29 grudnia 2001

Podsumowanie roku 2001

Firmy produkujące oprogramowanie antywirusowe opracowały wiele nowych technologii oraz doprowadziły niemal do perfekcji istniejące mechanizmy umożliwiające wykrywanie i usuwanie niebezpiecznych programów. Mimo tych osiągnięć po raz kolejny zwiększyła się liczba użytkowników, którzy ucierpieli z powodu ataków wirusów.

Gwałtowny rozwój technologii informacyjnych (IT) posiada zarówno plusy jak i minusy. Z jednej strony technologie IT zwiększają efektywność komunikacji, wykonywania transakcji finansowych i mówiąc ogólnie mają bardzo pozytywny wpływ na rozwój biznesu. Jednak z drugiej strony coraz większa przystępność tych technologii przyciąga do komputerów nowych użytkowników, którzy w większości przypadków nie znają zasad bezpieczeństwa jakie obowiązują podczas korzystania z komputera. Z tego względu nawet najbardziej prymitywne wirusy mają otwartą furtkę i mogą wywoływać epidemie (było tak przykładowo z wirusem znanym jako "Kurnikova"). Jest to główny powód pogorszenia się sytuacji w dziedzinie ochrony antywirusowej.

W każdym miesiącu 2001 roku byliśmy świadkami epidemii wirusów dotykającej użytkowników komputerów na całym świecie. Należy wspomnieć, że epidemie te często były związane z "wdrażaniem" przez twórców wirusów nowych technologii penetracji systemów.

Oto lista najważniejszych wydarzeń roku 2001 dotyczących bezpieczeństwa antywirusowego:

  • bardzo szybkie rozprzestrzenianie się wirusów wykorzystujących dziury w zabezpieczeniach oprogramowania oraz systemów operacyjnych;
  • poczta elektroniczna oraz Internet pozostają najczęstszymi źródłami infekcji;
  • powstają wirusy wykorzystujące do rozprzestrzeniania się popularne oprogramowanie, takie jak: ICQ, Gnutella, MSN Messenger, IRC;
  • zwiększa się ilość wirusów działających w systemie operacyjnym Linux;
  • pojawiają się robaki internetowe rozprzestrzeniające się bez wykorzystywania plików;
  • dominacja robaków sieciowych działających w systemie Windows;
  • powoli zmniejsza się ilość wirusów skryptowych oraz makrowisusów.

Systemowe błędy w zabezpieczeniach

Dziura w zabezpieczeniach jest błędem umożliwiającym twórcy wirusa spenetrowanie komputera. Główne niebezpieczeństwo wynika z faktu, że wirusy takie najczęściej uruchamiają się automatycznie, bez wiedzy użytkownika. Przykładowo, aby komputer został zainfekowany robakiem "Nimda" wystarczy otworzyć podgląd zainfekowanej wiadomości. Z kolei robak "CodeRed" nie wymaga nawet tego - wirus ten przy użyciu Internetu wyszukuje "dziurawe" komputery i infekuje je.

Bardzo szerokie rozprzestrzenianie się robaków wykorzystujących dziury w zabezpieczeniach systemów operacyjnych oraz aplikacji było głównym wydarzeniem roku 2001 (przykłady takich robaków to: CodeRed, Nimda oraz BadtransII). Według statystyk firmy Kaspersky Lab robaki tego typu były odpowiedzialne za 55% infekcji, które miały miejsce w 2001 roku. Wynik ten przemawia za koniecznością stosowania reguł bezpieczeństwa antywirusowego. Twórcy wirusów na bieżąco śledzą i starają się wykorzystać każdą wykrytą lukę w zabezpieczeniach i jest to zrozumiałe. Dawniej tradycyjną metodą atakowania komputera było nakłonienie użytkownika do uruchomienia zainfekowanego pliku załączonego do wiadomości e-mail. Po wielu infekcjach użytkownicy zdali sobie sprawę z niebezpieczeństwa niesionego przez załączniki. Wielu z nich przestało je w ogóle otwierać prosząc nadawcę o wysłanie załączonych informacji w treści wiadomości. Biorąc to pod uwagę twórcy wirusów rozpoczęli poszukiwania nowej, skuteczniejszej metody infekowania komputerów. Z pomocą przyszły im coraz częściej wykrywane błędy i dziury w zabezpieczeniach aplikacji oraz systemów operacyjnych. W celu zapewnienia sobie zabezpieczenia przed "nową" generacją robaków konieczne jest wykorzystywanie programu Kaspersky Anti-Virus oraz instalowanie odpowiednich łat usuwających błędy w zabezpieczeniach. Łaty te udostępniane są przez producentów oprogramowania i można je pobierać bez żadnych opłat. Firma Kaspersky Lab zaleca zwrócenie szczególnej uwagi na łaty dla MS Windows, MS Outlook oraz MS Internet Explorer. Aby otrzymywać informacje o nowych łatach oraz błędach w zabezpieczeniach należy zapisać się na odpowiednią listę mailingową twórcy oprogramowania.

Poczta elektroniczna oraz Internet - główne źródła infekcji

Ilość wirusów atakujących poprzez pocztę elektroniczną wzrosła o 5% w porównaniu z rokiem 2000 i osiągnęła 90% wszystkich przypadków infekcji, które wystąpiły w roku 2001. Ponadto znacznie zwiększyła się ilość infekcji przeprowadzanych bezpośrednio poprzez Internet. Dawniej większość tego typu infekcji polegała na nakłonieniu użytkownika do pobrania ze strony zainfekowanego pliku. Teraz aby stać się posiadaczem wirusa wystarczy odwiedzić zainfekowaną stronę. Rok 2001 ujawnił także dziury w zabezpieczeniach popularnych komunikatorów internetowych, takich jak ICQ czy Instant Messenger. Są one instalowane na ogromnej liczbie komputerów co bardzo chętnie wykorzystują twórcy wirusów. Przykładowo, system wymiany danych "Gnutella" stał się ofiarą sieciowego robaka Mandragore.

Coraz więcej ataków na systemy Linux

Rok 2001 przyniósł również wirusy atakujące systemy działające pod kontrolą systemu operacyjnego Linux. Pierwszym tego typu szkodnikiem, wykrytym 19 stycznia był sieciowy wirus "Ramen". Ofiarą tego wirusa padło wiele sieci korporacyjnych, między innymi: NASA, Texas A&M University oraz Supermicro. "Powodzenie" tego wirusa zachęciło twórców tego typu oprogramowania czego rezultatem był wysyp klonów "Ramena" oraz nowych wirusów atakujących Linuksa. Praktycznie wszystkie wirusy działające w systemie Linux wykorzystują dziury w jego zabezpieczeniach. Wielu użytkowników tego systemu operacyjnego nie zdawało sobie sprawy z jego niedoskonałości. Nie zainstalowali oni odpowiednich łat umożliwiając nowym wirusom swobodne działanie. W tej chwili Linux wykorzystywany jest najczęściej jako system kontrolujący specjalizowane serwery. Z pewnością gdy system ten zacznie częściej zaglądać pod strzechy zainteresuje się nim wielu "programistów" i będziemy świadkami kolejnej fali nowych wirusów.

Robaki nie potrzebujące plików - kolejne wyzwanie dla przemysłu antywirusowego

Jedną z najbardziej nieprzyjemnych niespodzianek roku 2001 było pojawienie się nowego typu robaków ("CodeRed" oraz "BlueCode"), które mogą rozprzestrzeniać się i funkcjonować w systemach bez użycia plików. Wirusy takie obecne są tylko w pamięci zainfekowanego komputera i rozprzestrzeniają się w postaci specjalnych pakietów danych. Nowy rodzaj robaków stał się sporym problemem dla twórców programów antywirusowych, ponieważ tradycyjne technologie (skaner oraz monitor antywirusowy) nie były w stanie efektywnie stawić czoła takiemu zagrożeniu (bazują na przechwytywaniu operacji plikowych). Firma Kaspersky Lab jako pierwsza rozwiązała ten problem tworząc specjalny filtr antywirusowy, który w tle testuje wszystkie wychodzące oraz przychodzące pakiety danych i usuwa ewentualne wirusy. Globalna epidemia wywołana przez robaka CodRed (szacowana liczba komputerów zainfekowanych tym wirusem to 300000) potwierdziła efektywność nowego typu wirusów.

Robaki działające w systemie Windows obejmują prowadzenie

W roku 2001 nastąpiło przetasowanie na liście najczęściej występujących wirusów. W poprzednich latach prym w tej dziedzinie wiodły makrowirusy oraz wirusy skryptowe. Na początku roku 2001 sytuacja ta zaczęła się zmieniać - około 90% infekcji wywoływały robaki działające w systemie Windows. Powodu można się dopatrywać w opracowaniu przez twórców oprogramowania antywirusowego skutecznych metod walki z makrowirusami oraz z wirusami skryptowymi. Przykładowo, pierwszy moduł przechwytujący wirusy skryptowe - Script Checker - został zintegrowany z programem Kaspersky Anti-Virus w maju 2000 roku. Script Checker skutecznie odpierał wszystkie ataki różnych odmian wirusa LoveLetter (ILOVEYOU) bez konieczności uaktualniania antywirusowych baz danych. Ten zadziwiający rezultat został osiągnięty dzięki zastosowaniu algorytmów heurystycznych, których zadaniem była walka z nieznanymi wirusami skryptowymi. W celu ochrony systemów przed makrowirusami firma Kaspersky Lab stworzyła moduł Office Guard. W przeciwieństwie do tradycyjnych programów antywirusowych Office Guard nie wyszukuje sygnatur wirusów lecz symuluje i analizuje zachowanie makrowirusów oraz blokuje ich funkcjonowanie.

Rząd kontroluje przemysł antywirusowy?

W listopadzie 2001 roku pojawiły się informacje o koniu trojańskim stworzonym przez FBI w celu śledzenia podejrzanych. Był to klasyczny trojan (nazwany Magic Lantern), który przechwytywał wszystkie teksty wpisywane z klawiatury i kopiował je do ukrytego pliku.

3 grudnia rzecznik FBI Paul Bresson potwierdził stworzenie trojana Magic Lantern. Rząd Stanów Zjednoczonych zaapelował do twórców oprogramowania antywirusowego, aby nie umieszczali we własnych produktach procedur wykrywających trojana Magic Lantern. Firmy McAfee oraz Symantec już potwierdziły, że ich produkty nie będą wykrywały tego wirusa. Czy jest to początek przejmowania przez rząd kontroli nad przemysłem antywirusowym?

Przyszłość bezpieczeństwa w Internecie

Pogarszająca się sytuacja bezpieczeństwa w Sieci nakłania do pesymistycznych prognoz. Według firmy MessageLabs, przy utrzymującej się obecnej "popularności" robaków internetowych w roku 2013 każda wiadomość e-mail będzie zawierała wirusa.

Specjaliści twierdzą, że jedynym sposobem uniknięcia takiej sytuacji jest stworzenie równoległego, bezpiecznego Internetu. Według firmy Kaspersky Labs najlepszym rozwiązaniem może być wprowadzenie nowego sprzętu i oprogramowania wykorzystującego tylko sprawdzone i certyfikowane dane. Równie ważne będzie przydzielenie osobistego numeru identyfikacyjnego każdemu użytkownikowi Internetu.

Podsumowanie

Bieżące trendy pozwalają przewidzieć rozwój wirusów jaki może mieć miejsce w roku 2002. Niestety nic nie wskazuje, aby mogło być lepiej. Specjaliści z firmy Kaspersky Labs twierdzą, że w nadchodzącym roku będziemy świadkami jeszcze większej ilości epidemii. Jest to głównie zależne od rosnącej ilości użytkowników, których część może stać się twórcami wirusów, a reszta - ofiarami. Wzrośnie również ilość różnych typów szkodników, a metody penetrowania systemów staną się jeszcze bardziej skomplikowane i doskonałe.