Britanska kompanija Sophos, objavila je izveštaj o razvoju i distribuciji zlonamernog koda u proteklih 12 meseci (2007.god). Izveštaj je otkrio da maliciozni kod nije više samo Microsoft problem. U toku 2007. je bila organizovana prva grupa sajber kriminalaca usmerenih na Apple računare i Appache web servere. Naravno, sajber kriminalci su isključivo bili orjentisani na novčanu sferu tj na “zgrtanje” bogatstva na račun nedužnih računarskih korisnika. Sa dokazom da su hakeri proširili svoje napore van Windows-a, Sophos je upozorio kompjuterske korisnike svih operativnih sistema da nikako ne popuštaju u svojoj politici bezbednosti.

Ovo nije prvi put da se susrećemo sa malicioznim kodom napravljenim za Mac. Međutim, 2007. je zabeležena po eskaliranju njegove upotrebe. Mnoge nove verzije malicioznog OSX/RSPlug Trojanskog konja, koje su viđene u Novembru 2007. su postavljene na web sajtove u cilju phishing-a i krađe identiteta surfera sa Apple Mac računarima.

Web pretnje

Sophos-ovi eksperti su otkrivali 6.000 zaraženih web stranica svaki dan (znači jedan na svakih 14 sekundi!!!). Otprilike samo 1 u svakih 5 ovakvih sajtova je u stvari hakerski sajt sa malicioznim sadržajem. Međutim, 83% ovih web stanica je zapravo legitimno tj pripadaju legalnim kompanijama i privatnim licima, koji nisu bili svesni da su njihovi sajtovi hakovani i zloupotrebljeni. Na taj način su bile ugrožene reputacije mnogih kompanija. Najviše zloupotrebljavani web sajtovi imali su sledeće teme: umetničke galerije, agencije za poslovnu pratnju, religiozni sajtovi, iznajmljivanje apartmana za odmore, proizvodnja sladoleda, uređivanje dvorišta, muzeji, organska proizvodnja, čišćenje rerni, pilates…



Prema izveštajima dobijenim iz Sophos laboratorije, preko polovine web-baziranih pretnji od Januara do Decembra 2007., se odnosi na Mal/Iframe.

Ovaj malware je svoj vrh dostigao u Aprilu i Junu protekle godine. Većim delom je smešten na web sajtovima hostovanim u Kini, ali uočeno je i njegovo hostovanje širom cele planete.



U Junu 2007, Mal/Iframe je inficirao više od 10,000 legitimnih web sajtova hostovanih u Italiji, uključujući i sajtove koji pripadaju visoko profilnim organizacijama kao što su sajtovi Gradskih veća, Biroa za zapošljavanje i turistički sajtovi. Većina zaraženih sajtova je bila hostovana od strane najvećeg ISP-ja u Italiji.

Mal/ObfJS, se pojavio na legitimnom web sajtu US Generalnog Konzulata u St Petersburgu, Rusija, u Oktobru mesecu. Zaštita od ovog zlonamernog koda postoji još od maja 2007. što ukazuje na neozbiljnost shvatanja pretnji ovog tipa.

Rezultati istraživanja zemalja koje su u najvećem broju hostovale zaražene web sajtove, ukazuju na značajna pomeranja u odnosu na 2006. godinu. Kina je “uznapredovala” sa drugog mesta 2006. sa nešto više od 30% hostovanih stranica, na neprikosloveno prvo mesto u 2007. godini. Preko 50% zaraženih web stranica se nalazi na serverima u Kini.

Top10 zemalja koje su hostovale sajtove zaražene malicioznim kodom u 2007.godini
Veliki broj surfera je računao na veliku opasnost prilikom posete sajtova hostovanih u Kini, tačnije onih čije ime se završavalo sa .cn. Na veliku žalost, njihova pažnja je popustila kada nije bilo ovako očiglednog pokazatelja. Naime, nisu svi sajtovi hostovani u Kini imali ovaj jedinstveni pokazatelj, što je uzrokovalo povećan broj uspešnih napada i infekcija. Sjedinjene Američke države su pale na drugo mesto na ovoj listi sa 34% učešća u 2006., na 23,4% učešća u 2007. godini. Poljska se prvi put našla među prvih deset ozloglašenih, sa učešćem jedne u svakih 100 zaraženih web stanica. Holandija koja je bila na četvrtom mestu 2006., uspela je da spreči povećanje broja hostovanja zaraženih stranica, tako da se sada nalazi na desetom mestu. Bez obzira na značajan pad na ovoj listi, ovo i dalje predstavlja zabrinjavajuću situaciju shodno broju populacije Holandije i njene infrastrukture.

Krajem 2007., stručnjaci SophosLabs-a su napravili pregled miliona inficiranih web servera širom sveta, a detaljnije su ispitali preko 50,000 sa ciljem da otkriju koji operativni sistem je tom prilikom bio u upotrebi. Dobijeni rezultati su ukazali da je u prvoj polovini 2007 preko 50% zlonamernog koda pronađeno na Apache serverima, a oko 40% na Microsoft IIS serverima. Veliki broj Apache servera se nalazi na mašinama na kojima je operativni sistem Linux ili neka vrsta UNIX-a, jer mnogi administratori smatraju ovakve sisteme manje osetljivim na napade. Iako je tačno da je manje malware-a napisano za Linux i UNIX, web sajtovi nisu nikako bezbedni od napada. Razlog je taj što su napadi usmereni na sajtove, a ne na same servere i često iz tog razloga sadrže prikrivene skriptove ili maliciozni kod za redirekciju.

Email pretnje

Što se tiče email-baziranih pretnji, zabeležen je pad širenja malicioznog koda putem attachment-a u 2007.godini. Tendencija pada zaraženih attachment-a u email porukama:
Godina Mail-ovi sa zaraženim attachment-om
2005. 1 zaražen na svaki 44. mail
2006. 1 zaražen na svaki 337. mail
2007. 1 zaražen na svaki 909. mail

Hakeri i tvorci malicioznog koda su se više usmerili na web koji hostuje njihove napade, jer su ustanovili jednostavnije postavljanje malicioznog koda korisnicima web-a. Tako da je narastao broj email-ova koji u sebi sadrže linkove koji vode do malicioznih web sajtova.



HckPk je odgovoran za skoro jednu četvrtinu prosleđenog zlonamernog koda putem attachment-a u protekloj godini što ga je i postavilo na sam vrh liste. Ime je dobio prema načinu funkcionisanja tj upotrebi tehnologije enkripcije i pakovanja da bi zaobišao sigurnosne filtere. Kao i kod Mytob-a i Dorf-a (poznatijeg kao Storm), videli smo hiljade varijanti ovih pretnji, i svi oni pripadaju istoj familiji malware-a. Netsky, Mytob, Zafi, MyDoom i Bagle se nalaze na ovoj top listi već nekoliko godina i održavaju kontinuitet u svom plasiranju i širenju na nezaštićene računare.

Crv Storm (Dref ili Drof) je u 2007. bio najrazvijenija pretnja, sa preko 50,000 različitih varijanti. Sajber kriminalci su u svojim Storm napadima kao paravan koristili najzanimljivije teme, taktike zastrašivanja, krili su se iza elektronskih čestitki, sve kako bi namamili ljude da otvaraju maliciozne sadržaje iz attachment-a ili da kliknu na njihove maliciozne linkove. Početkom Januara 2007, hakeri su u subject-u malicioznog mail-a uneli “230 dead as storm batters Europe” po čemu je i ovaj crv dobio svoje popularno ime Storm. Ovaj crv je u različitim varijantama bio postavljan na primer, u novogodišnjim elektronskim čestitkama, čestitkama za Dan Zaljubljenih, za Dan Nezavisnosti, koristio je navodne video spotove poznatih popstarova (spominjana su imena Beyonce, Rihanna, The Eagles…), i td. Storm je imao nameru da preuzme poverljive podatke, kao i da preuzme računare kako bi se preko njih slali denial-of-service napadi i spem. Takođe je nastojao da ubedi korisnike da kupuju ne postojeće proizvode, akcije i td.

Malware

Kinesko područje je odgovorno za kreiranje 21% od svih novo-napisanih pretnji u 2007. Opet moramo priznati da je taj procenat nešto manji u odnosu na prethodnu godinu kada je iz Kine proizišlo čak 30% napisanog zlonamernog koda. Većina “Kineskog” malware-a je bilo u formi backdoors-a, ali je i znatna količina pretnji konstruisana za preuzimanje lozinki korisnika online igara. Brazil se nalazi na drugom mestu po pisanju malware-a sa 12,5% za 2007. godinu. Većina Južno Američkih zemalja je kreirala trojance koji su imali fokus postavljen na krađu informacija preko online banaka. Rusija sa 9,2% zabeleženog malware-a, je većinom kreirala backdoors-e koji su omogućavali sajber kriminalcima pristup kompromitovanim računarima.

U 2007. virusi su koristili standardne tehnike izbegavanja detekcije, a to su: polimorfna tehnologija (prilikom svake infekcije, menjali su svoj prvobitan oblik u više različitih varijanti da bi otežali detekciju), enkripcija i brzo menjanje izgrađenog koda (pogotovo kod malicioznog koda napisanog u script-u). Proizvođači antivirusnih rešenja su koristili tehniku proaktivne detekcije novih pretnji. Prema nezavisno sprovedenom testu od strane AV-Test organizacije, dobijeni su sledeći nalazi:

Spam

Spam i dalje ostaje veliki problem za poslovanje. Prema analizi konačnih izveštaja, Sophos je otkrio da od ukupnog email saobraćaja u 2007., 95% je spam. Od zemalja koje su najviše plasirale spem, na vrhu liste nalaze se SAD. Kina je napravila veliki pomak u odnosu na 2006. kada je učestvovala sa 15% u ukupnom spemu. U 2007., to učešće je više nego prepolovljeno i iznosi svega 6%.



Pump-and-dump kampanje “veštačkog” uvećanja vrednosti akcija, su takođe bile veliki problem 2007. Pump-and-dump kampanja ima sledeći tok. Spemeri prvo kupuju akcije po izuzetno niskim cenama, a zatim putem spema obaveštavaju kompjuterske korisnike o “dobroj investiciji” u te iste akcije. Vrednost akcija se veštački povećava zbog povećane tražnje i to je momenat kada spemeri prodaju svoje akcije i zarađuju na “naivnim” investitorima. Tokom Marta 2007, Američka vlada je u operaciji “Spamalot” suspendovala 35 kompanija koje su se nalazile u spem kampanjama. Novina kod ove vrste prevare, je upotreba PDF fajova, JPG fajlova i ostalih slikovnih priloga u mail-ovima. Jedna od najbizarnijih šema je viđena u Oktobru 2007. kada je upotrebljen MP3 muzički fajl. Taj fajl je predstavljen kao muzička numera Elvis Presley-ja, Fergie ili Carrie Underwood. U stvarnosti je sadržala monoton glas koji je nastojao da „ohrabri“ ljude da kupe akcije male i slabo poznate kompanije. Međutim, kampanja je otkrivena relativno brzo i vest o ovoj prevari je do korisnika došla na vreme.

Jedan od glavnih razloga što spemeri ulažu svoju energiju i vreme na otkrivanje novih tehnika spemovanja - jeste što to u stvari ima EFEKTA! Prema sprovedenom testiranju u Februaru 2007, 5% ispitanika je priznalo da je barem jednom kupilo proizvod koji im se ponudio putem spem poruke. Prema drugom istraživanju sprovedenom u Novembru iste godine, ta cifra se povećala na 11%.

Apple

Velika promena koja je nastala u 2007. godini jeste povećanje pretnji kreiranih za Mac računare. Naravno, da je neuporedivo veći broj napisanog malware-a za Microsoft Windows, ali ne treba zanemariti ni činjenicu da ima onih koji su odlučili da se posvete korisnicima drugih platformi. U Novembru 2007., Mac OS X malware je bio izuzetno zastupljen. Funkcionalnost malicioznog programa, OSX/RSPlug, je konstruisana veoma jednostavno. On modifikuje podešavanja tako da preusmerava DNS zahtev na server koji je pod hakerovom kontrolom. Ti sajtovi su uglavnom zahtevali username i šifru ili su prezentovali neki od reklamnih programa.
OSX/RSPlug je povezan sa široko rasprostranjenom familijom Zlob Windows malware-a, koji „obećava“ korisniku prikaz pornografskog materijala prilikom preuzimanja novog kodeka. Klikom na link koji vodi korisnika na web stranicu koja hostuje maliciozni kod, web sajt ispituje zahtev i utvrđuje da li je zahtev potekao sa Mac ili Windows računara. Shodno tome, Apple Mac računari dobijaju OSX/RSPlug-Gen fajl (koji ne može da zarazi Windows platformu), dok Windows PC dobijaju Zlobar-Far trojanca. Ovaj pristup znači da se autori malicioznog koda sve više šire i na druge platforme, ostavljajući trojancu izbor da se sam prilagodi postojećoj platformi prilikom ulaska na korisnički računar.
Mobile security
U proseku ima kreiranih nekih 200 pretnji za mobilne aparate (mali broj ukoliko uporedimo sa 300.000 kreiranih za Windows). Međutim, taj broj je u konstantnom rastu u poslednjih par godina. Propusti su pronađeni kod email aplikacije i Safari browser-a Apple mobilnih aparata.
I iPhone i iPod Touch su dizajnirani tako da se mogu konektovati na Intrenet, posećivati web sajtove i da je moguće doći do svojih email-ova. Upravo ove opcije predstavljaju hakerima nove mogućnosti „napada“ na korisnike ovih uređaja. Do sada se pokazalo da je iPod Touch više u upotrebi zbog svoje povoljnije cene u odnosu na iPhone.

Socijalne mreže

Fenomen socijalnih mreža poput Facebook-a, Bebo-a, Orkut-a i MySpace-a, ne prate samo tinejdžeri i ljudi koji vole druženja i dobijanje zanimljivih informacija, nego i hakeri koji su uvideli priliku da iskoriste njihova interesovanja. Naime krađa poverljivih podataka postala je glavna tema u svim kompanijama gde je otkriveno da se zaposleni radnici u toku svog radnog vremena pridružuju na ovakve mreže. Ne dovodi se samo u pitanje produktivnost rada već i sigurnost poverljivih podataka kompanije. Sophos je sproveo istraživanje tokom Septembra i Oktobra 2007.godine među zaposlenim radnicima pojedinih kompanija koje je pokazalo poražavajuće rezultate. Istraživanje se odnosilo na zavisnost i učestalost od uključivanja u socijalne mreže zaposlenih u toku radnog vremena (u ovom slučaju, testiranje za Facebook korisnike). Svaki sedmi korisnik je konstantno logovan na Facebook tokom svog radnog vremena.



Prilikom tog istraživanja, Sophos se predstavio sa lažnim profilom, kako bi doznao kolika je svesnost odavanja ličnih podataka nepoznatim licima. Sophos je uspeo da dođe do tačnih datuma rođenja,validnih email adresa, ličnih brojeva telefona, kompletnih rezimea zaposlenih, opisa radnih mesta i td. Jedan korisnik je čak otkrio i devojačko prezime njegove mame (što je jedno od čestih pitanja ukoliko zaboravite svoju lozinku prilikom logovanja). Ono što dodatno zabrinjava jeste činjenica da čak 32% ljudi koristi istu lozinku na svakom web sajtu koji posećuju. U cilju zaštite kompanijskih podataka i naravno reputacije, organizacije treba da deluju brzo u postavljanju određenih ograničenja za svoje zaposlene koji posećuju ovakve sajtove.



Web sajtovi koji prate socijalne mreže treba takođe da adresiraju problem. Pored postavke sigurnosnih opcija, neophodno je da edukuju svoje korisnike kako ne bi došlo do narušavanja bezbednosti.
Tokom protekle godine, videli smo nekoliko zloupotreba socijalnih mreža i postavljanja malicioznog koda na iste. Na primer, u Martu 2007, je otkriven SpaceStalk spyware trojanac usađen u QuickTime movie prikaz francuske rok grupe MAMASAID na MySpace stranici. Javascript kod koji se učitao sa ovim video spotom je postavio maliciozni kod koji je krao informacije zainteresovanih posetilaca.
U Septembru 2007., u dva razdvojena incidenta, MySpace i Bebo su bili jedni od najzatrpanijih web sajtova sa reklamama u vidu banera koji su u sebi imali instalacijuju Trojanskog konja namenjenog Windows korisnicima. Zaražene reklame su postavljene od strane Right Media, mreže za reklamiranje u okviru Yahoo-a.
U Decembru su Google i Orkut bili „okupirani“ sa JS/Adrecl-A crvom koji je zarazio preko 670.000 korisnika. Dok je Secret Crush aplikacija na Facebook-u, pozivala dnevno preko 50.000 korisnika na otkrivanje ko je od njihovih prijatelja potajno zaljubljen u njih. Da bi otkrili tu veliku „tajnu“ ko je taj zaljubljeni prijatelj, korisnici su morali da pozovu minimum još 5 osoba da instaliraju ovu aplikaciju kako bi otkrili odgovor. Međutim, prilikom instalacije ove aplikacije, korisnici nisu otkrivali nikakvu misteriju. Jednostavno su redirektovani na eksterne web sajtove koji su pozivali posetioce da preuzmu adware koji se prezentovao u vidu pop-up reklame.

Države naručioci sajber kriminala

2007. je bila prepoznata i po međusobnom optuživanju država jedna protiv druge za plasiranje sajber kriminala. Na primer, u Aprilu 2007 je nastupila velika distribucija denial-of-service napada usmerenih na web sajtove Estonijskog predsednika, banaka, škola. Ovaj napad je navodno osmislio Kremlj nakon odluke Estonije da ukloni statuu Sovjetskog ratnika koja je bila postavljena u ime sećanja na Drugi Svetski rat. Estonijski ministar odbrane, Jaak Aaviksoo, je optužio Rusku vladu za lansiranje ovog napada i uputila je zahtev u NATO da napravi izmene u protokolu i prepozna ovakvu vrstu napada kako jednu od formi vojnog napada. Međutim, nisu pronađeni dokazi koji bi povezali Kremlj sa ovim napadom.
U drugom primeru iz Decembra 2007. objavljeno je da je MI5, Britanska tajna služba, prosledila tajno pismo upućeno na adrese 300 Izvršnih direktora, upozoravajući ih da su napadnuti od strane „Kineskih državnih organizacija“. Prema navodnim izveštajima, Kineska vlada je bila iza elektronske špijunaže Britanskih firmi, kako bi ostvarila prednost na tržištu.
Samo tri meseca pre toga, mediji su objavili da je Kineska vojska odgovorna za sajber napade na kompjuterski sistem Pentagona, tačnije na kancelariju ministra odbrane Roberta Gates-a. Dokaza opet nije bilo. Neotkriveni izvor je tvrdio da je Peope’s Libertation Army (PLA) odgovorna za pripremu i pokušaj izvršavanja ovog napada. Britanska i Nemačka vlada su takođe izjavile da su bile predmet sličnih akcija hakera PLA.
Septembarska istraživanja Sophos-a ukazuju da 45% ispitanika smatra da je Kina odgovorna za napade ovog tipa, 36% je odgovorilo da je nemoguće znati tačan odgovor na to pitanje, dok je 19% odgovorilo da su za napade odgovorne neke osobe koje se lažno predstavljaju da su iz Kine. Kineski ministar za inostrane poslove, energično je poricao ove optužbe, tvrdeći da se Kina snažno bori protiv sajber kriminala.

Zakon i red

U proteklih 12 meseci 2007. Zabeležen je napredak u borbi protiv sajber kriminala. Na primer:
· 27-ogodišnji Christopher Smith je osuđen na 30 godina zatvora za online prodaju medikamenata bez recepta u vrednosti od preko milion dolara;
· 21-ogodišnji Jacob Vincent Green-Bressler je osuđen na 7 godina zatvora zbog prodaje ukradenih personalnih podataka (PIN-ova, lozinki, brojeva socijalnog osiguranja) hakerima;
· Kineske vlasti su osudile na 2 do 5 godina zatvora grupu koja je kreirala i prodavala Fujacks crva (crva koji se prikazivao u vidu Pandi koje drže sveće, a koji je krao username i šifre korisnika online igrica). Ove podatke su dalje prodavali na crnom tržištu;
· James R Schaffer i Jeffrey A Kilbride su osuđeni na po 5 godina zatvora i kažnjeni sa kaznom od 100.000$ za slanje slika sa pornografskim sadržajem. Tokom sprovođenja tih nelegalnih aktivnosti, James i Jeffrey su ostvarili više od 2 miliona dolara i td.
Ovakvih primera je bilo puno u 2007. godini, i veruje se da će ove akcije imati trend rasta u 2008. shodno rastu sajber kriminala.


Izvor: PCmagazin