V pravidelných komentářích vám průběžně poskytujeme přehled o aktuálním dění ve světě bezpečnosti, nicméně zajímavé je sledovat také dlouhodobý vývoj. Inspirací jsou průběžně vydávané sumáře analyzující jednotlivé techniky a jejich případná vylepšení, mezi právě vydané patří volně dostupná zpráva McAfee Threats Report: Second Quarter 2011, která uceleně popisuje nebezpečí týkající se druhého čtvrtletí letošního roku. Co nepříjemné nás tedy potkalo a čeho se ještě musíme dál obávat?
Již v různých výhledech pro rok 2011 se na předních příčkách aktuálních hrozeb objevoval škodlivý kód pro mobilní telefony, druhé čtvrtletí to potvrdilo – podle citované zprávy McAfee hrozby pro smartphony čím dál více kopírují útočné kódy na běžné osobní počítače. V inkriminovaném druhém čtvrtletí bylo nejvíce malwaru poprvé určeno pro platformu Android (dříve byl nejvíce napadanou mobilní platformou OS Symbian a mobilní implementace jazyka Java). Škodlivý kód pro Android se může vydávat za kalendářové aplikace, programy pro práci se SMS zprávami nebo může jít o falešné aktualizace. Některé programy fungují jednoduše (navazují komunikaci s čísly se speciálním tarifem), jiné se pokoušejí o komplexnější zneužití infikovaného telefonu.
Vývoj počtu vzorků malwaru pro mobilní platformy. Zdroj: McAfee
Jaká rizika chytrým mobilům tedy v praxi nehledě na řeč čísel podle statistik vlastně hrozí? Nejdiskutovanějšími jsou mobilní viry, které však stále představují poměrně exotickou kategorii zneužití, nemálo lidí má totiž infekci virem spojenou hlavně s klasickými počítači, o možnosti infekce mobilních telefonů často neuvažují. Například již přibližně před šesti lety však spatřil světlo světa červ schopný šíření pomocí Bluetooth, který infikoval chytré mobilní telefony se Symbian OS.
Uvedený škodlivý kód pro smartphony nesl označení Cabir.A a naděje na svou replikaci vkládal do SIS souborů, které přes Bluetooth rozesílal na další, v okolí dostupná zařízení. Ve skutečnosti Cabir neobsahoval žádné škodlivé rutiny, pouze po zapnutí telefonu ohlásil svou přítomnost zobrazením krátké zprávy. Z parazitů Bluetooth nelze nezmínit například Commwarrior a Mabir.A. Mabir.A rozesílá soubory s názvem caribe.sis, takže se na první pohled tváří jako původní Cabir. Monitoruje však dále také všechny příchozí SMS i MMS zprávy a jako odpověď automaticky odesílá infikovaný soubor caribe.sis. Paralela s „obyčejnými“ viry pro počítače je nasnadě: funkční a úspěšný škodlivý kód se stal předlohou pro mnoho dalších tvůrců, a tak i nyní s odstupem jsou postupy často podobné. A také je zde často zapotřebí interakce uživatele, který nezváží, resp. neodhalí všechna spojená rizika.
Ukázka detekce jednoho z nechvalně proslulých virů pro mobilní telefony. Zdroj: F-Secure
Boj za stejnou myšlenku
Jednou z dalších, nyní velice často diskutovaných problematických oblastí, je renesance hackingu. Ten se během posledních měsíců aktuálního roku proslavil díky módnímu hacktivismu. Tak jako se v současnosti neustále ohlížíme za aktuálními útoky Anonymous a podobných skupin, budeme se třeba za pár let ohlížet za celým prvním pololetím roku 2011 jako za počátky rozsáhlých kybernetických válek. Doufejme, že se tento scénář nenaplní, nicméně současný trend hackingu a hacktivismu není dobré podceňovat, síla souvisejících skupin již byla dostatečně demonstrována.
Ačkoliv si to v současnosti příliš neuvědomujeme, můžeme být svědky a součástí historického milníku, který opět posune někam dál termín hacking. Stále častěji jsou členové Anonymous a jim podobní (například LulzSec) označování jako již zmínění hacktivisté – skupiny, které využívají síťové útoky a hacking k tomu, aby upozornili na ožehavá témata a svými činy bojovali nebo podporovali konkrétní věc. Dle jejich mínění jde vždy o dobrou věc, což je vždy hlavní ingredience budování hromadných útoků. I když se skupina Anonymous a sami uživatelé hájí myšlenkou boje za svobodu slova a udržení dostupnosti informací celému světu, jedná se o útoky jako kterékoliv jiné.
S rostoucí popularitou hackerských skupin se také ke kořenům vrací původní aliance, i když jsou členové jednotlivých z nich anonymní. Tak například časté skloňování názvů skupin Anonymous a LulzSec není náhodné, obě organizace totiž v nedávných dnech vyhlásili operaci AntiSec – jejím cílem je útočit na organizace, webové stránky a i konkrétní firmy, které se snaží omezovat svobodu na Internetu. Skupiny útočníků do dnešní doby při organizovaných atacích spadaly hlavně do kategorie opravdové kyberkriminality, šlo o klasické crackery. S hacktivismem můžeme i nemusíme souhlasit, nicméně opět jde o vlnu, která začala nabírat na síle loňský rok a stále nabývá na síle. Že by opravdový milník pro síťové přestřelky a jejich řešení v reálném světě do budoucna?
Anonymous bojují nejen se světem, ale také sami se sebou a chybnou interpretací
Osvědčený návrat ke kořenům
Malware pro mobilní telefony a varování před nárůstem hacktivismu – co dalšího ukazují souhrnné statistiky posledního kvartálu podle sumáře Threats Report: Second Quarter 2011? Vzhledem k narůstajícímu množství lidí pracujících na platformě Mac OS, a to i ve firemním prostředí, se tento systém stává zajímavý i pro autory malwaru. Ve druhém čtvrtletí se dokonce poprvé objevily i falešné antiviry pro počítače Apple. Navíc došlo ke zvýšení počtu rootkitů, které souvisí se snahou podvodníků detekci malwaru maximálně ztížit. Množství „skrytého“ malwaru vzrostlo meziročně o 38 %, rootkity se uplatňují hlavně při útocích proti velkých společnostem nebo kritické infrastruktuře, kdy má škodlivý kód fungovat co možná nejdéle.
Rootkity se ve svém obecném pojetí snaží zamaskovat svou přítomnost v systému, a to tak, aby byly jen těžko odhalitelnými pro všechny antivirové i antispywarové aplikace. Rootkit může nějakou záškodnickou činnost vykonávat buď sám, nebo funguje „pouze“ jako backdoor pro další akce útočníka, resp. poskytuje vhodné prostředí ke spuštění jiného malwaru. Rootkity lze rozdělit do dvou základních kategorií, a sice „user-mode“ a „kernel-mode“ varianty.
Není těžké uhodnout, že zmíněné označení vychází z toho, zda běží v uživatelském režimu, nebo režimu jádra. Rootkity například zachytávají systémové požadavky a uživateli je prezentují v záměrně pozměněné podobě. Důsledkem toho může být skrývání procesů, ovladačů, souborů apod. Pokud tedy uživatel požádá například o výpis adresáře, daný rootkit filtruje výsledek a vybrané soubory nezobrazí.
Pro boj s rootkity výrobci bezpečnostních řešení připravují specializované aplikace nebo součásti svých balíků a antivirů
„User-mode“ rootkity běží jako samostatná aplikace, případně mohou být do některého existujícího programu vloženy. Hůře odstranitelné „kernel-mode“ rootkity nezasahují pouze do některých aplikačních souborů, nýbrž modifikují přímo části operačního systému. Proto mohou způsobit výraznou nestabilitu a časté, na první pohled bezdůvodné pády systému. Zní tato technologie inovátorsky a převratně? Kdeže, útočníci se pouze v aktuálním roce vracejí a využívají již drahnou dobu známé principy.
Renesance síťových útoků a jejich zesílení společně s vylepšováním již dříve známého malwaru patří mezi aktuální nestárnoucí hrozby. Kterých technik infiltrace a prolomení ochran by se podle vás v současné době měli koncoví uživatelé i firmy bát? Podělte se o svůj názor a zkušenosti s ostatními čtenáři v diskuzi pod článkem.