Raport wskazuje na stale zmieniającą się motywację hakerów, co ma związek z rosnącym znaczeniem grup „haktywistów”, takich jak Anonymous i LulzSec, które przeprowadzają dobrze zorganizowane ataki w odwecie za działania postrzegane przez nich jako niekorzystne. Oprócz zmiany motywacji, dokonuje się postęp w zakresie technik ataków, które wskutek naruszenia bezpieczeństwa coraz częściej kończą się powodzeniem. W efekcie przedsiębiorstwa i instytucje rządowe mają do czynienia z nowymi wyzwaniami w obszarach oceny i eliminowania ryzyka.

Dawniej liczba ujawnianych rocznie podatności była wskaźnikiem aktualnego stanu bezpieczeństwa, ułatwiającym przedsiębiorstwom i instytucjom wyznaczenie priorytetów obrony. Z raportu HP wynika, że obecnie sama liczba ujawnianych luk nie jest miarodajnym wskaźnikiem sytuacji w obszarze bezpieczeństwa. Pomimo stale spadającej liczby nowo ujawnionych luk, występuje duża liczba podatności nieujawnionych, nieznanych szerzej w branży bezpieczeństwa.

 „Aby ochronić przedsiębiorstwa i instytucje przed różnego rodzaju atakami, HP powołał  międzynarodowy zespół ekspertów w dziedzinie bezpieczeństwa, którzy poszukują nieujawnionych podatności” — powiedział Michael Callahan, wiceprezes ds. światowego marketingu produktów i rozwiązań, dział Enterprise Security Products, HP. „Informacje uzyskane dzięki tym badaniom są wykorzystywane przy opracowywaniu rozwiązań HP służących do zabezpieczenia przedsiębiorstw. Staramy się w ten sposób prewencyjnie zmniejszać ryzyko”. 

Nowe okoliczności powstawania luk w zabezpieczeniach

Od 2006 r. liczba nowo ujawnianych luk w zabezpieczeniach aplikacji komercyjnych powoli spada i w 2011 r. była mniejsza o prawie 20% w porównaniu z poprzednim rokiem. Jednak z raportu wynika, że spadek ten nie oznacza zmniejszenia ryzyka.

Spadek ten jest spowodowany kilkoma czynnikami, między innymi pojawieniem się czarnego rynku wymiany informacji o lukach w zabezpieczeniach.  Ponadto rozpowszechnienie się aplikacji internetowych tworzonych na zamówienie, takich jak sklepy internetowe, otworzyło pole dla wyjątkowych, ukierunkowanych ataków, których wykrycie i wyeliminowanie wymaga dużej wiedzy.

Oto najważniejsze wnioski z raportu:

• Chociaż liczba doniesień o nowych lukach w zabezpieczeniach spada, liczba ataków w drugim półroczu 2011 wzrosła ponad dwukrotnie (wg pomiarów systemów zapobiegania włamaniom HP TippingPoint).


• Prawie 24% wykrytych w 2011 r. podatności w aplikacjach komercyjnych to luki o stopniu istotności 8-10. Takie luki mogą prowadzić do zdalnego wykonania kodu, co jest najbardziej niebezpiecznym rodzajem ataku.


• Ok. 36% wszystkich podatności występuje w komercyjnych aplikacjach internetowych.


• Ok. 86% aplikacji internetowych jest podatnych na atak typu „injection”, tzn. polegający na uzyskaniu przez hakera dostępu za pośrednictwem serwisu do jego wewnętrznej bazy danych.


• W 2011 r. nadal były popularne zestawy narzędziowe ułatwiające przeprowadzenie ataku z wykorzystaniem określonej luki, (tzw. exploit toolkit), co wynika z dużej skuteczności takiej metody. Takie „zestawy do ataków”, sprzedawane w sieci, umożliwiają hakerom dostęp to systemów informatycznych przedsiębiorstw i kradzież poufnych danych. Na przykład zestaw Blackhole Exploit Kit, używany przez większość przestępców internetowych, uzyskał pod koniec listopada 2011 r. wskaźnik skutecznego infekowania wynoszący ponad 80%, co jest niezwykle wysoką wartością.


• W celu zwalczania zagrożeń bezpieczeństwa, HP oferuje platformę HP SIRM (Security Intelligence and Risk Management — analiza danych i zarządzanie ryzykiem w zakresie bezpieczeństwa). HP SIRM umożliwia analizę środowisk tradycyjnych, mobilnych i opartych na przetwarzaniu w chmurze, dzięki czemu pozwala na adaptowanie środków obrony w zależności od specyficznych zagrożeń występujących w danej organizacji. 

Metodyka

Cyber Security Risks Report  jest publikowany od 2009 r. w cyklu półrocznym przez HP DVLabs — wysokiej klasy ośrodek badawczy zajmujący się analizą i wykrywaniem podatności w systemach IT. HP DVLabs analizuje dane dotyczące wykorzystania podatności, gromadzone z tysięcy zainstalowanych systemów HP TippingPoint. Dane są następnie korelowane z informacjami z następujących źródeł:

• Zero Day Initiative — realizowany pod nadzorem HP DVLabs program badawczy mający na celu podnoszenie poziomu bezpieczeństwa poprzez rozpoznawanie wad oprogramowania umożliwiających ataki i naruszenia bezpieczeństwa.


• Open Source Vulnerability Database —  niezależna baza danych oparta na modelu open source, utworzona i wykorzystywana przez środowisko specjalistów w zakresie luk w zabezpieczeniach.


• Dane nt. aplikacji internetowych pochodzące z grupy ds. badań bezpieczeństwa internetowego (Web Security Research Group) w HP Fortify Application Security Center — ośrodku, który ułatwia specjalistom ds. bezpieczeństwa i zapewnienia jakości oraz programistom zabezpieczanie aplikacji internetowych w przedsiębiorstwach, a także w działach HP Software Professional Services i HP Fortify on Demand.

Dane z HP DVLabs są także przekazywane do HP Information Security Pulse — bezpłatnej aplikacji mobilnej, która umożliwia specjalistom ds. bezpieczeństwa informatycznego monitorowanie w czasie rzeczywistym aktualnych tendencji w zakresie ataków internetowych. Aplikacja ta jest obecnie dostępna na platformę HP webOS, a wkrótce zostanie udostępniona także na urządzenia z systemami Apple iOS oraz Android.

• W dniach 4–7 czerwca w Las Vegas odbędzie się jedna z najważniejszych konferencji dla klientów HP pod nazwą HP Discover.


• Doroczna konferencja poświęcona bezpieczeństwu przedsiębiorstw pod nazwą HP Protect odbędzie się w dniach 10–12 września w Nashville w stanie Tennessee.

„Piętnaście lat w tej samej branży to bardzo długo. Z drugiej strony - możecie mi wierzyć lub nie - ale ja nadal kocham to, co robię. Uwielbiam nasz zespół i pracę, którą wykonujemy. Przez te 15 lat pracowaliśmy 24 godziny na dobę, analizując i zwalczając wszystkie rodzaje zagrożeń IT, które przeszły w tym czasie znaczną ewolucję – od cyberwandalizmu, poprzez cyberprzestępczość aż do cyberwojny. Współpraca w celu zwalczania zagrożeń cyfrowych ma dzisiaj większe znaczenie niż kiedykolwiek wcześniej. Niedawne ataki, takie jak te przeprowadzone przy użyciu Stuxneta, Duqu oraz Flame’a, pokazały, jak bardzo podatne na zagrożenia militarne i terrorystyczne są infrastruktury IT. Robimy jednak wszystko, co w naszej mocy, aby zapobiec potencjalnym katastrofom, jakie mogłyby spowodować tego rodzaju ataki” – powiedział Jewgienij Kasperski, dyrektor generalny i współzałożyciel Kaspersky Lab. 

Dzięki technologiom opracowanym przez wewnętrznych ekspertów firmy produkty Kaspersky Lab są tworzone od podstaw, zapewniając bezkonfliktowe i wydajne działanie.    Rozpoczynając działalność w 1997 r., Kaspersky Lab zatrudniał jedynie 20 pracowników – dzisiaj jest największą prywatną firmą z branży bezpieczeństwa na świecie i zatrudnia ponad 2 400 osób w blisko 200 krajach.    

Straszna 15-stka

• 1986 – pojawia się Brain, pierwszy wirus komputerowy. Brain rozprzestrzeniał się poprzez zapisywanie swojego kodu w sektorze rozruchowym dyskietek.


• 1988 – robak Morris infekuje około 10% komputerów podłączonych do internetu (około 6 000 maszyn).


• 1992 – pojawia się Michelangelo – pierwszy wirus, który wywołuje powszechne zainteresowanie mediów.


• 1995 – pojawia się Concept – pierwszy makrowirus infekujący dokumenty programu MS Word.


• 1999 – Melissa rozpoczyna erę masowych wysyłek szkodliwego oprogramowania odpowiedzialnego za ogromne globalne epidemie.   


• 2003 – pojawia się Slammer, robak bezplikowy odpowiedzialny za masową epidemię na całym świecie. 


• 2004 – pojawia się Cabir: pierwszy szkodnik typu „Proof-of-Concept” dla Symbiana; Cabir infekował telefony komórkowe przez Bluetootha.


• 2006 – pojawia się Leap, pierwszy wirus dla systemu Mac OS X.


• 2007 – robak Storm (znany również jako Zhelatin) zapoczątkowuje wykorzystywanie rozproszonych serwerów, za pomocą których cyberprzestępcy kontrolującą szkodliwe programy.


• 2008 – pojawia się Koobface, pierwszy szkodliwy program, który atakuje Facebooka.


• 2008 – pojawia się Conficker, robak, który spowodował jedną z największych epidemii w historii, atakując sieci firmowe, użytkowników indywidualnych oraz rządy w ponad 200 krajach.  


• 2010 – pojawia się FakePlayer, SMS-owy trojan dla Androida.


• 2010 – pojawia się Stuxnet, wykorzystywany do przeprowadzania ataków ukierunkowanych na systemy SCADA (Supervisory Control and Data Acquisition), sygnalizując nadejście ery cyberwojen.


• 2011 – pojawia się Duqu, wyrafinowany trojan, który gromadzi informacje o swoich ściśle wyselekcjonowanych celach. 


• 2012 – pojawia się Flame, wysoce wyrafinowany, szkodliwy program, który jest aktywnie wykorzystywany jako cyberbroń w atakach na obiekty znajdujące się w różnych państwach.

Celem tych badań jest analiza aktualnych trendów w cyberprzestępczości oraz ich prognozowanie na najbliższych osiem lat i dalszą przyszłość.

„Cybeprzestępczość rozwija się równie szybko, jak technologia. Rozwój technologii postępuje w takim tempie, że do powszechnego użytku wchodzą dziś urządzenia, których niedawno nawet sobie nie wyobrażaliśmy.  Ponadto przestępcy wciąż nas zaskakują i szybko przemieszczają po całym świecie.  Udało się nam jednak skupić przy jednym stole siły, które mogą to zmienić” – mówi dr Baines z Europolu, która będzie dyrektorem Projektu 2020. 

Zagrożenia

Od dwóch lat mamy do czynienia z uprzemysłowieniem cyberprzestępczości. Powstały całe infrastruktury wspierające dostawców usług przestępczych – od hostingu stron internetowych po generowanie danych weryfikacyjnych kart kredytowych. W związku z tym, że w sieci znajduje się obecnie ogromna ilość informacji o nas wszystkich, znacznie wzrosła również liczba ukierunkowanych ataków mających na celu wyłudzenie danych poufnych.

Europol oczekuje, że scenariusze zagrożeń będą się szybko rozwijać. Użytkownicy usług w chmurze nie zawsze wiedzą, komu powierzają swoje dane. Internet Rzeczy (ang. Internet of Things) może natomiast spowodować nasilenie się ataków na urządzenia medyczne i najważniejsze komponenty infrastruktury.

Projekt 2020

Projekt 2020 to międzynarodowa inicjatywa, której celem jest gromadzenie i analizowanie danych dotyczących rozwoju cyberprzestępczości.  Opracowane w jej ramach informacje i zalecenia zwiększą świadomość rządów, firm i obywateli oraz ułatwią im obronę przed zagrożeniami. Projekt przewiduje również publikację rekomendacji i artykułów przeglądowych na temat nowych scenariuszy zagrożeń oraz stworzenie mechanizmu monitorowania, który pomoże organizacjom walczącym z cyberprzestępczością.

Komisja Europejska powierzyła niedawno Europolowi funkcję swojego węzła informacyjnego w dziedzinie cyberprzestępczości i zleciła mu utworzenie Europejskiego Centrum ds. Walki z Cyberprzestępczością (European Cybercrime Centre – EC3).  W badaniach weźmie również udział policja londyńskiego City oraz Europejska Agencja Bezpieczeństwa Sieci i Informacji (European Network and Information Security Agency – ENISA).

„Podczas gdy w ubiegłym roku Trend Micro konsekwentnie współpracowało z władzami, przyczyniając się do rozbicia kilku siatek cyberprzestępczych, przestępcy udoskonalali swoje metody współpracy i ataków, co przyspieszyło rozwój «branży». Trzeba przyznać, że cyberprzestępczość przeżywa boom, i wszyscy musimy zdawać sobie z tego sprawę” – mówi Rik Ferguson, dyrektor ds. komunikacji i badań nad bezpieczeństwem w firmie Trend Micro.

Ataków było o 27% więcej w porównaniu z poprzednim kwartałem. W swoim raporcie Trend Micro zwróciło również uwagę na coraz bardziej zaawansowane ataki wymierzone w użytkowników indywidualnych, określane skrótem ATS (Automated Transfer Systems – systemy automatycznych przelewów). Duże organizacje też nie są bezpieczne. Kampania IXSHE pokazała, że cyberprzestępcy udoskonalili taktykę uzyskiwania dostępu do systemów wielkich międzynarodowych korporacji - włamują się oni do takich systemów w sposób niezauważalny.

Cyberprzestępcy oczywiście nie ograniczają się do ataków ukierunkowanych. Nadal chętnie zapuszczają się na szerokie wody, organizując ataki na dużą skalę z wykorzystaniem nowych, coraz groźniejszych metod. Trojany blokujące komputery rzekomo w imieniu policji oraz zestawy eksploitów Blackhole wciąż atakują komputery stacjonarne, a na nowych platformach, takich jak Android, mamy do czynienia z eksplozją szkodliwych aplikacji na niespotykaną dotąd skalę. Media społecznościowe nie stanowią wyjątku. Cyberprzestępcy szczególnie upodobali sobie portal Pinterest, wykorzystując swoje wypróbowane sztuczki w tej nowej, bardzo modnej ostatnio społeczności.

Niezależnie od form i metod ataków, cel jest zawsze ten sam: zdobycie danych osobowych i informacji finansowych.

Najważniejsze tendencje

• Wykryto 25 000 szkodliwych aplikacji wymierzonych w system Android, co oznacza wzrost o 317% w porównaniu z liczbą przypadków odnalezionych w pierwszym kwartale bieżącego roku. Można to powiązać z faktem, że według danych Trend Micro zaledwie jedna piąta urządzeń z systemem operacyjnym Android ma zainstalowane aplikacje zabezpieczające.


• Pojawiło się oprogramowanie szantażujące (ransomware), które wykrywa lokalizację geograficzną ofiary, blokuje jej system i próbuje zmusić ją do ujawnienia danych osobowych na rzekome żądanie lokalnej policji.


• Przestępcy używają bardziej zaawansowanych narzędzi, takich jak systemy automatycznych przelewów, które umożliwiają im kradzież informacji bankowych w czasie, gdy użytkownik nie korzysta z internetu.


• Ataki z wykorzystaniem sprawdzonych metod, takich jak zestaw eksploitów Blackhole, mają obecnie formy zorganizowane, co zapewnia wsparcie techniczne przestępcom, którzy chcą gromadzić dane finansowe użytkowników.


• Szkodliwe oprogramowanie IXESHE zaatakowało głównie firmy w Azji Wschodniej,  a liczba serwerów C&C (command and control) na Tajwanie dorównała już ich liczbie w Stanach Zjednoczonych.


• Pinterest stał się najczęściej atakowaną platformą społecznościową. Pięć pierwszych miejsc na liście głównych wabików stosowanych przez cyberprzestępców we wszystkich sieciach społecznościowych zajmują następujące tematy: gra Diablo 3, aplikacja Instagram Android oraz gry Angry Birds Space, Olimpiada London 2012 i Tybet.

Według Danych Zbiorczych Panda Security, średni odsetek zainfekowanych komputerów osobistych na całym świecie wynosi 31,63% i jest mniejszy o blisko cztery punkty procentowe niż odsetek odnotowany w pierwszym kwartale.  Korea Południowa znalazła się na pierwszym miejscu tej listy (z 57,30% zainfekowanych komputerów) po raz pierwszy w historii, po odnotowaniu wzrostu odsetka zainfekowanych komputerów w stosunku do pierwszego kwartału o blisko trzy punkty procentowe.

• Drugie miejsce na liście zajęły Chiny (51,94%), a następne Tajwan i Boliwia.

Najbezpieczniej jest w...

Najwyższe miejsca na liście krajów o najniższym odsetku zainfekowanych komputerów zajmują kraje europejskie: wśród dziesięciu pierwszych krajów dziewięć to kraje europejskie, a jedynym wyjątkiem jest Urugwaj. Pierwsze miejsce na tej liście zajmuje Szwajcaria (18,40% zainfekowanych komputerów), a drugie Szwecja (19,07%). Są to jedyne kraje, w których odsetek zainfekowanych komputerów jest mniejszy niż 20%. Norwegia, Wielka Brytania, Urugwaj, Niemcy, Irlandia, Finlandia, Węgry i Holandia to pozostałe osiem krajów o najniższym odsetku komputerów zainfekowanych złośliwym oprogramowaniem.

• Polska wg raportu ma 35,74% zainfekowanych komputerów co plasuje kraj na dziesiątym miejscu rankingu krajów o najwyższym odsetku zainfekowanych komputerów.

Statystyki dotyczące złośliwego oprogramowania

• Trojany w dalszym ciągu są odpowiedzialne za większość nowych zagrożeń, które pojawiły się w analizowanym kwartale (78,92%); robaki zajęły drugie miejsce (10,78%), a wirusy - trzecie miejsce (7,44%). Ostatnie miejsce zajęły programy typu adware/spyware (2,69%). 

• Co ciekawe, wirusy w dalszym ciągu tracą na znaczeniu, co potwierdza ich spadek z drugiego miejsca w Raporcie Rocznym za rok 2011 (14,24%) na trzecie miejsce (7,44%) w analizowanym kwartale. Robaki utrzymały drugie miejsce i odnotowały wzrost z 9,30% w pierwszym kwartale b.r. do blisko 11% w drugim kwartale b.r.

• Pod względem liczby infekcji, których przyczyną jest każda kategoria złośliwego oprogramowania, trojany, odpowiedzialne za rosnącą liczbę infekcji (76,18% w analizowanym kwartale i 66,30% w kwartale poprzednim), ponownie zajmują pierwsze miejsce. Drugie miejsce zajmują wirusy (7,82%), a miejsce trzecie - robaki (6,69%).

W swoim raporcie PandaLabs zwraca uwagę na kilka najważniejszych incydentów dotyczących bezpieczeństwa, jakie miały miejsce w drugim kwartale, a mianowicie na rozpowszechnienie i ewolucję tak zwanego „police virus” od scareware do ransomware, a także na wirus szpiegowski Flame, którego odkrycie stało się jednym z najważniejszych wydarzeń roku. 

W raporcie omówiono także najnowsze przypadki przestępczości komputerowej, takie jak atak hakerów na użytkowników Wikipedii, wykorzystanie dużej luki w irańskim systemie bankowym oraz nowe sposoby zwalczania kradzieży danych przez organa ścigania. Raport zawiera także informacje o ostatnich atakach na telefony komórkowe oraz portale społecznościowe, o operacjach szpiegowskich pomiędzy USA a Jemenem oraz o tradycyjnym konflikcie informatycznym pomiędzy Koreą Północną a Koreą Południową.

Raport kwartalny PandaLabs można pobrać ze strony http://press.pandasecurity.com/press-room/reports/.

Statystyki jednoznacznie pokazują, że cyberprzestępcy coraz bardziej koncentrują się na rozwoju szkodliwych programów dla urządzeń mobilnych.  

Klasyfikacja szkodliwych programów dla Androida 

• Prawie połowa (49%) szkodliwych plików atakujących urządzenia z Androidem to wielofunkcyjne trojany kradnące dane z telefonów (kontakty, adresy e-mail, numery telefonów itd.), potrafiące pobierać dodatkowe moduły z serwerów kontrolowanych przez cyberprzestępców.   


• Jedną czwartą wykrytych szkodników dla Androida stanowią trojany SMS. Programy te kradną pieniądze z kont ofiar poprzez wysyłanie wiadomości SMS na numery o podwyższonej opłacie bez wiedzy i zgody właściciela smartfona. Kilka lat temu trojany te można było znaleźć jedynie w państwach byłego Związku Radzieckiego, w Azji Południowo-Wschodniej oraz w Chinach. Obecnie rozprzestrzeniają się na całym świecie: w drugim kwartale 2012 r. Kaspersky Lab chronił użytkowników w 47 państwach przed zagrożeniami wysyłającymi SMS-y na numery premium.    


• 18% zagrożeń dla Androida wykrytych w drugim kwartale bieżącego roku to backdoory, które umożliwiają szkodliwym użytkownikom uzyskanie pełnej kontroli nad zainfekowanym urządzeniem. Programy te są wykorzystywane do tworzenia botnetów złożonych z urządzeń mobilnych.      

• Trojany szpiegujące stanowią obecnie niewielki odsetek wszystkich zagrożeń dla Androida – zaledwie 2%. Z drugiej strony takie szkodniki są największym zagrożeniem dla użytkowników. Programy te „polują” na najcenniejsze dane, zapewniające cyberprzestępcom dostęp do kont bankowych użytkowników zainfekowanych urządzeń mobilnych.       

„W najbliższej przyszłości spodziewamy się nie tylko większej liczby szkodliwych programów, ale również skuteczniejszych i groźniejszych aplikacji atakujących Androida. Na podstawie aktualnych trendów należy spodziewać się, że cyberprzestępcy wkrótce skoncentrują się na bardziej spersonalizowanych atakach. Wykorzystywane będą głównie szkodliwe programy polujące na poufne dane umożliwiające kradzież pieniędzy z kart kredytowych użytkowników” – powiedział Jurij Namiestnikow, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.    Najlepszą metodą walki z cyberzagrożeniami mobilnymi jest instalacja aplikacji bezpieczeństwa, takiej jak Kaspersky Mobile Security. Rozwiązanie to nie tylko zapewnia niezawodną ochronę przed szkodliwymi programami, ale także  zabezpiecza dane w przypadku zgubienia lub kradzieży urządzenia.

• Pełna wersja raportu dotyczącego ewolucji cyberzagrożeń w II kwartale 2012 r. jest dostępna w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/analysis.html?newsid=715

Źródło: Kaspersky Lab