Bedre Windows hjalp på sikkerhet

IT-trusselene øker, både fra kjente og nye hold, viser tall fra Symantec. Men Microsoft får et klapp på skulderen.

Symantec har for syvende året på rad offentliggjort sin halvårlige "Internet Security Threat Report".

Rapporten er laget med data fra et stort antall Symantec-systemer og brukere. I tillegg fra data som Symantecs produkter sender tilbake, driver selskapet Symantec Probe Network, et system på over 2 millioner “lokkeduer” som tiltrekker seg e-postmeldinger fra 20 forskjellige land.

Her er Symantecs rapport:

Tryggere Windows XP gir færre bot-nett

Noen trusler viser faktisk også synkende tendens i den nye sikkerhetsrapporten. Det høye antallet koordinerte angrep fra såkalte bot-nett som ble observert i første halvår av 2004 har derimot gått kraftig ned, fra 30 000 identifiserte systemer daglig i første halvår 2004 til under 5 000 per dag i annet halvår. Bot-nett er store grupper datamaskiner som ”overtas” og fjernstyres av en angriper, ofte for å gjennomføre overbelastningsangrep mot en enkelt adresse og uten at den angrepne brukeren merker noe.

– Nedgangen i bot-nett kan spores til 19. august i fjor, noe som sammenfaller bra med lanseringen av Microsoft Windows XP Service Pack 2, sier Henrik A. Vaage, Country manager i Symantec Norge. – Det er grunn til å tro at denne oppdateringen har en del av æren for den kraftige reduksjonen av antall bot-nett.

Hovedfunn

Økning i trusler mot konfidensiell informasjon: Gjennom tre rapporteringsperioder har trusler som potensielt kan avsløre konfidensiell informasjon hatt en jevn økning. Mellom 31. juli og 21. desember 2004 sto fiendtlig kode med formål å avsløre konfidensiell informasjon for 54 prosent av de 50 mest innrapporterte kodeeksemplene til Symantec. Det er en økning på 44 prosent i forhold til første halvår 2004 og 36 prosent i forhold til annet halvår 2003. Dette skyldes delvis utbredelsen av trojanske hester. Mellom 1. juli og 31. desember 2004 sto trojanske hester for 33 prosent av de 50 hyppigst innrapporterte tilfellene av fiendtlig kode.

Jevn økning i Phishing-angrep:

Som forutsagt i forrige utgave av Internet Security Threat Report øker antallet phishing-angrep. Phishing er en måte å stjele konfidensiell informasjon på: for eksempel passord, kredittkortnummer og annen finansiell informasjon. Ved utløpet av desember 2004 blokkerte Symantec Brightmail AntiSpam og anti-svindel filtrene i gjennomsnitt 33 millioner phishing-forsøk per uke, en gjennomsnittsøkning på ni millioner per uke i juli 2004. Det betyr en økning på 366 prosent. Symantec regner med at phishing forblir en alvorlig trussel hele neste år.

(red. anm: Phising-angrep rammer i mindre grad norske brukere)

Flere angrep mot webapplikasjoner:

Webapplikasjoner er populære mål fordi de har stor utbredelse og kan tillate angripere å omgå tradisjonelle inntrengningsvern som brannmurer. De er en alvorlig bekymring fordi de kan gi angripere tilgang til konfidensiell informasjon uten å bryte inn i hver enkelt server. Nærmere 48 prosent av alle sårbarheter som ble dokumentert mellom 1. juli og 31. desember 2004 var sårbarheter i webapplikasjoner. Det er betydelig økning på 39 prosent fra forrige periode.

Økende antall varianter av Windows-rettede virus og ormer:

På grunn av den store utbredelsen av Microsoft Windows operativsystem i bedrifter og hos forbrukere er Windows 32-virus og ormer en alvorlig trussel mot sikkerhet og integritet i IT-verdenen. Fra 1. juli til 31. desember 2004 dokumenterte Symantec over 7 360 nye varianter av Windows 32-rettede virus og ormer. Det er en økning på 64 prosent i forhold til forrige halvår. Per 31. desember 2004 var antall dokumenterte Windows 32-trusler inkludert alle varianter nærmere 17 500. Fordi følgende av å slippe disse truslene gjennom sikkerhetssystemet kan resultere i betydelig økonomisk tap, må bedrifter og privatpersoner bruke stadig mer ressurser på stadig hyppigere oppdateringer av sine antivirusdefinisjoner.

Økning i alvorlige, lett utnyttbare og fjernkontrollerbare sårbarheter:

Mellom 1. juli og 31. desember 2004 dokumenterte Symantec over 1403 nye sårbarheter. Det er over 54 nye sårbarheter hver uke eller nær åtte nye hver dag. Av disse er 97 prosent ansett for å være middels til meget alvorlige. Det vil si at utnyttelse av sårbarheten kan føre til hel eller delvis kompromittering av det angrepne systemet. 70 prosent av disse anses dessuten for lette å utnytte, det vil si at spesialtilpasset kode ikke er nødvendig for å utnytte sårbarheten, eller at slik kode er åpent tilgjengelig. Enda mer alvorlig blir dette problemet fordi nær 80 prosent av alle dokumenterte sårbarheter i denne perioden kan fjernopereres, noe som øker antall mulige angripere.

Angrepstrender

For tredje rapporteringsperiode på rad er det Microsoft SQL Server Resolution Service Stack Overflow Attack (tidligere kjent som Slammer) som er mest vanlig og brukt av 22 prosent av alle angripere. Nest mest brukte angrep var TCP SYN Flood Denial of Service Attack, som ble brukt av 12 prosent av angriperne. Organisasjonene opplevde 13,6 angrep hver dag, en økning fra 10,6 i forrige halvår. USA er fortsatt største angrepskilde, fulgt av Kina og Tyskland. Finanssektoren opplevde høyest antall angrep, med 16 alvorlige tilfeller per 10 000 sikkerhetshendelser.

Sårbarhetstrender

Tiden fra en sårbarhet publiseres til en tilpasset utnyttelseskode slippes er fortsatt meget kort på 6,4 dager. Symantec dokumenterte 1 403 nye sårbarheter, en økning på 13 prosent i forhold til forrige halvår. 97 prosent av de dokumenterte sårbarhetene anses middels til svært alvorlige. I tillegg klassifiseres 70 prosent av alle dokumenterte sårbarheter som lette å utnytte. Sårbarheter i webapplikasjoner utgjorde 48 prosent, en økning på 39 prosent i første halvår. Sårbarheter rettet mot webapplikasjoner klassifiseres ofte som enkelt utnyttbare. Sårbarheter rammer nå også alternative nettleserutgaver. I løpet av annet halvår i 2004 ble 21 sårbarheter i Mozilla-nettleseren avdekket, sammenlignet med 13 sårbarheter i Microsoft Internet Explorer. Seks sårbarheter ble rapportert i Opera.

Trender i fiendtlig kode

På samme måte som i tidligere rapporter, dominerer massemailende ormer mengden av fiendtlig kode som er rapportert i siste halvår i 2004. Åtte av de ti hyppigst innrapporterte prøvene Symantec har mottatt i perioden var massemailende ormer kjent fra tidligere rapporter, blant annet Netsky, Sober, Beagle og MyDoom. To bot’er opptrådte blant de ti mest populære kodeprøvene, sammenlignet med bare en i forrige rapportperiode. Gaobot var tredje hyppigst rapporterte prøve siste halvår. Symantec dokumenterte over 7 360 nye Windows 32 virus og ormer, en økning på 64 prosent i forhold til halvåret før og en økning på over 332 prosent i forhold til de 1 702 som ble dokumentert i annet halvår 2003.

Per 31. desember 2004 var antall dokumenterte Windows 32-trusler inkludert alle varianter nærmere 17 500. Fiendtlig kode som kan avsløre fortrolig informasjon utgjorde 54 prosent av de 50 viktigste kodeprøvene, en økning fra 44 prosent i forrige periode og 36 prosent i annet halvår 2003. Det er en økning på 23 prosent i forhold til første halvår 2004 og 50 prosent økning i forhold til samme periode forrige år. Ved slutten av rapportperioden var 21 eksempler på fiendtlig kode beregnet på mobile applikasjoner kjent, mot én – Cabir-ormen – i juni 2004. Blant de nye truslene var Duts-viruset, som er første trussel mot Windows CE, og Mos-trojaneren, som ble oppdaget i et Symbian-spill.

Andre sikkerhetstrusler

I annet halvår 2004 utgjorde adware-programmer fem prosent av de femti hyppigst innrapporterte truslene til Symantec, opp fra fire prosent i forrige rapport. “Iefeats” var hyppigst innrapporterte adware-program; dette programmet sto for 36 prosent av de ti mest rapporterte spyware-tilfellene. Fem av de ti rapporterte adware-tilfellene ble installert via nettleser. Ni av de ti viktigste spyware-programmene kom sammen med annen programvare.

Symantec rapporterte 77 prosent økning i spam eller uønskete e-postmeldinger i perioden: Uketotalen av spam økte fra i gjennomsnitt 800 millioner spam-meldinger hver uke i forrige periode til over 1,2 milliarder spam-meldinger per uke ved utløpet av rapportperioden. Hos bedrifter som benytter Symantecs anti-spamovervåkning ble 60 prosent av all e-posttrafikk identifisert som spam og fjernet i denne perioden.

Kommende trusseltrender

Bruk av bots og botnett for økonomisk vinning ventes å øke igjen, spesielt ettersom tilgangen på bot-utviklingsverktøy øker. Fiendtlig kode rettet mot mobilt utstyr ventes å øke både i antall og trusselnivå. Mange grupperinger forsker nå på sårbarheter i Bluetooth-utstyr, derfor er spredning av ormer eller andre former for fiendtlig kode en økende fare også her. Symantec venter at klient-side angrep ved hjelp av ormer og virus som spredningsmetode vil bli mer vanlig. Angrep gjemt i lyd- og bildemeldinger forventes å øke. Dette er bekymringsfullt fordi bildefiler er utbredt, ansett for pålitelige og integrert i dagens IT-hverdag. Symantec venter at også sikkerhetstrusler forbundet med spyware og adware vil øke. Kommende lovgivning for å begrense disse truslene forventes ikke å få effektiv innvirkning alene.

Til toppen