Kaspersky: 2011 – un an „exploziv” pentru securitatea informatica
Fie că a fost vorba despre „hacktivism” sau despre malware pentru Mac, în 2011 incidentele de securitate IT au depăşit orice aşteptări. Experţii Kaspersky Lab au realizat o selecţie a celor mai importante tendinţe din ultimele 12 luni şi au subliniat principalele inovaţii în ceea ce priveşte securitatea IT. Privind retrospectiv aceste evenimente, este uşor de prevăzut ce va aduce anul 2012.
„Am selectat aceste incidente deoarece indică marii „actori” ai anului 2011, care vor continua cu siguranţă să aibă un rol important în filmul evenimentelor de securitate cibernetică din 2012″, a spus Costin Raiu, Director of Global Research & Analysis Team în cadrul Kaspersky Lab şi autorul acestei selecţii. „Aceştia sunt: grupurile de „hacktivism”; companiile de securitate informatică; ameninţarea avansată persistentă (APT), sub forma super-puterilor ce se luptă între ele cu ajutorul armelor cibernetice; marile companii dezvoltatoare de software şi jocuri, cum ar fi Adobe, Microsoft, Oracle şi Sony; autorităţile; infractorii cibernetici tradiţionali; Google – prin intermediul sistemului de operare Android şi Apple cu sistemul de operare Mac OS X. Aceştia vor juca roluri importante pe scena securităţii IT şi anul acesta”, a încheiat Raiu.
1. Hacktivism-ul
Amploarea „hacktivism-ului” în 2011 indică o tendinţă care se va menţine cu siguranţă şi anul acesta. Grupuri precum Anonymous, LulzSec sau TeaMp0isoN au fost implicate în acţiuni împotriva băncilor, a guvernelor, a companiilor de securitate şi a principalilor producători de software. În mod ironic, unele dintre aceste incidente, cum este cel care a vizat Stratfor, au scos la iveală probleme majore de securitate, de exemplu stocarea numerelor CVV în formate necriptate sau protejate de parole foarte slabe.
2. Atacul asupra HBGary Federal
În ianuarie 2011, câţiva infractori cibernetici din cadrul grupului Anonymous au intrat în webserver-ul companiei printr-un atac de tip injecţie SQL. Ei au extras parolele CEO-ului Aaron Barr şi al COO-ului, Ted Vera. Ambii utilizau parole foarte simple, alcătuite din şase litere mici şi două cifre. Cu ajutorul parolelor, atacatorii au accesat documentele de cercetare ale companiei şi zeci de mii de e-mailuri stocate în Google Apps. Acest exemplu demonstrează că utilizarea unor parole prea simple, software-ul depăşit în combinaţie cu tehnologia cloud se poate transforma într-un coşmar din punct de vedere al securităţii.
3. „Ameninţarea persistentă avansată”
Deşi mulţi experţi în securitate nu agreează acest termen, „ameninţarea persistentă avansată” şi-a făcut loc în presă şi a ajuns foarte popular în urma unor incidente ca breşa de securitate de la firma RSA sau a incidentelor „Night Dragon”, „Lurid” sau „Shady Rat”. În mod ironic, multe dintre aceste operaţiuni nu au avut nicun element „avansat”. Pe de altă parte, au existat multe cazuri în care au fost exploatate vulnerabilităţi de tip 0-day, cum a fost breşa RSA. În acest caz, atacatorii au profitat de CVE-2011-0609 – o vulnerabilitate în Adobe Flash Player – pentru a rula un cod cu caracter de malware pe computerul victimelor. Aceste atacuri confirmă instituirea cyber-spionajului ca o practică obişnuită. În plus, multe dintre aceste atacuri par să fie interconectate şi au ramificaţii globale majore.
4. Atacurile asupra Comodo şi DigiNotar
Pe data de 15 martie 2011, una dintre companiile afiliate Comodo, o organizaţie binecunoscută pentru software-ul de securitate şi certificatele digitale SSL, a fost victima hackerilor. Atacatorii au utilizat infrastructura existentă pentru a genera nouă certificate digitale false pentru pentru website-uri ca mail.google.com, login.yahoo.com, addons.mozilla.com şi login.skype.com. În timpul analizei incidentului, Comodo a identificat adresa IP de la care opera atacatorul ca fiind localizată în Tehran, Iran. Totuşi, acest incident păleşte în comparaţie cu breşa de securitate care a afectat DigiNotar. În iunie 2011, hacker-ii au accesat infrastructura companiei şi au emis peste 300 de certificate false. În viitor, este posibil ca operaţiunile de compromitere a acestui tip de companii să fie din ce în ce mai frecvente.
5. Stuxnet şi Duqu
În luna iunie 2010, cercetătorul Sergey Ulasen din cadrul companiei belaruse VirusBlokada, a descoperit un program periculos, care părea să utilizeze certificate furate pentru a semna driver-ele şi un exploit de tip 0-day care utiliza fişiere de tip .lnk, pentru a se răspândi. Acest malware a devenit cunoscut la nivel mondial sub denumirea Stuxnet, un „vierme” care a fost dezvoltat special pentru a sabota programul nuclear al Iranului.
În luna august a anului trecut, laboratorul de cercetare ungar „CrySyS” a descoperit troianul Duqu. Iniţial, nu era clar modul în care Duqu îşi infecta ţintele. Ulterior, s-a stabilit că Duqu penetra sistemele vizate prin intermediul unor documente Microsoft Word, care exploatau vulnerabilitatea CVE-2011-3402. Obiectivul acestui troian era diferit faţă de cel al lui Stuxnet, acesta fiind utilizat pentru a pătrunde într-un sistem şi de a „extrage” informaţii în mod sistematic. Arhitectura complexă şi numărul mic de victime au făcut ca Duqu să rămână nedetectat timp de ani de zile. Primele dovezi ale activităţii troianului par să dateze din august 2007.
Duqu şi Stuxnet sunt printre cele mai sofisticate instrumente utilizate în războiul cibernetic şi indică începerea unei ere de „război rece”, caracterizată de lupta între superputerile mondiale, fără limitările unui război „real”.
6. Atacul asupra Sony PlayStation Network
Pe 19 aprilie 2011, compania Sony a descoperit că PlayStation Network (PSN) fusese atacată de hackeri. Iniţial, compania a fost reticentă în a explica ce se întâmplase şi a susţinut că serviciul, care fusese supendat pe 20 aprilie, urma să redevină funcţional în următoarele zile. Abia pe 26 aprilie, compania a recunoscut că informaţiile personale ale utilizatorilor fuseseră furate, inclusiv numere de carduri de credit. Trei zile mai târziu, au apărut informaţii conform cărora 2,2 milioane de numere de card au fost puse în vânzare pe forumurile de hacking. În luna octombrie, PSN ajungea din nou în presă în urma compromiterii a 93,000 de conturi închise de Sony pentru a preveni posibile complicaţii. Acest incident a fost un semn că, în era cloud, informaţiile de identificare personală sunt disponibile, în mod convenabil, într-un singur loc şi pot fi sustrase extrem de rapid şi uşor în cazul în care este implicată şi o configuraţie greşită sau o problemă de securitate. În 2011, 77 de milioane de nume de utilizatori şi 2.2 milioane de numere de carduri au ajuns să fie considerate o „pradă” normală.
7. Închiderea reţelelor de tip botnet şi lupta împotriva criminalităţii cibernetice
În timp ce hackerii din cazul PSN au rămas necunoscuţi, 2011 a fost cu siguranţă un an nefast pentru infractorii cibernetici, care au fost descoperiţi şi arestaţi de către forţele de ordine din toată lumea. Câteva exemple sunt ZeuS, DNSChanger, Rustock, Careflood şi botnetul Kelihos. Aceasta indică o tendinţă mondială de împiedicare a infractorilor, indicându-le celor care încă nu au fost prinşi că acţiunile lor nu sunt lipsite de consecinţe.
8. Malware pentru Android
Anul trecut, sistemul de operare Android a devenit din ce în ce mai cunoscut ca o fiind ţintă vulnerabilă în faţa malware-lui creat special pentru a-i exploata punctele slabe. Câţiva dintre factorii care contribuie la popularitatea Android-ului ca ţinta pentru infractorii cibernetici sunt uriaşa sa popularitate, informaţiile disponibile gratuit despre platformă şi monitorizarea defectuoasă a Google Market, care face posibilă încărcarea de programe cu caracter maliţios.
9. Incidentul CarrierIQ
CarrierIQ este o companie al cărei obiectiv este să colecteze informaţii de „diagnostic” de pe terminale mobile. Cu toate acestea, Trevor Eckhart, un cercetător în domeniul securităţii, a demonstrat că informaţiile colectate de companie includ date introduse din tastatura şi link-uri accesate cu ajutorul telefonului mobil. Fiind o companie de origine americană, foarte probabil, în cazul în care este prezentată cu un mandat, CarrierIQ să fie obligată să dezvăluie poliţiei informaţiile colectate. Este posibil ca această „portiţă” legală să transforme serviciile companiei într-un instrument guvernamental de spionaj şi monitorizare. Pentru a completa natura obscură a acestui software, procedura de dezinstalare este destul de complicată şi este diferită în cazul iPhone-urilor, al telefoanelor Android şi al BlackBerry-urilor.
Descoperirile făcute în ceea ce priveşte activitatea CarrierIQ demonstrează că adesea, ignorăm complet ceea ce se întâmplă în propriul telefon şi că nu ştim cu adevarat care este nivelul de control pe care compania producătoare sau operatorul GSM îl are asupra terminalului.
10. Malware pentru sistemul de operare Mac
Anul 2011 a fost unul nefast pentru proprietarii de Mac, având în vedere distribuirea prin tehnici de tip black-hat SEO a unor produse antivirus false ca MacDefender, MacSecurity, MacProtector sau MacGuard. Apărute în luna mai a anului trecut, acestea au devenit populare în scurt timp. În plus, utilizatorii de Mac au fost afectaţi de atacurile din partea familiei de Troieni DNSChanger, identificată pentru prima dată în 2007, care infectează sistemul, modifică setările DNS şi se dezinstalează. Ulterior, infractorii utilizează comunicarea prin intermediul DNS pentru a determina victima să acceseze website-uri false sau pentru a face bani ilegal prin tehnici de tip „click fraud”. Aceste incidente demonstrează că malware-ul pentru Mac este la fel de real ca şi cel pentru PC-uri.
Mai multe informaţii despre aceste incidente puteţi găsi aici
http://www.kaspersky.com/images/Article_The%20top%2010%20security%20stories%20of%202011_ENG-10-136658.pdf
