W końcu mieliśmy okazję poznać pierwszy półroczny raport CERT Polska (Computer Emergency Response Team Polska – zespołu zajmującego się reagowaniem na zdarzenia naruszające bezpieczeństwo w internecie). Dane, zebrane między styczniem a czerwcem 2011, pokazują aktualny obraz bezpieczeństwa w polskiej sieci. Formuła raportu zbliżona jest do tej wykorzystywanej w raportach rocznych, co pozwala na dokonywanie porównań i wychwytywanie trendów w atakach.
W ciągu tych sześciu miesięcy nadeszły w sumie ponad 3 miliony zgłoszeń. Większość z nich dotyczyła rozsyłania spamu i działalności botnetów. Co ciekawe, mimo wzrostu liczby zautomatyzowanych źródeł informacji, przyszło prawie o połowę mniej zgłoszeń, niż się tego można było spodziewać. Było co prawda kilka większych ataków – m.in. w lutym, kiedy pojawił się nowy wariant Zeusa. Atakował zarówno komputery, jak i telefony komórkowe, zaś atakujący dzięki niemu miał dostęp do sms-ów, a w związku z tym również np. do kodów autoryzacji transakcji. Inny większy atak na użytkowników polskiego internetu miał miejsce w kwietniu, kiedy pod przykrywką faktury rozsyłany był trojan SpyEye. Po otwarciu następowało przejęcie kontroli nad komputerem, a w związku z tym – wszystkie nasze poufne dane były przechwycane.
Jak co roku, nie obeszło się też bez wycieku danych klientów usług elektronicznych. Tym razem największe kłopoty miała firma Sony – hakerzy wydostali z niej dane łącznie 100 milionów kont użytkowników. Inni też nie mieli lekko. Z podobnymi problemami borykały się firmy takie jak Nintendo, Codemasters, Citibank, a nawet serwis pornograficzny pron.com. Za część ataków odpowiedzialna jest dość znana groupa Anonymous, która ostatnio szczególnie zasłynęła z zapowiedzi wielkiego ataku na portal społecznościowy Facebook, rzekomo zaplanowanego na listopad.
Pierwsze, co się rzuca w oczy po przejrzeniu raportu, to fakt, że z atakami coraz lepiej radzą sobie hostownie, które, jak wiadomo, są w największym stopniu zagrożone, a w szczególności przez phishing. Natomiast sklepom internetowym, które też są powszechnym celem ataków, idzie dużo gorzej. Aż 21% atakowanych domen należy do nich. Zauważony został też ogólny – w skali światowej – wzrost liczby stron polskich sieci związanych ze złośliwym oprogramowaniem – z 1,4% (w 2010 roku) do 2%. Światowymi liderami są jak zawsze USA (około 50% zgłaszanych złośliwych stron WWW) oraz Chiny, co jest pewnym zaskoczeniem i zmianą w porównaniu z rokiem poprzednim.
Wszystkie zgłoszenia zostały pogrupowane, tak jak w zeszłym roku, na 10 kategorii, opisujących ich wspólne cechy: spam, botnety, skanowanie, złośliwe adresy URL, serwery C&C, dane z sandboxów, phishing, fast flux, DDoS i pozostałe. Pokrótce omówię niektóre z nich, natomiast każda z tych kategorii jest szczegółowo opisana w raporcie.
Jeśli chodzi o „tradycyjny” phishing, to niewiele się zmieniło w porównaniu do roku 2010. W ciągu pół roku został zgłoszony w Polsce 879 razy (w całym zeszłym roku – około 2 tys.). Również „adresaci” oszustwa zostali ci sami – wciąż są to głównie firmy hostingowe. W badaniach, poza oszacowaniem ilości ataków, sprawdzane były też metody, z których korzystali przestępcy. Okazało się, że większość (65,9%) stron zostaje umieszczona w wyniku włamania. Część domen zostało zarejestrowanych w serwisach oferujących bezpłatną rejestrację poddomen. W co piątym przypadku domena, w której umieszczono phishing, należała do sklepu internetowego. Warto pamiętać – i uważać – że najczęściej podrabianymi stronami są PayPal, Western Union i Amazon. Dość częste są również ataki na banki.
Ciekawa jest też kwestia spamu. W pierwszej połowie 2011 roku zgłoszono spam z polskich sieci ponad 2 mln razy. Na pierwszym miejscu pod względem ilości spamowych incydentów uplasowała się Netia (ponad 500 tys.). Dla porównania, z Telekomunikacji Polskiej pochodziło około 150 tysięcy przypadków, podobnie jak z sieci Plus (138 tys.).
Jedną z głównych kategorii zgłoszeń, podobnie jak w poprzednich latach, jest skanowanie. Zwykle jest ono związane z aktywnością botnetów lub robaków, czasami też z dedykowanymi narzędziami służącymi do mapowania sieci. Skanowanie od wielu lat wpisuje się w szum internetowy, przez co bardzo często jest ignorowane przez użytkowników, a nawet przez zespoły bezpieczeństwa, co pozwala mu się dość swobodnie rozwijać.
Innym ciekawym zestawieniem przedstawionym w raporcie jest rozkład zainfekowanych unikalnych IP od poszczególnych polskich operatorów. Również tutaj pierwsze dwa miejsca zajmują Telekomunikacja Polska i Netia. Warto jednak pamiętać, że ranking w dość dużym stopniu odzwierciedla wielkość operatorów pod względem użytkowników, wobec tego pozycja tych firm nie powinna zupełnie dziwić.
Kategorią, o której koniecznie trzeba wspomnieć, są boty. Mogą one być wykorzystywane do dowolnych zastosowań, ale przeważnie ich zadaniem jest rozsyłanie spamu. W ciągu pół roku zauważono ponad 1 mln botów, z czego bezsprzecznie dominowały dwa z nich – Torpig i Rustock. Ich liczebność była co najmniej trzy razy wyższa od pozostałych.
Zachęcamy do przeczytania całego raportu CERT Polska, choćby po to, żeby uświadomić sobie, ile – realnie – czeka na nas w sieci zagrożeń. Warto również przy okazji dowiedzieć się więcej o zabezpieczeniach, jakie należy stosować, by chronić nasze dane jak najdokładniej – w innym wypadku możemy stracić naprawdę dużo.
Komentarze
Publikowanie komentarza