Jaká je budoucnost malwaru?

28. 6. 2012

Sdílet

 Autor: Liv Friis-larsen - Fotolia.com
Budoucí hackeři už dnes vidí obrovský potenciál, který jim mohou přinést nejen sociální sítě, ale především mobilní zařízení a také zabudovaná IT řešení v běžných prostředcích.

Již vloni se ukázalo, jak snadné je nabourat se do automobilu ovládaného pomocí vzdálených příkazů – může jít o airbagy, rádia, elektrická sedadla, systémy ABS, systémy ESC, čísla pro kontrolu tlaku v pneumatikách, autonomní tempomaty či komunikační systémy. A to je jen začátek.

Osobní údaje plné třetiny obyvatel amerického státu Massachusetts byly nějakým způsobem kompromitovány, cituje státní právní zástupce statistiku získanou díky přísnému novému zákonu o oznamování úniku dat.

Společnost RSA zase nedávno oznámila, že bezpečnost její dvoufaktorové autentizace s využitím tokenů SecurID by mohla být ohrožena po sofistikovaném kyberútoku na její systémy.

Společnost Sony utrpěla masivní únik ze své on-line sítě videoher, při kterém došlo ke krádeži jmen, adres a možná i dat o kreditních kartách, které patřily k 77 milionům uživatelských účtů. Náklady Sony a vydavatelů kreditních karet by mohly dosáhnout až 2 miliard dolarů.

To je samozřejmě jen příklad nedávných úniků, a pokud si již nyní myslíte, že je to špatné, tak si ještě počkejte. Bude se to stále zhoršovat, protože se na internet dostává více informací díky zlomyslným skupinám hackerů, jako jsou Anonymous, a hackeři působící v ziskové sféře zločinu více rozšíří svou působnost do oblasti chytrých telefonů a sociálních médií.

Například vloni v srpnu zveřejnila aliance AntiSec (spolupráce mezi Anonymous a rozpadlou skupinou LulzSec) více než 10 GB informací od 70 úřadů pro vymáhání práva z USA.

Podle Todda Feinmana, výkonného ředitele společnosti Identity Finder, která je dodavatelem systémů DLP, nebyla aliance AntiSec motivována penězi.

„Zjevně se jim nelíbí, jak různé úřady pro vynucování zákona pracují, a pokusili se je diskreditovat,“ vysvětluje.

Dodává však, že si neuvědomují, že když zveřejní citlivé osobní informace, pomohou tak méně schopným kyberzločincům páchat krádeže identity. Každý týden dochází k únikům záznamů z univerzit, vládních úřadů a firem. Feinman odhaduje, že každý rok unikne cca 250 tisíc až 500 tisíc záznamů. Na internetu je však zveřejněno jen pár podrobností z těchto úniků, aby to mohl každý vidět.

I když některé útoky přitahující pozornost, jako tomu bylo například v případě mediálně známého ataku na servery firmy Sony, mohou být zamýšleny pro vytvoření problémů a vyvolání změny, mohl by únik související s vynucováním zákonů představovat posun v myšlení hackerů.

Motivace aliance AntiSec byla zjevně významně odlišná – útočníci si uvědomovali, že  podružná škoda je strategickou zbraní.

„Ve svém příspěvku na internetu aliance AntiSec přímo uvedla, že se nestarají o podružné škody. Ty se prostě podle nich stanou, a tak je nutné to tak brát,“ tvrdí Feinman.

Sociální sítě

Experti tvrdí, že budoucnost malwaru se netýká ani tak konstrukce samotného malwaru, ale spíše toho, jak se bude zaměřovat na potenciální oběti. Podružné škody nebudou omezeny na nevinné kompromitace bez vlastního zavinění.

Už jste někdy přijali přátelské pozvání na Facebooku nebo spojení s někým na LinkedInu, aniž jste dotyčného dobře znali? Možná jste si mysleli, že to byl někdo ze střední školy, na koho jste zapomněli, nebo bývalý obchodní partner, jehož jméno vám vypadlo z hlavy.

Protože jste nechtěli vypadat jako arogantní pitomci, akceptovali jste toto propojení a rychle jste na to zapomněli.

„Když lidé dělají rozhodnutí mající vztah k důvěryhodnosti v sociálních sítích, ne vždy chápou důsledky takového počínání. V současné době je pro cizí lidi mnohem snadnější než dříve zjišťovat si o vás informace,“ varuje Hugh Thompson, programový předseda konferencí RSA.

Všichni známe lidi, kteří na sociálních sítích a blozích rozebírají každou drobnost, kterou dělají, počínaje volbou snídaně a konče jejich zdravotními problémy. I když většina z nás takové lidi považuje za otravné, kyberzločinci je doslova milují.

„Odpovědi na otázky pro reset hesel je nyní snadné uhádnout a nástroje jako Ancestry.com, i když původně nebyly vytvořeny pro tento účel, poskytují hackerům hromady užitečných informací,“ varuje Thompson.

Thompson je přesvědčen, že jsou dvě oblasti, kde obor zabezpečení IT zoufale potřebuje inovace: 1. zabezpečení pro sociální média společně se způsoby správy informací sdílených o sobě na sociálních sítích a 2. lepší metody vyhodnocení odvozených rizik mnohem konkrétnějším způsobem.

 

Útok na nejslabší článek

Chris Larsen, vedoucí výzkumné laboratoře Blue Coat Systems, uvádí, že nejběžnější útok prostřednictvím sociálního inženýrství, který jejich laboratoř zachycuje, jsou falešné bezpečnostní produkty. Také vysvětluje, že sociální sítě nejsou jen využívány k zaměření se na jednotlivce.

Larsen zmínil nedávný pokus o útok, při kterém se zločinec zaměřil na vrcholové manažery velké korporace prostřednictvím jejich manželek. Logika spočívala v tom, že alespoň jeden vedoucí pracovník by mohl mít špatně zabezpečený domácí počítač sdílený s technicky málo zdatnou manželkou, což by mohlo poskytnout zadní vrátka potřebná ke kompromitaci tohoto manažera a k získání přístupu do cílové společnosti.

„Lov takzvaných velkých ryb je na vzestupu,“ tvrdí Paul Wood, senior analytik pro služby Symantec.cloud. „Ještě před pár lety jsme viděli jeden nebo dva z těchto druhů útoků za den. V současné době jich denně zaznamenáváme asi 80.“

Podle Wooda je sociální inženýrství zdaleka nejúčinnější zbraní v paletě nástrojů kyberzločince (až na druhém místě jsou automatizovaný, široce dostupný malware či hackerské toolkity).

V kombinaci s faktem, že mnozí vedoucí pracovníci obcházejí zabezpečení IT, protože chtějí nejnovější a nejmodernější zařízení, dostáváme výsledek, ve kterém mají kyberpodvodníci na dosah mnoho cenných a snadno zasažitelných cílů.

Společnosti ze žebříčku Fortune 500 ale nejsou jedinými ideálními cíli. „Dramaticky narůstají také útoky na malé a středně velké firmy, protože jsou obvykle nejslabším článkem ve větším dodavatelském řetězci,“ oznamuje Wood.

Dnes neexistuje spolehlivý způsob, jak se proti tomu bránit. Dokud největší společnosti nezačnou pečlivě zkoumat počítačové zabezpečení svých partnerů a dodavatelů, nemohou s jistotou říci, zda jsou samy v bezpečí.

I když je řekněme u General Electric běžné, že se prověřují subdodavatelé i návštěvou jejich továren, což nakonec vyústí v nasazení nejlepších postupů, firmy to obvykle nedělají.

Sledujte svou elektronickou peněženku

I když jsou hrozby pro chytré telefony jasně na vzestupu, opravdu velký incident jsme ještě neviděli. Důvodem je částečně roztříštěnost platformy. Tvůrci malwaru stále získávají zaměřením na počítače s Windows a na webové servery „za méně peněz více muziky“.

Larsen z Blue Coat je přesvědčen, že weboví červi nezávislí na platformě budou novou bitevní linií malwaru. Škodlivý kód nezávislý na platformě bude těžit z práce legitimních vývojářů, kteří odvedou za autory malwaru obtížnou programátorskou práci.

S tím, jak developeři přepracovávají webové stránky a aplikace, aby pracovaly na více zařízeních, se hackeři mohou snadněji zaměřit na komponenty, jako jsou prvky HTML, XML, JPEG apod., které se využívají na každém přistupujícím zařízení.

Chytré telefony se také velmi brzy mohou stát elektronickými peněženkami. Jestli je nějaký rys, na který se u kyberzločinců můžete spolehnout, je to jejich honba za penězi.

„Nadcházející všudypřítomnost technologie NFC pro platby prostřednictvím smartphonů je obzvláště znepokojující,“ varuje Marc Maiffret, technologický ředitel společnosti eEye Digital Security.

Evropa a Asie jsou již ve finálové fázi přechodu na m-commerce, ale ani USA nejsou moc pozadu. „Jakmile začne docházet k významnějšímu nasazování mobilních plateb, zaměří se na tyto cíle více hackerů,“ dodává.

Časem budou moci chytré telefony nahradit další formy identifikace. Váš řidičský či občanský průkaz nebo pas budou moci být umístěny v telefonu namísto ve vaší kapse. Ve světě firem se tento posun již objevuje.

Mobilní telefony už nyní slouží jako sekundární faktor identifikace ve všech druzích schémat korporátní autentizace. Firmy, které dříve spoléhaly na fyzické tokeny, jako je RSA SecurID, přecházejí na softwarové tokeny, které mohou být umístěny v mobilních telefonech – a díky tomu se toulat mimo korporaci.

„Dvoufaktorová autentizace původně vznikla proto, že lidé nemohli dostatečně důvěřovat počítačům. Použití mobilních telefonů jako faktoru identity dvoufaktorovou autentizaci naopak ničí,“ prohlašuje Maiffret.

Pro spotřebitele nejsou mobilní platby nutně tak znepokojivé, zvláště je-li technologie m-commerce svázána s účty kreditních karet a obklopena stejnou ochranou spotřebitele. Banky agresivně tlačí spotřebitele směrem k e-bankovnictví již léta.

Je zřejmé, že i přes související rizika vytváří e-bankovnictví lepší návratnost investic než tradiční bankovnictví. Jinak by to přece banky nedělaly.

Kromě toho by technologie m-commerce měla mít všechny související výhody ochrany, jako je pokročilá detekce podvodů. To se o hotovosti říci nedá.

Dnes je Android v oblasti smartphonů velkým cílem, ale nebuďte překvapeni, pokud útočníci obrátí svou pozornost rovněž na platformu iPhone, a to zejména v době, že se antivirové programy od nezávislých výrobců stanou na platformě Android více či méně standardem.

Demografie uživatelů platformy iPhone je pro útočníky přitažlivá, a když mluvíte s bezpečnostními profesionály, řeknou vám, že produkty Apple jsou ve své podstatě notoricky nezabezpečené.

Apple se velmi zdráhá poskytnout třetím stranám z oblasti zabezpečení takovou možnost přístupu k platformě, která je potřebná ke zvýšení bezpečnosti produktů iPhone, iPad, MacBook Air atd.

„Apple v oblasti ochrany dat velmi spoléhá na sebe,“ tvrdí Maiffret. „Téměř zrcadlí chování společnosti Microsoft v devadesátých letech a bude muset zřejmě dojít k jednomu či dvěma velkým incidentům, než u nich nastane změna.“

 

Nové hrozby pro auta i domy

V průběhu konferencí Black Hat a Defcon na začátku loňského srpna výzkumníci demonstrovali řadu znepokojivých scénářů útoků. Jeden obzvláště děsivý útok představil možnost únosu auta. Hackeři dokázali vypnout alarm, odemknout dveře a vzdáleně auto nastartovat pomocí textových zpráv zaslaných mobilním telefonem do bezdrátového zařízení v autě.

Další ohrožená vestavěná zařízení jsou airbagy, rádia, elektrická sedadla, systémy ABS, systémy ESC, autonomní tempomaty či komunikační systémy. Jiný typ útoku by mohl ohrozit soukromí řidiče tím, že by pomocí silných dálkových čteček sledoval RFID tagy použité k monitorování tlaku v pneumatikách.

„Jak se do technologií automobilů dostává stále více vestavěných funkcí, zvyšuje se hrozba útoku a zlomyslné manipulace,“ varuje Stuart McClure, viceprezident a generální ředitel společnosti McAfee.

„Mnoho příkladů ukazuje potenciální hrozby a hloubku kompromitace, kterým je spotřebitel potenciálně vystaven. Jednou věcí je, že může dojít k ohrožení vašeho e-mailu nebo notebooku, ale hacknutí vašeho auta by mohlo znamenat hrozné riziko pro vaši osobní fyzickou bezpečnost.“

bitcoin školení listopad 24

Samozřejmě že automobily představují pouze jeden příklad prolomitelnosti do vestavěných systémů. Počet zařízení připojených protokolem IP vyšplhá v příštích pěti až deseti letech někam mezi 50 miliard až jeden bilion, což se samozřejmě bude líbit firmám jako IBM, Ericsson nebo Cisco.

Budoucí hackeři by se tak mohli zaměřit na cokoli – počínaje systémy domácích alarmů až po systémy letové kontroly či řízení přehrad pro ochranu obyvatelstva před povodněmi.