwe oprogramowanie na docelowych komputerach.
Poprawkę Adobe Reader opublikowano 20 lutego, jednak cyberprzestępcy nadal korzystają z przepakowanych wersji eksploita do ataków typu „spear-phishing”. Luki w oprogramowaniu Adobe Reader służą im też jako sposób rozpowszechniania złośliwego oprogramowania wśród użytkowników, którzy nie instalują regularnie wszystkich nowych poprawek.
CDorked atakuje Apache
W kwietniu wykryto nowy atak na Apache, popularny serwer WWW. Złośliwe oprogramowanie CDorked zainfekowało serwer WWW, aby przekierowywać odwiedzających na inne serwery rozpowszechniające złośliwe oprogramowanie za pośrednictwem zestawu BlackHole. Atak mógł też obejmować platformy serwerowe Lighttpd i Nginx Web.
CDorked jest pod wieloma względami podobny do ataku DarkLeech na serwery Apache z 2012 r., jednak jest znacznie bardziej podstępny i inteligentny: CDorked złośliwie modyfikuje istniejący binarny program httpd, zamiast pobierać dodatkowe złośliwe moduły na zainfekowany serwer, tak jak w przypadku ataków DarkLeech.
CDorked nie zapisywał żadnych informacji na dysku twardym serwera WWW – wszystko zapisywano w pamięci, a dostęp uzyskiwano za pośrednictwem zakamuflowanych żądań GET, przesyłanych przez atakujących na docelowy serwer. Żadne tego typu żądanie GET nie zostało zarejestrowane.
CDorked działał w sposób inteligentny
„CDorked dysponował wbudowanym systemem limitującym” – powiedział Richard Henderson. „Nie próbował przekierowywać każdego odwiedzającego na witrynę BlackHole. Stawał się niewidoczny dla użytkowników próbujących uzyskać dostęp do stron administratora, a więc osób, które mogłyby szybciej zauważyć przekierowanie na witrynę rozpowszechniającą oprogramowanie crimeware. CDorked nie jest wyjątkiem: inne złośliwe programy potrafią równie inteligentnie rozpoznawać analityków złośliwego oprogramowania”.
Zapraszamy na oficjalne profile firmy Fortinet: Twitter: www.twitter.com/fortinet; Facebook:www.facebook.com/fortinet, YouTube: http://www.youtube.com/user/SecureNetworks.
Informacje o laboratorium FortiGuard Labs
FortiGuard Labs zebrało dane dot. zagrożeń i trendów we wskazanym okresie, uzyskane z urządzeń zabezpieczających FortiGate® oraz inteligentnych systemów używanych na całym świecie. Klienci korzystający z usług FortiGuard mają zapewnioną ochronę przed zagrożeniami wymienionymi w niniejszym raporcie pod warunkiem ustawienia odpowiednich parametrów konfiguracyjnych.
Usługi FortiGuard obejmują szeroki wachlarz rozwiązań zabezpieczających, w tym ochronę antywirusową, zapobieganie włamaniom, filtrowanie treści WWW oraz funkcje blokowania spamu. Usługi te pomagają zapewnić ochronę przed zagrożeniami w warstwie sieciowej i w warstwie aplikacji. Usługi FortiGuard są aktualizowane przez FortiGuard Labs, co umożliwia firmie Fortinet dostarczanie rozwiązań zabezpieczających obejmujących wiele warstw oraz zapewnianie ochrony przed atakami typu zero-day — zarówno obecnymi, jak i przyszłymi. W przypadku klientów, którzy wykupili subskrypcję FortiGuard, aktualizacje te są dostarczane do wszystkich produktów FortiGate, FortiMail™ i FortiClient™.
Bieżące raporty z badań prowadzonych przez laboratorium FortiGuard Labs można znaleźć w serwisie FortiGuard Center lub w kanale RSS laboratorium. Dyskusje na temat technologii bezpieczeństwa i analiz zagrożeń można znaleźć na blogu FortiGuard.
Kontakt prasowy:
|
Piotr Sarota public relations consultant SAROTA PR agencja public relations Kom.+48 606 895 326 |
Marek Wiśniewski public relations specialist SAROTA PR agencja public relations Kom.+48 662 858 219 Email: marek.wisniewski(at)sarota.pl |
Ekaterina Bam-Bednarczyk Marketing Communications Specialist FORTINET – The New Generation of Secure Gateways Tel: +33 4 89 87 19 32 Email: ebam(at)fortinet.com Skype: ekaterina.bam www.fortinet.com |
Informacja o firmie FORTINET ( www.fortinet.com )
FORTINET (NASDAQ: FTNT) to światowy dostawca urządzeń bezpieczeństwa sieciowego i lider rynku zintegrowanych systemów zarządzania zagrożeniami ( Unified Threat Management, UTM). Produkty i usługi firmy zapewniają rozległą, zintegrowaną i wysoce wydajną ochronę przed zagrożeniami dynamicznymi, upraszczając jednocześnie infrastrukturę bezpieczeństwa IT. Klienci FORTINET to m.in. przedsiębiorstwa, usługodawcy i jednostki rządowe na całym świecie, w tym większość firm z listy „Fortune Global 100” z 2012 roku. FortiGate, flagowy produkt firmy FORTINET, zapewnia wydajność technologii ASIC i integruje w sobie wiele warstw bezpieczeństwa stworzonych w celu ochrony przed zagrożeniami aplikacyjnymi i sieciowymi. Bogata linia produktów FORTINET wykracza poza systemy UTM, zapewniając bezpieczeństwo rozbudowanym organizacjom – od punktów końcowych i obrzeży aż po rdzeń sieci, łącznie z bazami danych i aplikacjami. Siedziba główna firmy FORTINET mieści się w Sunnyvale (Kalifornia), a jej biura znajdują się na całym świecie.
###
Copyright © 2013 Fortinet, Inc. Wszelkie prawa zastrzeżone. Symbole ® oraz ™ oznaczają odpowiednio federalnie zarejestrowane znaki towarowe oraz niezarejestrowane znaki towarowe firmy Fortinet, Inc., jej jednostek zależnych i stowarzyszonych. Do znaków towarowych Fortinet należą między innymi: Fortinet, FortiGate, FortiGuard, FortiManager, FortiMail, FortiClient, FortiCare, FortiAnalyzer, FortiReporter, FortiOS, FortiASIC, FortiWiFi, FortiSwitch, FortiVoIP, FortiBIOS, FortiLog, FortiResponse, FortiCarrier, FortiScan, FortiAP, FortiDB, FortiVoice oraz FortiWeb. Inne znaki towarowe należą odpowiednio do ich właścicieli. Firma Fortinet nie podjęła niezależnej weryfikacji oświadczeń ani poświadczeń przypisywanych w tym dokumencie stronom trzecim i nie udziela niezależnego zatwierdzenia takich oświadczeń. O ile niniejszy dokument nie stanowi inaczej, żaden z elementów jego treści nie stanowi rękojmi, gwarancji, wiążącej specyfikacji ani żadnego innego wiążącego zobowiązania firmy Fortinet, zaś wyniki wydajności i inne specyfikacje danych zawarte w tym dokumencie mogą dotyczyć wyłącznie określonego środowiska. Niniejszy komunikat prasowy może zawierać oświadczenia dotyczące przyszłości, z którymi może wiązać się niepewność i określone założenia. Zmiany uwarunkowań, opóźnienia we wprowadzaniu produktów na rynek lub inne czynniki ryzyka określone w naszych raportach składanych do amerykańskiej Komisji Papierów Wartościowych i Giełd (SEC), umieszczonych na stronie www.sec.gov, mogą przynieść wyniki istotnie różniące się od tych wyrażonych lub dorozumianych w niniejszym komunikacie. W razie zaistnienia niepewnych zdarzeń lub niezgodności założeń z rzeczywistością, wyniki mogą istotnie różnić się od tych wyrażonych lub dorozumianych w takich oświadczeniach lub założeniach dotyczących przyszłości. Wszystkie oświadczenia inne niż oświadczenia o faktach z przeszłości są oświadczeniami, które można uznać za oświadczenia dotyczące przyszłości. Fortinet nie przyjmuje na siebie jakiegokolwiek zobowiązania do aktualizacji wszelkich oświadczeń dotyczących przyszłości i zrzeka się jakiejkolwiek odpowiedzialności za aktualizację takich oświadczeń.
FTNT-O