2009 - Retrospectiva anului

Ianuarie

La Inceputul anului 2009, am emis o serie de sfaturi cu privire la protectia personala (vezi http://www.eset.com/threat-center/blog/2008/12 si http://www.eset.com/threat-center/blog/2009/01). O amenintare majora a fost, in aceea luna (ca Intotdeauna), INF/Autorun. Tot la Inceputul anului a avut loc o Innoire a interesului In asocierea acestui tip de amenintare cu ramele foto digitale, cel mai probabil datorita numarului mare de astfel de gadgeturi care au fost facute cadou In perioada sarbatorilor. Majoritatea amenintarilor din Top Zece Amenintari din acea luna au fost aplicatii euristice avansate mai degraba decat o singura familie de malware cum eram obisnuiti.

Troianul Virtumonde a fost de asemenea prezent In numar mare. Phishing-ul pe Twitter a obtinut notorietate In momentul In care un personaj celebru precum Stephen Fry (actor si prezentator TV britanic)a recunoscut ca a cazut prada unei astfel de escrocherii. David Harley, director ESET In departamentul Inteligenta Malware, a Inceput sa studieze cu seriozitate amenitarile care exploatau reteaua Tweeter. 12 luni mai tarziu acesta declara ca nu este Inca un expert dar are aproape acelasi numar de conturi Twitter ca numarul de conturi pe blog. (Puteti urmari Echipa de Cercetare din San Diego la http://twitter.com/esetresearch, daca sunteti interesati.)

In Marea Britanie, au existat temeri cu privire la autoritatea extinsa data politiei: aceasta a fost una din problemele discutate de catre Craig Johnston si David Harley Intr-o prezentare la AVAR 2009 (http://www.eset.com/download/whitepapers/Please_Police_Me.pdf).

Randy Abrams, directorul ESET pentru Educatie Tehnica, a postat un blog cu privire la practicarea parolelor (i)logice care a fost mai tarziu transformat Intr-o lucrare de catre Randy si David la http://www.eset.com/download/whitepapers/EsetWP-KeepingSecrets20090814.pdf.

Win32/Conficker a fost proeminent prezent In lista cu top zece amenitari si a beneficiat de o atentie mediatica sporita, In special cu privire la numarul real de calculatoare infectate. BineInteles, Conficker reprezinta o amenintare destul de activa chiar si astazi iar o traducere a lucrarii lui Sebastián Bortnik, analist de securitate in cadrul ESET Latin America, intitulata “Conficker by Numbers”, va fi disponibila In scurt timp pe pagina de lucrari ESET la http://www.eset.com/download/whitepapers.php. Escrocherii derulate prin mail avand subiecte gen IRS (Internal Revenue Service) si\sau subventii de la stat au fost dese dar este de asteptat din moment ce subiecte de acest gen sunt prezente in casutele postale ale multor utilizatori de internet. Google a categorisit In mod accidental toate siturile de pe Internet cu mesajul "Acest site va poate aduce daune calculatorului”. Ceea ce este adevarat daca privim imaginea per asamblu, Intr-o era plina de amenintari digitale de tipul “injection attaks” si “cross-site scripting”, dar totusi nu de mare ajutor nici pentru utilizatori si nici pentru reputatia Google. Se pare deci ca nu numai aplicatiile antivirus pot produce alarme fals pozitive

Februarie

Ca de obicei, INF/Autorun (si detectii asemanatoare) plus aplicatiile specializate in furtul de parole au continuat sa domine desi numele de pe buzele tuturor era “Win32/Conficker”. Continutul adware si Aplicatiile Potential Nedorite au fost (si inca sunt) proeminente si enervante. Escrocii ce se bazeaza pe phishing au Inceput sa se foloseasca de programul Stimulus pentru a pacali oamenii sa-si dezvaluie parolele: suntem de parere ca legislatiile din anumite tari cu privire la asigurarea medicala vor permite noi modalitati de utilizare a unor astfel de tehnici de inginerie sociala in 2010.

Persoanjele din spatele Win32/Waledac s-au folosit de ziua Indragostitilor (Valentine’s day) pentru a raspandi “felicitari” care erau de fapt malware. In mod curios, cineva a trimis o excrocherie cu “Bill Gates Isi Imparte averea” catre o plaja mare de oameni din industra antivirus, oameni care In mod normal nu sunt atat de naivi Incat sa cada prada acestor lucruri. Adobe a fost obligat sa recunoasca o vulnerabilitate severa cu privire la formatul PDF: din pacate pentru Adobe, produsele lor au fost exploatate In mai multe modalitati In acest an, iar bloggeri ESET au petrecut mult timp catalogand aceste probleme. Aplicatiile false de securitate IT au continuat sa creasca In diversitate si impact. In mod nostalgic a existat un val semnificativ de malware ce a exploatat platforma Microsoft Excel.

Martie

Prima saptamana din Martie a fost National Zombie Awareness Week In Australia, dar bineInteles ca mereu este o saptamana buna pentru constientizarea amenintarilor propagate de botnet-uri si sisteme zombie. (http://www.eset.com/threat-center/blog/2009/03/03/zombies-down-under).

S-a facut remarcata o crestere a escrocheriilor ce au avut drept tinta vanzarea de domenii pe internet, oamenii Ingrijorati de cybersquatting. Barfe si zvonuri cu privire la o mica eroare a Symantec (eliberarea unui patch de diagnostic nesemnat) au degenerat In povesti fabuloase despre rootkits si backdoors (desi acestea nu au fost adevarate). BBC a incercat cu degetul activitatea criminala cumparand un botnet cu 22,000 PC-uri pe care l-a folosit pentru a demonstra cum functioneaza atacurile de tip spam si DDoS.

Desi nu era neaparat necesar sa contribuie cu bani in contul unui infractor pentru a ilustra acest lucru, au reusit sa evite urmarirea penala cu ajutorul Computer Misuse Act din Marea Britanie. David Harley si Randy Abrams au fost influentati de un val de Inselaciuni de tip “copil diparut” si au scris o lucrare pentru Virus Bulletin 2009 pe acest subiect: http://www.eset.com/download/whitepapers/Harley-Abrams-VB2009.pdf. Modul In care Google (nu) a tratat plangerile de abuz a primit multa atentie. Virus Bulletin a Inceput sa realizeze si teste anti-spam.

Psyb0t a atras atentia asupra amenintarilor de tip botnet avand ca tinta routere si modemuri DSL In loc de PC-uri. Au fost multe speculatii asupra activitatilor de pe Intai aprilie cand se astepta o activitate suplimentara din partea Win32/Conficker.C. Acest malware nu a prezentat comportamente dramatice de genul ”oprirea” Internetului dar si-a schimbat protocoalele de comunicare. Dupa ce toata industria antivirus a comunicat saptamani la rand, prin intermediul blogurilor “nu va panicati” au existat unii comentatori care au declarat ca nu era nimic mai mult decat entuziasmul vanzatorilor.

Aprilie

In aceasta luna si-a facut aparitia un botnet de Mac. Desi aparent nimic spectaculos, acesta era functional si chiar a fost folosit Intr-un atac DDoS. A fost semnalata o crestere In folosirea software-ului Microsoft Office pentru trimiterea de malware cu tinta precisa, desi compania a considerat ca acest aspect nu prezinta o importanta prea mare si a continuat sa se ocupe de actualizarile produselor.

Un site de stiri rusesc a pretins implicarea Conficker In atacuri DDoS, dar noi lucrand si cu alte echipe de cercetare nu am descoperit implicarea Conficker. Au existat zvonuri care spuneau ca Rusia si China penetreaza reteaua de energie electrica a SUA. Malware-ul intitulat de noi ca W32/Conficker.AQ a prezentat niste caracteristici interesante. Botnet-ul Hexzone a fost asociat cu variante destul de neplacute de ransomware.

Mai

Mai a adus evenimente semnificative care au avut loc In Budapesta – un workshop CARO (The Computer AntiVirus Researcher's Organization ) asupra exploatarilor si vulnerabilitatilor si un al doilea workshop AMTSO (Anti Malware Testing Standards Organization) pe acest an In cadrul caruia au fost aprobate procedurile Review Analysis Board precum si lucrari asupra validarii mostrelor si testele “In the Cloud”.

Conferinta EICAR (European Expert Group For IT Security), In cadrul careia David si Randy au prezentat o lucrare despre modalitatile de testare, a mai inclus si prezentari ale reprezentantilor EICAR, AMTSO si ICSALabs. Cercetatorul Malware din cadrul ESET, Pierre-Marc Bureau, a fost prezent la conferinta Confidence In Cracovia, si a recomandat-o cu placere. In San Diego, “Securing our eCity”, o initiativa a comunitatii co-sponsorizata de ESET, a desfasurat o serie de prezentari gratuite de mare succes care au avut drept tematica criminalitatea informatica.

In Marea Britanie problemele Serviciului National de Sanatate legate de scurgerile de date au atras atentia nefavorabila din partea Comisarului de Informare.

Iunie

In Marea Britanie, infractorii prin telefon au avut ca tinta persoanele varstnice din Scotia si s-a inregistra totodata un interes destul de mare asupra neIntelegerii legii protejarii informatiei, ceea ce a inspirat un nou Standard Britanic (BS 10012). MSN a descris Diploma de Master In Media Sociala de la Universitatea Salford drept "MA in Facebook si Twitter".

S-au Inregistrat valuri de spargeri ale conturilor de email dupa care au fost trimise cereri de bani cunoscutilor din lista de adrese upssub pretextul ca proprietarii acelor conturi email ar fi fost talhariti si trebuie sa ajunga cu ajutor financiar acasa. Lumea a Inceput sa faca prevesteasca moartea industriei antivirus odata cu lansarea programului antivirus de la Microsoft. Rapoartele cu privire la aceasta ”moarte” au fost Insa exagerate peste orice limita…

Un studiu de piata a indicat ca o treime din persoanele angajate au folosit PC-ul de la serviciu pentru a trimite email-uri cu continut „explicit”, pentru a se desparti de partener sau chiar au aplicat pentru alta slujba ceea ce indica o lipsa Ingrijoratoare a distinctiei dintre locul de munca si mediile sociale. Moartea lui Michael Jackson a inspirat mai multi infractori sa-i foloseasca numele pentru diverse excrocherii si pentru raspandirea de malware.

Iulie

Cercetatorii ESET au jucat un rol important In reducerea impactului provocat de campania de spam a botnetului Waledac cu ocazia Zilei Independentei. Sotia sefului MI6 (unul dintre serviciile de informatii ale Marii Britanii) a pus multe, mult prea multe informatii pe o pagina Facebook. Sebastián Bortnik, din cadrul ESET Latin America, a descoperit cateva cifre interesante cu privire la cantitatea de spam produsa de un singur PC infectat cu Waledac (experimentele sale au indit aproximativ 150.000 de email-uri spam pe zi de la un singur sistem).

Au existat speculatii cu privire la folosirea unor calculatoare din cadrul retelei guvernului SUA pentru executarea unor atacuri de tip DDoS (Distributed Denial of Service), atacuri avand in spate Coreea de Nord. Aceste speculatii nu au fost Insa justificate In mod convingator. Mai multe situri de bloggeri de securitate, publicatii si distribuitori au fost amenintate cu „stergerea” de catre cineva sau ceva auto-numit “Anti-sec” dar promisiunile Inca nu au fost puse In practica. (http://www.eset.com/threat-center/blog/2009/07/11/orwell-double-think-and-anti-sec)

Pericolul utilizarii (eronate) a codului numeric personal (Social Security Number) drept autentificare au fost scoase In evidenta de catre David Harley, printre altii, iar Jeff Debrosse a discutat pe larg faptul ca 85% din organizatiile SUA au raportat ca au experimentat scurgeri de date Intr-un sondaj al Ponemon Institute. Win32/TrojanDownloader.Bredolab.AA a avut un impact serios asupra utilizatorilor, mai ales In Europa, potrivit informatiilor primite de catre laboratoarele principale din Slovacia. (http://www.eset.eu/encyclopaedia/win32-trojandownloader-bredolab-aa-inject-abnx-x-spy-agent-bw?lng=en).

ESET, In Europa, a publicat un articol interesant asupra pericolelor navigarii pe internet prin punctele gratuite wi-fi: http://www.eset.eu/press/summer-surfing-on-free-wifi. Actualizarile Adobe si Microsoft au reprezentat stiri importante iar Apple s-a plans despre pericolul decodarii telefoanelor iPhone.

August

ESET Latin America a observat ca Slideshare (http://www.slideshare.net) era folosit pentru a partaja slide-uri false care Indreptau utilizatorii catre site-uri ce ofereau false aplicatii software de securitate (felicitari Slideshare pentru un raspuns atat de prompt si pentru sprijinul acordat prin stergerea contului responsabil).

Cercetatorii anti-malware si-au unit fortele pentru a combate un Troian Downloader destul de periculos cunoscut uzual sub numele de Delf sau Doneltart. Guvernul Marii Britanii a emis un document standard, surprinzator de util pentru departamentele guvernamentale care doresc sa foloseasca Twitter. Microsoft a publicat o tehnica de a dezactiva Autorun (o functie folosita In mod gresit de catre INF/Autorun) ca standard. Aryeh Goretsky, Distins Cercetator la ESET LLC, a atras atentia asupra numarului In crestere de amenintari care au drept tinta sistemele OS X, asa cum si Apple a Inceput sa observe ( tema dezvoltata pe larg In numeroase bloguri ale lui David Harley).

Septembrie

Inevitabil , unii fani ai Mac au presupus ca functia minimalista anti-troian din Snow Leopard reprezinta toata protectia de care aveau nevoie sau chiar mai mult decat aveau nevoie. Pierre-Marc a publicat un blog (http://www.eset.com/threat-center/blog/2009/09/03/more-infections-a-lot-more-malware) rezumand statisticile malware oferite de scanerul online gratuit al ESET la http://www.esetonlinescan.com/.

Aryeh a publicat un blog despre autoprotectie In contextul retelelor sociale la http://www.eset.com/threat-center/blog/2009/09/08/armor-for-social-butterflies. Articolul de la conferinta CFET al lui David Harley despre denumirea malware-ului a fost postat In sectiunea white paper. (http://www.eset.com/download/whitepapers/cfet2009naming.pdf).

Un hot de 19 ani din Virginia a fost prins deoarece si-a permis sa acceseze contul de Facebook de pe laptopul victimei si nu s-a gandit sa se dezautentifice. Conferinta Virus Bulletin 2009 din Geneva a inclus articole apartinand luo Juraj Malcho, Jeff Debrosse, Randy Abrams si David Harley.

Octombrie

A 6-a luna de constientizare a Cybersecurity a avut un numar de evenimente si initiative cu scopul de a ridica nivelul de constientizare si de autoprotectie In SUA. Otravirea SEO (Search Engine Optimization) sau Index Hijacking este departe de a fi o noutate, dar a atins noi niveluri de complexitate In acest an si Cercetatorul Malware de la ESET Tasneem Patanwala a publicat pe blog o excelenta analiza a unui asemenea atac (http://www.eset.com/threat-center/blog/2009/10/01/seo-poisoning-what%e2%80%99s-in-the-news-today).

Sebastián Bortnik a sesizat o problema cu HTTPS In blogul sau la http://blogs.eset-la.com/laboratorio/2009/10/02/mito-https si de asemenea a produs un filmulet demonstrand aceasta, In timp ce echipa de cercetare a ESET LLC a preluat aceasta tema In niste bloguri care de asemenea au abordat probleme cu SSL. Windows 7 a fost lansat.

In lumina testelor comparative care pretind a fi “compatibile AMTSO” sau asemanator, au aparut discutii aprinse la Intalnirea Anti-Malware Testing Standards Organization din Praga despre modalitati de a Impiedica alte organizatii de a submina sau reprezenta gresit „brandul” AMTSO. (Este foarte probabil ca la urmatorul workshop din Februarie sa predomine teme asemanatoare). Actualizarile false de Windows nu sunt nimic nou dar luna aceasta a fost o crestere abrupt; asemenea falsuri tind sa fie asociate cu URL-uri nocive decat cu atasamente nocive.

Noiembrie

Incercarile folosirii “Some Other Dude Did It” (SODDI) –“altcineva este de vina”- sau “Trojan Defense” drept o posibilitate de evitare a vinovatiei pentru Incalcarea unor legi cu privire la computere au ajuns In ochiul public mai ales In contextul pedofiliei. O serie de atacuri malware asupra iPhone-urilor decodate a exploatat o vulnerabilitate ce i-a afectat pe utilizatorii unor astfel de telefoane. Pe termen lung totusi, atitudinea de nepasare a Apple Isi va spune cuvantul asupra comunitatii per ansamblu.

O companie ce comercializa PC-uri In Australia a oferit computere „nevirusabile”: desi compania a fost evaziva cu privire la natura acestei caracteristici se pare ca este vorba de o partitie „Intarita” ce foloseste un sistem de operare diferit de Windows, In locul partitiei obisnuite de Windows pe care utilizatorii ar gasi-o necesara dar In acelasi timp vulnerabila la multe operatiuni de rutina tipice utilizarii acestei platforme.
Un sondaj realizat sub sloganul “Securing our eCity” a descoperit cateva lucruri nelinistitoare cu privire la perceptia comunitatii asupra criminalitatii cibernetice si problemelor de securitate. ESET a obtinut un punctaj destul de bun Intr-un test de performanta comandat de catre un alt competitor si s-ar fi descurcat si mai bine daca s-ar fi folosit metode mai apropiate de scenariul real de utilizare al computerului pentru masurarea ocuparii memoriei, asa cum a scos in evidenta Andrea Kokavcova la http://www.eset.com/threat-center/blog/2009/11/16/what-a-performance.

Noul sistem de operare Chrome de la Google, desi Inca In dezvoltare, a atras atentia industriei datorita potentialului sau de atenuare a atacurilor malware. Un brevet detinut de Qinetiq a fost aclamat de catre “New Scientist” drept sfarsitul problemei “virusilor”. La o examinare mai detaliata am descoperit ca , desi exista cateva idei interesante In acest proiect, personalul ESET nu va ramane Inca pe drumuri.

Decembrie

Randy a trimis la PayPal o notificare care scotea In evidenta faptul ca o parte din mailurile acestora semanau prea mult cu phishing. Acestia trebuie sa fi fost de acord din moment ce au „confirmat” ca propriul mail este un astfel de phish. Desi au Incercat sa minimalizeze cat mai mult aceasta situatie, In cele din urma, o mare parte din comunitatea celor care activeaza in domeniul securitatii IT a fost de acord cu Randy.

ESET a lansat catre public versiuni beta ale produselor sale pentru OS X si Linux desktop, si al 150-lea episod din Podcast-ul propriu Malware Report, prezentat de Randy la http://www.eset.com/threat-center/blog/2009/12/04/malware-report-podcast-marcus-sachs%e2%80%99-take-on-cybersecurity. Motorola Droid a fost “rootat”, o tehnica pentru eludarea listei de aplicatii permisa de vanzator asemanator cu decodarea iPhone/iPod. si mai multe Intrebari au fost puse cu privire la Facebook si securitatea informatiilor confidentiale iar alte intrebari au avut ca tinta folosirea de catre institutiile financiare a datelor publice drept autentificare precum si despre informatiile date direct de catre clienti acestor institutii . (http://www.eset.com/threat-center/blog/2009/12/14/your-data-and-your-credit-card).

Cercetatorii de la ESET Latin America si ESET LLC si-au unit fortele (asa cumo fac de obicei) pentru a discuta si analiza un val de malware ce se pretind drept clipuri video cu atacul asupra primului ministru italian Silvio Berlusconi (http://www.eset.com/threat-center/blog/2009/12/15/fake-videos-of-berlusconi-attack). Randy ne-a amintit sa actualizam la XP SP3 daca vrem sa beneficiem de suport Microsoft si dupa Iulie 2010, si a comentat despre numirea lui Howard Schmidt In funtia de Coordinator Cybersecurity pentru Casa Alba. Apararea “SODDI” a reaparut, de data aceasta pe contextul spargerii contului de email al Sarah Palin (http://www.eset.com/threat-center/blog/2009/12/24/grasping-at-straws-did-malware-hack-palins-email-account).

Ce ne pregateste 2010?

Echipele de cercetare ESET Latin America si ESET LLC si-au pus mintile la contributie pentru a discuta viitoarele 12 luni In materie de securitate si cybercrime (si cyberwarfare, ca sa folosim unul din noile cuvinte cu lipici). Randy
a scris cateva ganduri pe aceasta tema la http://www.eset.com/threat-center/blog/2009/12/14/que-sera-sera-%e2%80%93-a-buffet-of-predications-for-2010 iar ESET Latin America a publicat cateva ganduri proprii (In Spaniola) la http://eset-la.com/centro-amenazas/2256-tendencias-eset-malware-2010.

Acestea fiind spuse, In continuare, un mic sumar al concluziilor la care am ajuns Impreuna. (O lucrare despre “2010: Cybercrimele se Maturizeaza”, ce combina cele doua resurse In engleza se pregateste In aceasta perioada si va fi disponibila la http://www.eset.com/download/whitepapers.php In urmatoarele saptamani.)

1. Atacurile de inginerie sociala vor continua sa predomine, iar atacurile bazate pe vulnerabilitatile sistemelor de operare vor Incepe sa scada deoarece din ce In ce mai multe persoane vor trece la sisteme de operare mai sigure. Deocamdata vulnerabilitatile din aplicatii reprezinta o problema majora dar In timp acest aspect se va ameliora deoarece producatorii vor invata sa-si Imbunatateasca controlul calitatii si metodele de actualizare. Windows 7 va contribui la declinul gradat al INF/Autorun si amenintarilor asociate.

2. Situatii de actualitate ca sarbatorile publice, stiri reale sau fabricate, evenimente de Inalt interes ca si Cupa Mondiala si preocupari de durata ca economia nationala sau globala vor fi folosite ca unelte In atacurile de inginerie sociala.

3. In timp ce atacurile asupra telefoanelor iPhone decodate vor afecta din ce In ce mai putine persoane deoarece acestia vor realiza de unde apar aceste atacuri, se va Inregistra o crestere In sondarea telefoanelor mobile dupa vulnerabilitati exploatabile precum si oportunitati de folosire ale ingineriei sociale asa cum s-a descris mai sus.

4. Se ve apune accentul pe izolarea proprietarilor de sisteme infectate pana cand acestia vor actiona pentru remedierea situatiei.

5. Bresele de securitate vor continua sa creasca In importanta iar eficienta securitatii implementate In procesarea de date “In the Cloud”, cel putin pe termen scurt, va varia destul de mult.

6. Se va folosi din ce In ce mai mult software falsificat pentru a stoarce bani, iar plaja de aplicatii care vor fi falsificate va trece dincolo de software-ul de securitate.

7. Malware ca Serviciu – o tendinta ce va reflecta din ce In ce mai mult modelul specialistilor ce colaboreaza In lumea legitima a afacerilor.

8. Se vor folosi din ce In ce mai multe limbaje superioare de programare pentru a putea purta coduri daunatoare pe mai multe platforme.

9. Retelele sociale vor fi tintite din ce In ce mai mult, atat pentru atacurile de inginerie sociala cat si pentru verificarea vulnerabilitatilor.

10. Se vor face cercetari suplimentare si de asemenea se vor opera atacuri asupra mediilor de virtualizare desi eficienta lor este pusa sub semnul Intrebarii.

11. Phishing si atacuri asemanatoare asupra gamerilor online vor continua sa reprezinte un pericol mare desi atacurile asupra consolelor se vor solda probabil cu succese limitate.

12. Atacurile ce manipuleaza conexiunile wireless vor continua sa Infloreasca.

13. Atat infractorii cibernetici cat si afacerile legitime vor sonda dupa date din cat mai multe resurse, exploatand interoperabilitatea dintre furnizorii de retele sociale. Impartasirea de date In sectorul privat va reprezenta un pericol In crestere pana se va realiza nevoia de reguli mai stricte de protectie asa cum exista In retelele din sectorul public, mai ales in Europa.

14. Out-and-out crimeware va reprezenta forma cea mai folosita de malware, datorita potentialului sau de a genera profit.

15. Subversiunea unor site-uri web legitime si folosirea retelelor sociale drept vector de atac vor continua sa fie activitati infractionale de succes. Este foarte probabil sa vedem pe viitor o folosire din ce In ce mai mare a acestor retele ca mod de administrare a infrastructurilor ilicite folosite de retele organizate de afaceri (precum botnet), dar si o exploatare mai directa prin malvertising.

16. Atacurile cu tinte clare (spear-phishing, whaling) vor reprezenta o amenintare semnificativa desi subestimata.