SANS Top 20: cyberprzestępcy powoli zmieniają profil?

Jak mówi raport, w poprzednich pięciu latach dominowały ataki wymierzone albo w dostępne w sieci usługi ( głównie serwery WWW i pocztowe ), albo bezpośrednio w systemy operacyjne. W 2005 roku ten trend uległ dramatycznej zmianie. Jako że od wielu lat użytkownicy byli namawiani do instalowania oprogramowania zabezpieczającego - w tym programów antywirusowych i firewalli - przestępcy postanowili się nimi zainteresować. Bardzo szybko okazało się, że nawet profesjonalny komercyjny firewall jest taką samą aplikacją, jak leżący u jego podstaw system operacyjny: ma bowiem dziury, jest wrażliwy na bardzo proste ataki.Zaledwie dwa lata temu okazało się, że wiele programów antywirusowych można "rzucić na kolana" podając im odpowiednio spreparowany plik ( patrz np. Porada: - "Tworzymy plik o dowolnej wielkości ( *nix )" ). Jednak w tym roku liczba wykrytych luk przerosła najśmielsze oczekiwania wszystkich użytkowników:

- przy pomocy spreparowanego dokumentu udawało się tak omamić skaner antywirusowy Computer Associates, że możliwy był pełny dostęp do maszyny ( patrz artykuł: "Groźna dziura w 'antywirusie'" ),

- odpowiednio potraktowana biblioteka Symantec Antivirus Library wykorzystywana w pakiecie Norton Antivirus dawała pełen dostęp do "zaatakowanej" właściwie przygotowanym e-mailem maszyny ( patrz artykuł: "Groźna dziura w produktach Symanteca" );

- zaledwie kilka miesięcy później okazało się, że luka w mechanizmie Symantec AntiVirus Scan Engine również umożliwiała zdalne przejęcie kontroli nad maszyną ( patrz artykuł: "Dziura w Symantec AntiVirus" )

- aby wykorzystać dziurę w oprogramowaniu TrendMicro, również wystarczało wysłanie e-maila z załącznikiem ARJ ( patrz artykuł: "Znów dziura w antywirusie" )

I tak dalej. W samym tylko 2005 roku Secunia zanotowała aż szesnaście rozmaitych dziur w produktach Symanteca - ostatnia pochodzi z wczoraj i dotyczy ataku DoS wywołanego niewłaściwym przetwarzaniem komunikatów ISAKMP w Symantec Firewall/VPN/Gateway - w tym najwięcej w rozmaitych wariantach oprogramowania antywirusowego.

To jednak nie wszystko: cyberprzestępcy wreszcie zaczęli dostrzegać, że sprzęt odpowiadający za sterowanie ruchem sieciowym ( routery, switche itp. ) również dysponuje na tyle interesującymi funkcjonalnościami, że dotychczasowe omijanie go uznać należy za marnotrawstwo zasobów ( patrz również notka autora pt. "Rozwałka routerów - pieśń przyszłości" ). Któregokolwiek z urządzeń byśmy nie wzięli, szybko zorientujemy się, że mamy do czynienia nie z prostym pudełkiem wyposażonym w kilka mało ważnych układów, lecz raczej z niewielkim komputerkiem, którego moc obliczeniowa jest zbliżona do mocy pecetów sprzed kilku lat.

Za największe zagrożenie roku 2005 na platformie Microsoft Windows zostały uznane usługi systemu ( wiele z nich można obejrzeć klikając Start | Panel sterowania | Narzędzia administracyjne | Usługi ), wśród których najczęściej występującym niedomaganiem była wrażliwość na zdalne przepełnienie bufora. Wśród nich SANS wymienia między innymi usługę MSDTC, Print spooler ( Bufor wydruku ), usługę dzielenia zasobów między klientami pracującymi pod kontrolą Windows ( Server Message Block Service, patrz artykuł: "Microsoft: 16 dziur, 12 poprawek" ) itp. Na liście krytycznych pojawiła się również wzmianka o Plug and Play, usłudze rozpropagowanej przez Zotoba.

Na drugim, niewiele lepszym niż poprzednie, miejscu znalazł się Internet Explorer, czyli przeglądarka internetowa ciągle dzierżąca prym wśród użytkowników komputerów osobistych. Błędy w MSIE umożliwiały podszywanie się pod inne witryny oraz zdalne wykonywanie kodu bez jakiegokolwiek udziału ze strony użytkownika - konieczne było wyłącznie odwiedzenie niebezpiecznej witryny, a na komputerze "znikąd" pojawiały się programy spyware czy konie trojańskie. Większości z nich dałoby się zapobiec przy dużo bardziej restrykcyjnym skonfigurowaniu przeglądarki internetowej ( patrz artykuł: "Bezpieczny Internet Explorer" ). Ciągle jednak wydaje się, że wykorzystanie innego programu do surfowania w Sieci jest najbezpieczniejszym wyborem... Na dalszych pozycjach SANS wymienia błędy w bibliotekach związanych z przetwarzaniem i wyświetlaniem grafiki ( ikon, elementów interfejsu, plików JPEG i PNG ), HTML-owych plików pomocy, folderów skompresowanych oraz dziury w MS Office i
Outlook Express.

Za stały, wieloletni "hit" uznane zostały luki wynikające z domyślnych, bardzo słabych pod względem bezpieczeństwa, ustawień najnowszych systemów Windows. Dzięki nim Windows XP jest w stanie poprawnie skomunikować się w sieci z Windows 95, pozostaje jednak niemal równie wrażliwy na ataki jak system zaprezentowany przez Microsoft w 1995 roku.

W tej dziedzinie niechlubne miano liderów uzyskały dwie kategorie oprogramowania: aplikacje odpowiadające za backup danych oraz antywirusy. I pierwsze, i drugie mogły przyciągać cyberprzestępców ze względu na bardzo szerokie ich wykorzystanie w korporacjach. Poważne błędy znajdowano między innymi w Symantec Veritas NetBackup/Backup Exec, Sun StorEdge Enterprise Backup Software czy Computer Associates BrightStor ARCServe oraz w pakietach chroniących przed wirusami takich potentatów rynku, jak Trend Micro, Mcafee, Sophos czy - ponownie - Symantec.

Warto dodać, że wśród potencjalnie niebezpiecznych wymieniono również dwa z trzech filarów sieci WWW: język PHP oraz bazy danych. Pierwszemu z nich dostało się za liczne problemy z obsługą XML-a i szybko pojawiające się robaki ponaglające użytkowników do błyskawicznej aktualizacji oprogramowania ( patrz artykuł: "Lupper zagraża Linuksowi" ). Bazy danych natomiast zgromiono za kiepskie aplikacje zarządzające, łatwość przeprowadzenia ataku SQL injection oraz jeden z bijących od lat rekordy popularności błędów - brak wymuszenia na administratorach zmiany domyślnego hasła i mało bezpieczną standardową konfigurację.

Na piątej pozycji SANS wymienił aplikacje P2P, dzięki którym możliwa jest wymiana plików przez Internet. Tym razem lista zarzutów jest długa: wspomina się zarówno o dołączanym po cichu do aplikacji spyware, o błyskawicznie rozprzestrzeniających się w P2P wirusach, o ukrytym czynieniu z użytkowników botów rozpowszechniających szkodliwe oprogramowanie oraz o częstym łamaniu praw autorskich z pomocą P2P.

Za mniej istotne SANS uznał problemy z odtwarzaczami multimedialnymi, oprogramowaniem stosowanym do obsługi DNS-ów i komunikatorami. Co ciekawe, na pozycji dziewiątej znalazły się również aplikacje Mozilla Foundation.

Systemy uniksowe i uniksopodobne choroby wieku dziecięcego ( nasłuchiwanie niepotrzebnych usług, dziurawe RPC itd. ) mają już za sobą. Tym niemniej SANS uznał, że ciągle nie są one należycie skonfigurowane; zarzut dotyczył przede wszystkim SSH, który co prawda szyfruje przesyłane dane i implementuje algorytmy uniemożliwiające odgadnięcie nazw kont na podstawie czasów odpowiedzi serwera, ale ciągle jest wrażliwy na stary atak metodą "brute force".

Dostało się również Mac OS X, którego użytkownicy w 2005 roku musieli spuścić z tonu - po wielu błędach i udostępnianych łatach system operacyjny Apple nie cieszy się już sławą najbezpieczniejszego OS-a dla desktopów. W raporcie SANS naliczono piętnaście błędów Mac OS X, z czego aż cztery dotyczyły tylko jednego komponentu: przeglądarki internetowej Safari.

Poważne problemy napotkali także producenci sprzętu sieciowego, głównie routerów ( zwanych czasem "kręgosłupem Internetu" ). Błędy znajdowane były w produktach Cisco, Junipera, CheckPointa i, ponownie, Symanteca.

Po zapoznaniu się z tymi wszystkimi informacjami użytkownik może popaść w czarną rozpacz. Czy słusznie? Nie zawsze. Jak wielokrotnie podkreśla SANS, w większości przypadków cyberprzestępców bardzo łatwo powstrzymać instalując na bieżąco udostępniane przez producenta łaty. Nie zawsze jednak: część dziur w Internet Explorerze nie została załatana do dziś, a i wiele firm produkujących oprogramowanie tzw. zabezpieczające wstydzi się luk w programach i próbuje zatuszować sprawę, gdy tylko wyjdzie ona na jaw ( patrz artykuł: "Protokół ICMP - dziurawy jak rzeszoto?")
.

Dodatkowe informacji: witryna Top 20 SANS - http://www.sans.org/top20/

więcej w serwisie PC World Komputer »