4 grudnia 2006

Kaspersky Lab przedstawia nowy raport: "Ewolucja złośliwego oprogramowania: lipiec - wrzesień 2006"

Kaspersky Lab, producent rozwiązań do ochrony danych, opublikował kolejny kwartalny raport poświęcony ewolucji szkodliwego oprogramowania. W najnowszym artykule Alexander Gostev, starszy analityk wirusów, podsumowuje działania twórców szkodliwego oprogramowania w okresie lipiec - wrzesień 2006 r. Artykuł przeznaczony jest dla wszystkich osób zainteresowanych bezpieczeństwem IT.

Pierwsza połowa 2006 roku charakteryzowała się złożonością problemów technologicznych, z jakimi musiały się zmierzyć firmy antywirusowe, ogromną liczbą nowych programów typu "proof of concept" oraz wzrastającym zainteresowaniem pakietem Microsoft Office ze strony hakerów. Wydawało się, że obie strony wojny wirusowej toczą ze sobą zacięty pojedynek, w którym chodzi o idee. W pierwszej połowie tego roku gorącym tematem była ochrona proaktywna, kryptografia, technologie rootkit i luki w zabezpieczeniach. Jednak po wzmożonej aktywności nieuchronnie nastaje okres spokoju, kiedy obie strony próbują ocenić wyniki swojej pracy i określić, w jakim stopniu dane podejście czy koncepcja okazały się skuteczne (lub nie). Trzeci kwartał 2006 roku był właśnie takim okresem refleksji i letniego odpoczynku.

W okresie tym nie wystąpiła żadna znacząca epidemia wirusowa. Jak zwykle, branża antywirusowa z niepokojem czekała na sierpień. Była to bardziej kwestia tradycji niż rzeczywistego zagrożenia - przez ostatnie trzy lata sierpień zawsze przynosił poważną epidemię wirusową. 2003: Lovesan i luka MS03-026. 2004: Zafi oraz Bagle. 2005: Bozori (znany także jako Zotob), który wykorzystywał lukę MS05-039 w celu sparaliżowania sieci CNN, ABC, the New York Times i wielu innych organizacji w Stanach Zjednoczonych.

Wydarzenia, jakie miały miejsce w trzecim kwartale 2006 roku, skłaniają mnie do wysunięcia wniosku, że zarówno Internet jak i bezpieczeństwo informatyczne stoją u progu zupełnie nowego etapu. Powiedziałbym, że drugi etap ewolucji wirusów i rozwiązań antywirusowych mamy już za sobą.

Pierwszy etap miał miejsce w latach 90, kiedy wykrywanie na podstawie sygnatur było wystarczające do pokonania prostych wirusów. Na tym etapie złośliwy kod nie był zaawansowany technicznie i nie wykorzystywał złożonych metod infekcji. Początek nowego tysiąclecia przyniósł robaki pocztowe i sieciowe. W celu rozprzestrzeniania się programy te wykorzystywały luki oraz czynnik ludzki. Zdolność robaków do infekowania ogromnej ilości komputerów w bardzo krótkim czasie spowodował narodzenie się cyberprzestępczości, a technologie wykorzystywane przez wirusy stały się bardziej złożone, podobnie jak szereg różnych złośliwych programów. Dużą rolę odegrał tu spam, phishing, mobilne złośliwe oprogramowanie, luki w przeglądarkach i sprzęcie sieciowym, jak również zagrożenia połączone, które rozprzestrzeniały się nie tylko za pośrednictwem poczty elektronicznej, ale również Internetu i komunikatorów internetowych. Czas reakcji stał się krytycznym czynnikiem dla firm antywirusowych, które zaczęły wykorzystywać emulację kodu, technologie anti-rootkit oraz techniki ochrony poufnych danych użytkownika.

W 2006 roku nie pojawiły się żadne całkowicie nowe koncepcje, co znajduje wyraz w raportach Kaspersky Lab. Twórcy wirusów zaciekle próbują bronić swoich tworów przed nowymi technologiami proaktywnymi, tworząc kod "proof of concept" dla nowych platform oraz skupiając się na szukaniu luk w zabezpieczeniach. Nie znajduje to jednak dużego odzwierciedlenia w rzeczywistości: tzn. nie pojawiają się zagrożenia, które mogłyby spowodować milionowe straty, tak jak miało to miejsce w przeszłości w przypadku robaków Klez, Mydoom, Lovesan i Sasser.

"Zjawiska, których jesteśmy obecnie świadkami, są czasem interesujące, sporadycznie zaawansowane pod względem technicznym (na przykład wirusy wykorzystujące techniki kryptograficzne)" - mówi Alexander Gostev. "Ogólnie, jednak, wydaje się, że poprzeczka została obniżona. Zagrożenia nie mają już charakteru globalnego i nie są skuteczne tak długo jak wcześniej. Nie dzieje się nic nowego. Mamy do czynienia z tym samym, nieustającym strumieniem trojanów, wirusów i robaków - jedyna różnica polega na tym, że znacznie zwiększyła się ich liczba. Naturalnie, niektórzy mogą nie zgadzać się z tą opinią. Mimo to, uważam, że dzisiejsi twórcy wirusów i cyberprzestępcy dostosowali swoje metody do współczesnej branży antywirusowej. Obecnie obserwujemy pewien rodzaj stanu równowagi. Firmy antywirusowe pracują do granic swoich możliwości, jeśli chodzi o szybkość, i w dużym stopniu osiągnęły już techniczne granice pod względem stosowanych technologii. Twórców wirusów satysfakcjonuje obecny czas reakcji firm antywirusowych - który może wynosić kilka godzin, a nawet minut - oraz to, co mogą w tym czasie osiągnąć."

Pełny artykuł można znaleźć w Encyklopedii Wirusów Viruslist.pl: http://viruslist.pl/analysis.html?newsid=351.