Symantec Internet Security Threat Report a identificat un număr sporit de atacuri direcţionate înspre e-Commerce şi aplicaţii Web

“Aşa cum relevă şi acest raport Internet Security Threat, aplicaţiile sunt create mai facil şi mai rapid ca niciodată, în timp ce atacatorii lansează atacuri din ce în ce mai sofisticate pentru a obţine beneficii financiare,” a declarat Arthur Wong, vice president, Symantec Security Response and Managed Security Services. “Vulnerabilităţile software şi atacurile direcţionate rămân unele dintre principalele preocupări atât pentru indivizi cât şi pentru organizaţii. Prin publicarea unui raport comprehensiv şi la zi asupra activităţilor ce implică ameninţări pe Internet, Symantec oferă comunităţii de specialişti în securitatea informaţiilor datele necesare pentru o securizare eficientă a propriilor sisteme, acum şi pe viitor.”

Principalele descoperiri

•Ameninţări crescute asupra e-Commerce: În timpul perioadei de alcătuire a raportului, e-Commerce a fost una dintre cele mai vizate domenii, cu aproape 16 procente din atacurile totale. Aceasta reprezintă o creştere de 400% faţă de cele doar 4 procente raportate cu 6 luni în urmă. Creşterea poate indica o reorientare a atacurilor ce urmăreau notorietatea spre atacuri ce urmăresc câştigul economic. Această posibilitate este ilustrată şi de o creştere în infracţiunile de tip phishing sau spyware, create special pentru a fura informaţie şi a o transmite atacatorilor.

•Atacurile împotriva tehnologiilor pentru aplicaţiile web sunt din ce în ce mai dese: Tehnlogiile aplicaţiilor web sunt ţinte apetisante pentru atacuri, datorită largii răspândiri în cadrul diverselor organizaţii şi a relativei uşurinţe cu care pot fi exploatate. Aplicaţiile web permit atacatorilor să obţină accesul la sistemul ţintă prin simpla penetrare a unui computer al unui end user, prin evitarea măsurilor tradiţionale de securitate a perimetrului. Aproape 82 de procente ale vulnerabilităţilor aplicaţiilor web cunoscute au fost catalogate drept uşor de exploatat, reprezentând astfel o ameninţare semnificativă pentru infrastructura unei organizaţii sau a bunurilor reprezentate de informaţiile critice.

•Intervalul scurt între vulnerabilitate şi exploatarea ei: Potrivit raportului, intervalul dintre anunţarea unei vulnerbilităţi şi lansarea codului asociat de exploatare este foarte scurt. Informaţiile Symantec indică faptul că în ultimele 6 luni, fereastra pentru vulnerabilitate – exploatare a fost de 5,8 zile. Odată ce exploit-ul vulnerabilităţii a fost lansat, aceasta este folosită pe scară larga şi exploatată rapid. Intervalul scurt nu pune la dispoziţia organizaţiilor decât mai puţin de o săptămână pentru a repara sistemele vulnerabile.

•Creştere în reţelele Bot (robot): Adăugându-se la problemele ridicate de intervalul scurt de răspuns la vulnerabilităţi, este şi creşterea în bots. Bot sunt programe instalate camuflat într-un sistem ţintă, ce permit unui utilizator neautorizat să controleze de la distanţă un computer, pentru o varietate largă de activităţi. Atacatorii, deseori coordonează un grup vast de sisteme controlate de aceste programe bot, sau reţele bot, pentru a scana sistemele vulnerabile şi pentru a le folosi în scopul măririi vitezei şi a dimensiunilor propriilor atacuri. În ultimele 6 luni Symantec a observat o creştere semnificativă în numărul de programe bot controlate de la distanţă. În primele 6 luni din 2004, numărul mediu de programe bot monitorizate a crescut de la mai puţin de 2000 la peste 30.000 pe zi – ajungând până la 75.000 într-una din zile. Reţelele bot pot crea probleme deosebite organizaţiilor, datorită faptului că ele pot fi upgradate de la distanţă cu noi versiuni foarte rapid, ceea ce poate da un avantaj potenţial atacatorilor pentru a depăşi eforturile de securitate ale unei organizaţii pentru remedierea vulnerabilităţilor.

•Creştere a vulnerabilităţilor grave, uşor de exploatat: Symantec a catalogat peste 1,237 noi vulnerabilităţi între 1 ianuarie – 30 iunie 2004, cu o medie de 48 noi vulnerabilităţi pe săptămână. 70% dintre aceste vulenrabilităţi sunt considerate a fi uşor de exploatat iar 96% pot fi considerate de o gravitate mare şi foarte mare. În consecinţă. Organizaţiile trebuie să se îngrijească de o medie de peste 7 noi vulnerabilităţi pe zi şi un procent semnificativ dintre aceste pot fi cauza compromiterii parţiale sau totale a sistemului atacat.
Tendinţe în atacuri

•Virusul Slammer a fost cel mai obişnuit atac din ultimele 6 luni, cu 15% din adresele de IP care au atacat având legătură cu el. Gaobot şi variantele sale urmează în acest clasament, cu o creştere de peste 600% în ultimele 6 luni.

•În general, volumul zilnic al atacurilor este în descreştere, datorită declinului activităţii de atac bazate pe viruşii tip worm în primele 6 luni din 2004. E-Commerce a fost ţinta atacurilor celor mai direcţionate dintre toate domeniile în această perioadă; urmează în clasament micile afaceri.

•Statele Unite au fost primele în topul ţărilor sursă pentru atacuri, cu 37 de procente, în scădere de la 58% în cele 6 luni precedente. Alte ţări au crescut în consecinţă, indicând faptul că activităţile de atac informatic se internaţionalizează.

•80% dintre clienţii Symantec Managed Security Services ce folosesc aceste servicii de mai mult de 6 luni au reuţit să evite cu succes experienţa unui atac sever

Tendinţe în vulnerabilitate

•În primele 6 luni din 2004, intervalul mediu dintre anunţarea publică a unei vulnerabilităţi şi lansarea unei exploatări asociate a fost de 5,8 zile

•Symantec Vulnerability Databasea a catalogat 1237 noi vulnerabilităţi între 1 ianuarie – 30 iunie 2004. 96% dintre acestea au fost catalogate cu calificative de la moderate la foarte grave; 70% dintre vulenrabilităţi au fost considerate ca facil de exploatat; 64% dintre vulnerabilităţile pentru care codurile de exploatare sunt disponibile au fost considerate ca foarte grave

•În prima jumătate din 2004, 479 vulnerabilităţis – sau 39% din volumul total – au fost asociate tehnologiilor pentru aplicaţiile web.
Tendinţe în Malicious Code

•În ultimele 6 luni, Symantec a catalogat 4,496 viruţi noi pentru Windows şi viruşi tip worm (în special Win32), de peste 4.5 ori mai mult decât în aceeaşi perioadă din 2003.

•Numărul diverselor variante de programe bot a crescut foarte mult, cu peste 600% în ultimel 6 luni.

•Serviciile Peer-to-peer (P2P), Internet relay chat (IRC) şi network file sharing continuă să fie vectorii de propagare cei mai populari pentru viruşii worm sau pentru malicious code.

•A apărut primul virus pentru dispozitive mobile, Cabir.

Tendinţe viitoare şi emergente

•Atacurile către diverşi clienţi sunt aşteptate să crească în viitorul apropiat. Atacuri direcţionate către firewall-uri şi alte dispozitive de securitate de protejează sistemele utilizatorilor devin o preocupare din ce în ce mai serioasă pentru securitate.

•Symantec se aşteaptă ca reţelele bot să folosească metode din ce în ce mai sofisticate de sincronizare a controlului şi atacurilor, ce sutn dificil de detectat şi localizat. Symatec se aşteaptă de asemenea la cazuri de spargere a porturilor, o metodă pe care atacatorii o pot folosi pentru a crea conexiuni directe către sistemele potenţial targetate.

•Symantec previzionează că vulnerabilităţile recente în Linux şi BSD descoperite recent şi folosite demonstrativ să fie folosite pentru dezvoltarea unor viruşi worm cu capacitate de exploatare în viitorul apropiat. Symantec previzionează de asemenea o creştere a încercărilor de exploatare a vulnerabilităţilor dispozitivelor mobile

Despre Symantec Internet Security Threat Report

Symantec este posesorul cele mai mari baze de date cu privire la sursele ameninţărilor informatice din lume. Descoperirile Internet Security Threat Report se bazează pe informaţia furnizată de clienţii Symantec DeepSight Threat Management System şi Symantec Managed Security Servicesca şi pe peste 20000 de dispozitive de securitate amplasate în peste 180 de ţări. Suplimentar, raportul are la îndemână date despre ameninţări diverse adunate de experţi din 5 centre pentru operaţiuni de securitate ale Symantec şi nou laboratoare de reacţie rapidă din întreaga lume. Symantec colectează de asemenea coduri maliţioase de la peste 120 de milioane de clienţi, servere şi sisteme gateway care folosesc produsele antivirus Symantec, atât în mediile de afaceri cât şi la nivelul consumatorilor individuali.