Internett-angrep for pengenes skyld

Enda en rapport bekrefter at Internett-angrep mer og mer dreier seg om økonomisk vinning.

IT-sikkerhetsselskapet Symantec offentliggjør i dag niende utgave av trusselrapporten Internet Security Threat Report, som dekker perioden 1. juli til 31. desember 2005. Den halvårlige rapporten bekrefter at økonomisk vinning er motivet bak stadig flere angrep mot Internett. Tidligere var hærverk det vanlige motivet. Nå dreier det seg om svindel, helst uten at offeret merker hva som er i ferd med å skje.

– Internett-basert kriminalitet utgjør den største trusselen mot en internettbasert livsstil i dag, både for privatpersoner og selskaper, sier Henrik Amundsen Vaage i Symantec Norge. – Ved å se alle disse trendene i sammenheng får vi i Symantec en unik innsikt i hvordan kriminaliteten på internett ser ut, og hvordan den kan forebygges.

I forrige utgave av Internet Security Threat Report advarte Symantec om at tendensen med ondsinnet kode i vinnings hensikt var økende. Denne tendensen har holdt seg gjennom andre halvår av 2005. Ondsinnet kode som er en trussel mot konfidensiell informasjon har i denne perioden økt fra 74 prosent til 80 prosent av de 50 vanligste kodeeksemplene.

Rapporten viser også en stigende trend i angrep via kaprete PC-er i såkalte bot-nettverk, via spesialtilpasset ondsinnet kode og i fokuserte angrep på webapplikasjoner og nettlesere. Med bakgrunn i denne og tidligere rapporter forventer Symantec å se mer varierte og sofistikerte kriminelle angrep, og en økning i tyveri av konfidensiell, finansiell og personlig informasjon der målet er økonomisk vinning, heter det i selskapets pressemelding.

Norge er nå nummer 14 på listen over de hyppigste opphavslandene til Internett-angrep i området Europa, Midt-Østen og Afrika. Det er bak land som Storbritannia, Tyskland og Frankrike, som tar de tre øverste plassene, og bak Sverige som tar 10. plassen. På verdensbasis er USA fortsatt desidert største opphavsland, Kina er nå nummer to og Norge på 25. plass, foran folkerike stater som Russland og India.

Nettkriminaliteten vokser nå gjennom bruk av «crimeware», det vil si programvareverktøy som er utviklet for å gjennomføre nettsvindel og stjele informasjon fra forbrukere og bedrifter. Som nevnt i forrige utgave av Symantecs trusselrapport er det færre massive og bredt anlagte angrep mot tradisjonelle sikkerhetsenheter som brannvegger og rutere. I stedet rettes angrep på regionale mål, enkeltmaskiner og webapplikasjoner som kan gi tilgang til personlig, finansiell og konfidensiell informasjon, det vil si informasjon som i sin tur kan brukes til økonomisk motivert kriminalitet.

Programmer som gir angripere uautorisert tilgang til datamaskiner, kjent som bots, bidro også til økningen i nettkriminaliteten. Selv om antall datamaskiner infisert av bots sank med 11 prosent i perioden, til et gjennomsnitt på 9 163 identifiserte smittede maskiner hver dag, ble bot-nettverkene større grad brukt til kriminell aktivitet, for eksempel utpressingsforsøk basert på tjenestenektangrep («denial of service»).

I snitt registrerte Symantec 1 402 DoS-angrep hver dag, en økning på 51 prosent siden siste periode. Symantec forventer at denne økningen vil fortsette i takt med økt utnyttelse av stadig flere sårbarheter i webbaserte applikasjoner og nettlesere.

I den foregående rapporten antok Symantec at angrepene rettet mot webapplikasjoner kom til å øke. I siste rapportperiode var hele 69 prosent av de innrapporterte sårbarhetene relatert til webapplikasjoner, en økning på 15 prosent. Webapplikasjoner bruker en nettleser som brukergrensesnitt og er dermed et utsatt mål for angrep fordi de baserer seg på tilgang til allment tillatte protokoller som HTTP.

Symantec har også observert en økning av modulbasert ondsinnet kode. Dette er kode som i utgangspunktet har svært begrenset funksjonalitet, men som laster ned nye og mer ødeleggende funksjoner så snart den har infisert et system. Slik modulbasert kode er ofte en trussel mot konfidensiell informasjon som kan bli brukt i identitetstyveri, kredittkortsvindel og annen kriminalitet. I løpet av de siste seks månedene i 2005 sto slik kode for 88 prosent av de ondsinnede koden på Symantecs topp 50 liste for ondsinnet kode, i forrige periode var tallet 77 prosent.

Andre viktige funn fra rapporten:

  • Kina opplevde den største økningen i bot-infiserte maskiner, med en økning på 37 prosent, 24 prosentpoeng over den generelle økningen. Dette gjør at Kina kommer på en andreplass, etter USA, i antallet bot-infiserte maskiner. Den store økningen i Kina skyldes trolig en høy økning i antallet datamaskiner med bredbåndstilknytning i landet. Også som avsenderland for angrep var økningen størst i Kina: I den siste perioden var økningen på 153 prosent, 72 prosentpoeng over den gjennomsnittlige økningen. Bots kan være en voksende kilde til denne økningen.
  • Phishing, dvs. forsøk på å lure brukerne til å gi fra seg konfidensiell informasjon, fortsatte å øke i andre halvår av 2005 og fokuserer nå på mindre, regionale mål. I rapportperioden identifiserte Symantec 7,92 millioner phishing-forsøk per dag. Dette er en økning fra 5,7 millioner daglige forsøk i forrige periode. I tiden som kommer forventer Symantec en økning i antallet phishing-henvendelser og ondsinnet kode som spres gjennom lynmeldingstjenester.
  • Symantec dokumenterte 1 895 nye sårbarheter, dette er det høyeste antallet siden 1998. Av disse ble så mye som 97 prosent ansett som middels til svært alvorlige, og 79 prosent ble ansett som lette å utnytte.
  • For å underbygge viktigheten av rask patching eller sikkerhetsoppdatering av operativsystemer og applikasjoner, har Symantec analysert tiden det tok for en angriper å bryte seg inn i et nyinstallert system i standardanvendelser som webservere eller skrivebordsmaskiner. På serversiden var Windows 2000 Server uten sikkerhetsoppdateringer den enkleste å bryte seg inn i, mens en fullt oppdatert Windows 2003 Web Edition samt både oppdatert og uoppdatert RedHat Enterprise Linux 3 ikke lot seg kompromittere. Blant skrivebordssystemene var Microsoft Windows XP Professional uten oppdateringer det enkleste å bryte seg inn i, mens samme system fullt oppdatert i likhet med SuSE Linux 9 fikk stå i fred.
  • Med økningen i mengden av oppdagete sårbarheter har Symantec også målt hvor hurtig organisasjonene kunne oppdatere sårbare systemer. I denne rapportperioden tok det i gjennomsnitt 6,8 dager fra en svakhet ble oppdaget til det var lansert kode som utnyttet sårbarheten, i siste periode var gjennomsnittstiden 6 dager. Samtidig tok det hele 49 dager fra en sårbarhet var oppdaget og til en oppdatering ble gjort tilgjengelig fra leverandøren. Dette betyr med andre ord at bedrifter og enkeltbrukere i gjennomsnitt er sårbare i 42 dager, noe som illustrerer behovet for å ta andre forholdsregler så raskt som mulig. Symantec forventer at det blir en økt kommersialisering av letingen etter sårbarheter i systemer, med stadig flere svartebørsmarkeder hvor informasjon om sårbarheter omsettes for kriminelt bruk.
  • En liten økning i nye varianter av Win32 virus og ormer ble dokumentert i perioden, totalt 10 992 i denne perioden mot 10 866 i forrige periode. Det er en markant nedgang i de alvorlige truslene (kategori 3 og 4, middels til svært alvorlige), og en tilsvarende økning i de mindre alvorlige truslene (kategori 1 og 2, svært lav og lav). Antallet nye Win32 virusfamilier og ormer minsket med 39 prosent, fra 170 nye familier i første halvår av 2005 til 104 nye i andre halvår. Dette kan være en indikasjon på at utviklere for tiden velger å modifisere kode som allerede er i sirkulasjon fremfor å utvikle nye trusler.

Rapporten bygger på opplysninger hentet fra følgende kilder:

  • Symantecs DeepSight Threat Management System og Managed Security Services, med 40 000 sensorer som overvåker nettverksaktiviteten i mer enn 180 land.
  • Symantecs antivirusløsninger: mer enn 120 millioner klient, server og gateway-systemer som har installert Symantecs antivirusprodukter, rapporterer om ondsinnet kode, spion- og reklameprogrammer.
  • En sårbarhetsdatabase med over 13 000 sårbarheter som påvirker mer enn 30 000 ulike teknologier fra over 4 000 leverandører
  • BugTraq, et forum for avsløring og diskusjon rundt sårbarheter på Internett, med over 50 000 abonnenter.
  • Symantec Probe Network, et system med mer enn 2 millioner falske kontoer, som tiltrekker seg e-post fra over 20 ulike land, og som gir Symantec muligheten til å måle den globale aktiviteten på spam og phishing.

Symantecs trusselrapport Internet Security Threat Report kan lastes ned fra selskapets nettsted.

    Les også:

Til toppen