«

»

Retrospectiva Kaspersky pentru anul 2011: un an exploziv

Fie că a fost vorba despre „hacktivism” sau despre malware pentru Mac, în 2011 incidentele de securitate IT au depășit orice așteptări. Experții Kaspersky Lab au realizat o selecție a celor mai importante tendințe din ultimele 12 luni și au subliniat principalele inovații în ceea ce privește securitatea IT. Privind retrospectiv aceste evenimente, este ușor de prevăzut ce va aduce anul 2012.

Am selectat aceste incidente deoarece indică marii „actori” ai anului 2011, care vor continua cu siguranță să aibă un rol important în filmul evenimentelor de securitate cibernetică din 2012“, a spus Costin Raiu, Director of Global Research & Analysis Team în cadrul Kaspersky Lab și autorul acestei selecții. „Aceștia sunt: grupurile de „hacktivism”; companiile de securitate informatică; amenințarea avansată persistentă (APT), sub forma super-puterilor ce se luptă între ele cu ajutorul armelor cibernetice; marile companii dezvoltatoare de software și jocuri, cum ar fi Adobe, Microsoft, Oracle și Sony; autoritățile; infractorii cibernetici tradiționali; Google – prin intermediul sistemului de operare Android și Apple cu sistemul de operare Mac OS X. Aceștia vor juca roluri importante pe scena securității IT și anul acesta“, a încheiat Raiu.

1. Hacktivism-ul

Amploarea „hacktivism-ului” în 2011 indică o tendință care se va menține cu siguranță și anul acesta. Grupuri precum Anonymous, LulzSec sau TeaMp0isoN au fost implicate în acțiuni împotriva băncilor, a guvernelor, a companiilor de securitate și a principalilor producători de software. În mod ironic, unele dintre aceste incidente, cum este cel care a vizat Stratfor, au scos la iveală probleme majore de securitate, de exemplu stocarea numerelor CVV în formate necriptate sau protejate de parole foarte slabe.

2. Atacul asupra HBGary Federal

În ianuarie 2011, câțiva infractori cibernetici din cadrul grupului Anonymous au intrat în webserver-ul companiei printr-un atac de tip injecție SQL. Ei au extras parolele CEO-ului Aaron Barr și al COO-ului, Ted Vera. Ambii utilizau parole foarte simple, alcătuite din șase litere mici și două cifre. Cu ajutorul parolelor, atacatorii au accesat documentele de cercetare ale companiei și zeci de mii de e-mailuri stocate în Google Apps. Acest exemplu demonstrează că utilizarea unor parole prea simple, software-ul depășit în combinație cu tehnologia cloud se poate transforma într-un coșmar din punct de vedere al securității.

3. „Amenințarea persistentă avansată”

Deși mulți experți în securitate nu agreează acest termen, „amenințarea persistentă avansată” și-a făcut loc în presă și a ajuns foarte popular în urma unor incidente ca breșa de securitate de la firma RSA sau a incidentelor „Night Dragon”, „Lurid” sau „Shady Rat”. În mod ironic, multe dintre aceste operațiuni nu au avut nicun element „avansat”. Pe de altă parte, au existat multe cazuri în care au fost exploatate vulnerabilități de tip 0-day, cum a fost breșa RSA. În acest caz, atacatorii au profitat de CVE-2011-0609 – o vulnerabilitate în Adobe Flash Player – pentru a rula un cod cu caracter de malware pe computerul victimelor. Aceste atacuri confirmă instituirea cyber-spionajului ca o practică obișnuită. În plus, multe dintre aceste atacuri par să fie interconectate și au ramificații globale majore.

4. Atacurile asupra Comodo și DigiNotar

Pe data de 15 martie 2011, una dintre companiile afiliate Comodo, o organizație binecunoscută pentru software-ul de securitate și certificatele digitale SSL, a fost victima hackerilor. Atacatorii au utilizat infrastructura existentă pentru a genera nouă certificate digitale false pentru pentru website-uri ca mail.google.com, login.yahoo.com, addons.mozilla.com și login.skype.com. În timpul analizei incidentului, Comodo a identificat adresa IP de la care opera atacatorul ca fiind localizată în Tehran, Iran. Totuși, acest incident pălește în comparație cu breșa de securitate care a afectat DigiNotar. În iunie 2011, hacker-ii au accesat infrastructura companiei și au emis peste 300 de certificate false. În viitor, este posibil ca operațiunile de compromitere a acestui tip de companii să fie din ce în ce mai frecvente.

5. Stuxnet și Duqu

În luna iunie 2010, cercetătorul Sergey Ulasen din cadrul companiei belaruse VirusBlokada, a descoperit un program periculos, care părea să utilizeze certificate furate pentru a semna driver-ele și un exploit de tip 0-day care utiliza fișiere de tip .lnk, pentru a se răspândi. Acest malware a devenit cunoscut la nivel mondial sub denumirea Stuxnet, un „vierme” care a fost dezvoltat special pentru a sabota programul nuclear al Iranului.

În luna august a anului trecut, laboratorul de cercetare ungar „CrySyS” a descoperit troianul Duqu. Inițial, nu era clar modul în care Duqu își infecta țintele. Ulterior, s-a stabilit că Duqu penetra sistemele vizate prin intermediul unor documente Microsoft Word, care exploatau vulnerabilitatea CVE-2011-3402. Obiectivul acestui troian era diferit față de cel al lui Stuxnet, acesta fiind utilizat pentru a pătrunde într-un sistem și de a „extrage” informații în mod sistematic. Arhitectura complexă și numărul mic de victime au făcut ca Duqu să rămână nedetectat timp de ani de zile. Primele dovezi ale activității troianului par să dateze din august 2007.

Duqu și Stuxnet sunt printre cele mai sofisticate instrumente utilizate în războiul cibernetic și indică începerea unei ere de „război rece”, caracterizată de lupta între superputerile mondiale, fără limitările unui război „real”.

6. Atacul asupra Sony PlayStation Network

Pe 19 aprilie 2011, compania Sony a descoperit că PlayStation Network (PSN) fusese atacată de hackeri. Inițial, compania a fost reticentă în a explica ce se întâmplase și a susținut că serviciul, care fusese supendat pe 20 aprilie, urma să redevină funcțional în următoarele zile. Abia pe 26 aprilie, compania a recunoscut că informațiile personale ale utilizatorilor fuseseră furate, inclusiv numere de carduri de credit. Trei zile mai târziu, au apărut informații conform cărora 2,2 milioane de numere de card au fost puse în vânzare pe forumurile de hacking. În luna octombrie, PSN ajungea din nou în presă în urma compromiterii a 93,000 de conturi închise de Sony pentru a preveni posibile complicații. Acest incident a fost un semn că, în era cloud, informațiile de identificare personală sunt disponibile, în mod convenabil, într-un singur loc și pot fi sustrase extrem de rapid și ușor în cazul în care este implicată și o configurație greșită sau o problemă de securitate. În 2011, 77 de milioane de nume de utilizatori și 2.2 milioane de numere de carduri au ajuns să fie considerate o „pradă” normală.

7. Închiderea rețelelor de tip botnet și lupta împotriva criminalității cibernetice

În timp ce hackerii din cazul PSN au rămas necunoscuți, 2011 a fost cu siguranță un an nefast pentru infractorii cibernetici, care au fost descoperiți și arestați de către forțele de ordine din toată lumea. Câteva exemple sunt ZeuS, DNSChanger, Rustock, Careflood și botnetul Kelihos. Aceasta indică o tendință mondială de împiedicare a infractorilor, indicându-le celor care încă nu au fost prinși că acțiunile lor nu sunt lipsite de consecințe.

8. Malware pentru Android

Anul trecut, sistemul de operare Android a devenit din ce în ce mai cunoscut ca o fiind țintă vulnerabilă în fața malware-lui creat special pentru a-i exploata punctele slabe. Câțiva dintre factorii care contribuie la popularitatea Android-ului ca ținta pentru infractorii cibernetici sunt uriașa sa popularitate, informațiile disponibile gratuit despre platformă și monitorizarea defectuoasă a Google Market, care face posibilă încărcarea de programe cu caracter malițios.

9. Incidentul CarrierIQ

CarrierIQ este o companie al cărei obiectiv este să colecteze informații de „diagnostic” de pe terminale mobile. Cu toate acestea, Trevor Eckhart, un cercetător în domeniul securității, a demonstrat că informațiile colectate de companie includ date introduse din tastatura și link-uri accesate cu ajutorul telefonului mobil. Fiind o companie de origine americană, foarte probabil, în cazul în care este prezentată cu un mandat, CarrierIQ să fie obligată să dezvăluie poliției informațiile colectate. Este posibil ca această „portiță” legală să transforme serviciile companiei într-un instrument guvernamental de spionaj și monitorizare. Pentru a completa natura obscură a acestui software, procedura de dezinstalare este destul de complicată și este diferită în cazul iPhone-urilor, al telefoanelor Android și al BlackBerry-urilor.

Descoperirile făcute în ceea ce privește activitatea CarrierIQ demonstrează că adesea, ignorăm complet ceea ce se întâmplă în propriul telefon și că nu știm cu adevarat care este nivelul de control pe care compania producătoare sau operatorul GSM îl are asupra terminalului.

10. Malware pentru sistemul de operare Mac

Anul 2011 a fost unul nefast pentru proprietarii de Mac, având în vedere distribuirea prin tehnici de tip black-hat SEO a unor produse antivirus false ca MacDefender, MacSecurity, MacProtector sau MacGuard. Apărute în luna mai a anului trecut, acestea au devenit populare în scurt timp. În plus, utilizatorii de Mac au fost afectați de atacurile din partea familiei de Troieni DNSChanger, identificată pentru prima dată în 2007, care infectează sistemul, modifică setările DNS și se dezinstalează. Ulterior, infractorii utilizează comunicarea prin intermediul DNS pentru a determina victima să acceseze website-uri false sau pentru a face bani ilegal prin tehnici de tip „click fraud”. Aceste incidente demonstrează că malware-ul pentru Mac este la fel de real ca și cel pentru PC-uri.

Sursa: devicer.ro

Ti se pare interesant ce ai gasit pe aceasta pagina? Spune-le si prietenilor:

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>