Οι μέθοδοι που ακολουθούν οι ψηφιακοί εγκληματίες γίνονται όλο και πιο εξευγενισμένες, επιχειρώντας να αποκτήσουν πρόσβαση σε επιχειρηματικές εφαρμογές και δεδομένα χωρίς να γίνουν αντιληπτοί.

Πηγή: ΙΒΜ, Επιμέλεια: Γιώργος Φετοκάκης, gfetokakis@boussias.com

Οι επιχειρήσεις και οι οργανισμοί ανέφεραν μέσα στο πρώτο εξάμηνο του 2013 σχεδόν 4.100 νέα περιστατικά ασφάλειας. Αν αυτή η τάση συνεχιστεί, τότε μέχρι το τέλος του έτους οι παραβιάσεις ασφαλείας θα αγγίξουν σχεδόν τα 8.200 νέα περιστατικά του περασμένου έτους, όπως προβλέπει η IBM στη μελέτη της “X-Force 2013 Mid-Year Trend and Risk Report”.

Το θετικό στην προκειμένη περίπτωση είναι, ότι το 2013 ο αριθμός των νέων περιστατικών ασφαλείας δεν άλλαξε σχεδόν καθόλου σε σχέση με το 2012. Κατά τα άλλα η κατάσταση στον τομέα της IT ασφάλειας παραμένει θολή. Για παράδειγμα, οι ειδικοί ασφάλειας της IBM ανακάλυψαν ότι σχεδόν το 46% των plug-ins που αναπτύσσουν τρίτοι κατασκευαστές για τα συστήματα CMS (Content Management Systems) είναι ευάλωτα σε επιθέσεις. Τα plug-ins προσφέρουν στους επιτιθέμενους μια ιδανική κερκόπορτα, καθώς γνωστά κενά ασφαλείας σε αυτά δεν αντιμετωπίζονται με patches.

Αυτό εξηγεί γιατί, σύμφωνα με την έρευνα, μέσα στο πρώτο εξάμηνο του έτους το 31% των κυβερνοεπιθέσεων αφορούσαν εφαρμογές του Web, στις οποίες περιλαμβάνονται και τα συστήματα διαχείρισης περιεχομένου (CMS). Βέβαια, ο αριθμός των επιθέσεων αυτού του είδους έχει υποχωρήσει σαφώς σε σχέση με πέρσι, όταν το σχετικό ποσοστό ανέρχονταν στο 42%.

Η προτιμώμενη μέθοδος επίθεσης στις εφαρμογές του Web είναι το Cross-Site-Scripting (XSS), με τα SQL Injections να ακολουθούν. Ο αριθμός των επιθέσεων αυτού του είδους το πρώτο εξάμηνο του 2013 ξεπερνούσε το 50% και βρίσκονταν, έτσι, στα ίδια επίπεδα με πέρσι. Σύμφωνα με τη μελέτη της IBM, το 28% των επιθέσεων έχουν στόχο, μέσω της εκμετάλλευσης των κενών ασφαλείας, να αποκτήσουν πρόσβαση στα συστήματα backend και ακολούθως να τα καταλάβουν.

Από γεωγραφικής απόψεως, τα περισσότερα malware προέρχονται από τις ΗΠΑ. Εκεί «φιλοξενείται» το 42% όλων των καταχωρημένων κακόβουλων εφαρμογών. Με μεγάλη διαφορά ακολουθεί στη δεύτερη θέση η Γερμανία με 10% περίπου, ακολουθούμενη από την Κίνα (5,9%) και τη Ρωσία (4,5%). Εντείνονται οι επιθέσεις στα mobile apps και στο iOS Οι εφαρμογές και τα λειτουργικά συστήματα για φορητές συσκευές μπήκαν περισσότερες φορές φέτος στο στόχαστρο από ότι παλιότερα.

Παρατηρείται μια σημαντική αύξηση αυτού του είδους των επιθέσεων σε σχέση με το 2009. Αυτό οφείλεται στο γεγονός ότι όλο και περισσότεροι εργαζόμενοι διεκπεραιώνουν τα καθήκοντά τους μέσω smartphones ή tablets. Ο αριθμός των επιθέσεων που στοχεύουν σε φορητές συσκευές ανέρχεται, σύμφωνα με τα περιστατικά που ανέλυσε η IBM, στο 4%. Το 2009 το αντίστοιχο ποσοστό δεν ξεπερνούσε το 1%.

Μια ενδιαφέρουσα λεπτομέρεια είναι ότι το πρώτο εξάμηνο του 2013 σχεδόν το 30% των κυβερνοεπιθέσεων σε εφαρμογές και λειτουργικά συστήματα για φορητές συσκευές έγιναν μετά από τη δημοσίευση στο Internet πληροφοριών και συζητήσεων για κενά ασφαλείας που εντοπίστηκαν σε αυτές. Υπάρχει μια σαφής προτίμηση στις συσκευές που βασίζονται στο Android, όπως αναφέρεται στη μελέτη της IBM, μια διαπίστωση που έρχεται να επιβεβαιώσει τα ευρήματα άλλων αντίστοιχων μελετών.

Αυτό εξηγεί γιατί ο αριθμός του σχετιζόμενου με το Android malware αυξήθηκε σε σχέση με πέρσι κατά 600%, με αποτέλεσμα σήμερα ο συνολικός αριθμός των κακόβουλων εφαρμογών να αγγίζει τις 276.000 (σύμφωνα με μια πρόσφατη ανακοίνωση της εταιρείας παροχής λύσεων ασφάλειας Trend Micro, ο αριθμός των «μολυσμένων» apps για τις φορητές συσκευές Android έχει ξεπεράσει ήδη το ένα εκατομμύριο). Αλλά και οι μέθοδοι εκδήλωσης επιθέσεων, είτε πρόκειται για σταθερά είτε για φορητά συστήματα, γίνονται όλο και περισσότερο εκλεπτυσμένες. Για παράδειγμα, το malware του Android με την ονομασία “Chuli”, το οποίο ανακαλύφθηκε τον Απρίλιο του 2013, διεξάγει εξαιρετικά στοχευμένες επιθέσεις κατά ενός μεμονωμένου ατόμου ή μιας ομάδας.

Το Chuli συνδέεται με την υπηρεσία SMS του Android, παρακολουθεί τα εισερχόμενα μηνύματα και τα στέλνει στο Command-and-Control-Server (C&C) ενός botnet. Ταυτόχρονα στέλνονται στον ίδιο server το ιστορικό SMS και κλήσεων, πληροφορίες επαφών και γεωγραφικής θέσης. Ενα ιδιαίτερα πονηρό malware είναι το Android Trojan με την ονομασία “Obad“. Αυτό δεν περιορίζεται στην αποστολή δεδομένων και σε SMS υψηλής χρέωσης, αλλά κρύβεται με έναν έξυπνο τρόπο, αφού έχει εμφυτεύσει τον κώδικά του και έχει αποκτήσει τα δικαιώματα ενός administrator. Επιπλέον, το Obad έχει τη δυνατότητα να εξαπλωθεί ακόμα και μέσω του Bluetooth.

Σε έξαρση και οι επιθέσεις τύπου “Watering-Hole”
Η τάση που παρατηρείται είναι οι ψηφιακοί εγκληματίες να στοχεύουν όλο και περισσότερο σε κεντρικούς, στρατηγικούς, στόχους όπως είναι, για παράδειγμα, τα sites ειδικού ενδιαφέροντος (Water Holes), τα οποία επισκέπτονται συχνά τα υποψήφια θύματα-στόχοι. Οι κατονομαζόμενες ως “Watering Hole” επιθέσεις βάζουν στο στόχαστρό τους τις σελίδες μεγάλων επιχειρήσεων από τις βιομηχανίες τροφίμων, ηλεκτρονικών, ψυχαγωγίας, όπως και τις αυτοκινητοβιομηχανίες. Σε αυτές τις επιθέσεις γίνεται εκμετάλλευση κατά κανόνα ευπαθών σημείων του browser, ώστε να εμφυτευτούν Trojans και επιζήμιο λογισμικό στα επιλεγμένα sites.

Αν η επίθεση στεφθεί με επιτυχία, το αποτέλεσμα συνήθως είναι να πέσουν σε «ακατάλληλα» χέρια ευαίσθητα προσωπικά δεδομένων πελατών. Εκτός από αυτό, οι εταιρείες-θύματα δέχονται ένα σημαντικό χτύπημα στο image τους και μπορεί να υποστούν νομικές συνέπειες. Αξιοσημείωτο είναι το γεγονός, ότι στα θύματα επιθέσεων τύπου “Watering Hole” περιλαμβάνονται εταιρείες όπως είναι η Apple και το Facebook. Και οι δύο εταιρείες ανέφεραν επιθέσεις σε σελίδες τους που σχετίζονται με το developing εφαρμογών. To 16,5% των κακόβουλων links στο Internet τα συναντάμε σε τέτοιες σελίδες (ή blogs) ειδικού ενδιαφέροντος. Βέβαια, το μεγαλύτερο ποσοστό αυτών των links (23%) αφορά σελίδες ροζ περιεχομένου.

Περισσότερο ασφάλεια στο Internet
Οι ειδικοί ασφάλειας της IBM δεν αναλύουν μόνο το status-quo των επιθέσεων malware σε εταιρείες και οργανισμούς, αλλά παρέχουν και χρήσιμες συμβουλές για την προστασία των web servers και εφαρμογών του Web. Οπως:

  • «Σκληρύνετε» τους servers (Server Hardening): Απομακρύνετε εκείνα τα συστατικά και λειτουργίες από το λειτουργικό σύστημα και το λογισμικό, τα οποία δεν είναι απαραίτητα για την εκπλήρωση μιας εργασίας. Κατευθυντήριες γραμμές γι’ αυτό δίνει το «Guide to General Server Security», το οποίο δημοσιεύει στις ΗΠΑ το National Institute of Standards and Technology (NIST).
  • Κρατάτε ενημερωμένο το λογισμικό και τα Web apps. Oι εφαρμογές του Web και τα προγράμματα, τα οποία έχουν εγκατασταθεί στους servers, πρέπει οπωσδήποτε να είναι ενημερωμένα. Εταιρείες που αναπτύσσουν web apps “in-house” μπορούν να αποκτήσουν τις σχετικές κατευθυντήριες γραμμές από το Open Web Application Security Project (OWASP).
  • Προστατεύτε τους servers και τους σταθμούς εργασίας με ισχυρά passwords. Πρόσθετη πηγή κινδύνου μπορεί να αποτελέσει η υποκλοπή των στοιχείων πρόσβασης, μέσω της δήλωσης ενός administrator ή ενός χρήστη σε ένα site, στην περίπτωση που αυτή γίνεται μέσα από ένα «μολυσμένο» σταθμό εργασίας. Αυτό σημαίνει ότι και οι σταθμοί εργασίας πρέπει να «σκληρύνουν». Στις βέλτιστες πρακτικές περιλαμβάνεται και η χρήση ιδιαίτερα ισχυρών κωδικών πρόσβασης.

Για τη σύνταξη της μελέτης X-Force, η IBM παρακολουθεί εδώ και 14 χρόνια το Web και αξιολογεί κάθε μήνα σχεδόν 150 εκατομμύρια νέες σελίδες. Εως σήμερα έχουν αναλυθεί και αξιολογηθεί σχεδόν 20 δισεκατομμύρια σελίδες του Web. H ομάδα που συντάσσει την έκθεση ερευνά, αναλύει, παρακολουθεί και καταγράφει ένα μεγάλο εύρος απειλών ασφαλείας, ευάλωτων σημείων, όπως και τις τελευταίες τάσεις και μεθόδους που χρησιμοποιούν οι ψηφιακοί εγκληματίες.