A VirusBuster összefoglalója 2010 második negyedévének IT-biztonsági trendjeiről - IV.

6. Folt hátán folt Bőséggel kaptak biztonsági frissítéseket a legelterjedtebb szoftverek az elmúlt hónapokban is. A következőkben röviden, időrendben a legfontosabb foltokat tekintjük át. Előrebocsátjuk: trend értékű volt az Adobe-nak az a negyedév folyamán elhangzott bejelentése, miszerint elképzelhető, hogy a mostani 90-ről 30 napra rövidítik a Reader és az Acrobat biztonsági frissítési ciklusát. Alig egy éve tért át az Adobe a népszerű PDF-programok rendszeres, negyedéves foltozására. Azóta háromhavonta, mindig a hónap második keddjén -- a Microsoft aktuális foltozó keddjéhez igazítva -- bocsátja ki biztonsági frissítéseit. Az utóbbi hónapokban azonban annyi sérülékenységre derült fény, hogy a jelek szerint a nagy ügyfelek növekvő nyomást gyakorolnak az Adobe-ra: pörgesse fel foltozóciklusát. Brad Arkin, a cég termékbiztonsági és adatvédelmi vezetője úgy nyilatkozott: egyik lehetőségként fontolóra vették a havi frissítési ciklus bevezetését. Hozzátette: ha a helyzet megköveteli, ma már az Adobe akár 15 nap alatt is ki tud rukkolni -- soron kívüli -- folttal. Szerepel a tervekben az is, hogy az Adobe Reader és Acrobat mellett más termékekre -- így a Flashre és a Shockwave-re -- is kiterjesszék a rendszeres frissítést. Azt nem tudni: ezekre a programokra is bevezetnék-e a PDF-es szoftvereknél már alkalmazott automatikus frissítési mechanizmust. Április Tizenegy biztonsági frissítést bocsátott ki április 13-ai foltozó keddjén a Microsoft. A foltok a Windows, az Office és az Exchange összesen 25 sérülékenységét orvosolták. A 11 javítócsomagból öt "kritikus", öt "fontos", egy pedig "mérsékelten fontos" minősítést kapott. Utóbb az egyik, csak Windows 2000 Server felhasználókat érintő foltot (az MS10-025-öst) visszavonta a szoftveróriás. Nemcsak a Microsoft bocsátott ki biztonsági frissítéseket április 13-án. Így tett az Oracle és az Adobe is. Ami az Oracle-t illeti, a cég áprilisban másodszor rukkolt ki foltsorozattal, s összesen 47 rést tömött be. A foltozás persze kiterjedt a nemrég felvásárolt Sun portfolióra is. Így a 47-ből 16 hibát a most Oracle Solaris névre hallgató termékegyüttesben javítottak. Ezek közül nyolc felhasználó-azonosítás nélkül, távolból kiaknázható sérülékenység volt. Nyolc folt került az Oracle e-business szoftverére, egy az Oracle Collaboration csomagra, öt pedig az Oracle Fusion Middleware-re. Emellett a cég az Oracle PeopleSoft/JD Edwards EnterpriseOne csomag négy, valamint az Oracle Industry Applications együttes hat hibáját is kijavította. (Ugyancsak áprilisban menetrenden kívül biztonsági frissítést is kibocsátott az Oracle, hogy orvosolja a Java virtuális gép egy kritikus sérülékenységét.) A hónap foltozó keddjén jelentkezett javításaival az Adobe is, amely a Reader és az Acrobat 15 sérülékenységét orvosolta. A cég egyszersmind bevezette október óta tesztelt automatikus frissítési funkcióját. Ennek köszönhetően a windowsos gépek felhasználói beállíthatják, hogy Readerjük, illetve Acrobatjuk automatikusan, beavatkozásuk nélkül fogadja a frissítéseket. Az Apple áprilisban a MacOS X és a MacOS X Server 10.5-ös, illetve 10.6-os változatának sérülékenységét orvosolta. A Type Services komponens résén át támadó hacker a távolból a saját kódját hajthatta végre a megcélzott gépen. Május Májusi foltozó keddjén -- 11-én -- a Microsoft mindössze két biztonsági frissítést bocsátott ki. A foltok a Windows, illetve az Office egy-egy sérülékenységét orvosolták. Mindkét folt "kritikus" minősítést kapott. A szoftveróriás egyszersmind -- nem először -- felhívta a figyelmet arra: július 13-ával megszűnik a Windows 2000 és a Windows XP SP2 platform támogatása. A felhasználók csak akkor kaphatják tovább a biztonsági frissítéseket, ha támogatott operációs rendszerre vagy a legfrissebb szervizcsomagra (SP-re) térnek át. Június A negyedév utolsó foltozó keddjére -- június 8-ára -- tíz Microsoft biztonsági frissítés jutott. A foltok összesen 34 rést tömtek be. A tíz javítócsomagból három "kritikus", hét "fontos" minősítést kapott. A Windowshoz hét, az Office-hoz három, az Internet Explorerhez, a Microsoft szerver szoftveréhez és .NET keretrendszeréhez egy-egy biztonsági frissítés szolgál. Június végén soron kívül legalább 17 rést tömött be népszerű PDF-szoftverein az Adobe. Windows, Mac és Linux platformon egyaránt kijavította a cég az olvasószoftvernek egy sérülékenységét, amelyet kiaknázva egy esetleges támadó rosszindulatú programot telepíthetett a célba vett gépre -- feltéve, hogy az áldozat előzőleg megnyitott egy csalidokumentumot. Ugyanezt a hibát körülbelül három héttel korábban a Flash Playerben már orvosolta az Adobe. Akkor a megkezdődött támadások miatt szintén soron kívüli frissítést bocsátott ki a cég. Ugyancsak orvosolták azt a sérülékenységet, amelynek révén a hackerek -- visszaélve a PDF specifikáció egy pontjával -- rosszindulatú kódot ágyazhattak egy dokumentumba, majd az Adobe Readerrel, Acrobattal vagy a konkurens FoxIT Readerrel végrehajtathatták azt. A szoftvert emiatt úgy módosították, hogy alapértelmezésben ne futtathasson le programkódot. Megváltoztatták a felhasználókat figyelmeztető párbeszédpanelt is, hogy elejét vegyék bizonyos, már ismert hacker-trükköknek. 7. "Kiemelkedő" kártevők Melyek voltak egyébként az elmúlt negyedév leggyakoribb kártevői a magyar neten? Nos, a VirusBuster folyamatosan nyilvántartást vezet az észlelt károkozókról. A cég szakemberei kiértékelik a cég házon belüli, illetve különböző helyeken működtetett levelezésvédő rendszereinek "fogását", figyelik a freemailes levelek által hordozott vírusokat. Az adatokból hónapról hónapra toplistát készítenek, s ezek a havi statisztikák a cég honlapján is megjelennek (http://www.virusbuster.hu/labor/virus-toplista). A mintaforrásokat súlyozottan összesítve a 2010. április-június időszakra az alábbi kártevő-gyakorisági lista állt elő: Kártevő (Részesedés, %) Backdoor.Nepoe.IF (22.63%) Trojan.Wigon.AE (11.78%) Trojan.DR.Agent.WQBB (7.91%) Trojan.Kryptik.QGV (5.24%) Backdoor.Nepoe.DL (4.23%) Trojan.Meredrop.ZXX (3.81%) Worm.Rbot.MCG (3.12%) Trojan.DR.Inject.WFA (2.86%) Trojan.FakeAlert.CHH (2.62%) TrojanSpy.Bredolab.CCA (2.40%) Egyéb (33.40%) A második negyedévnek informatikai biztonsági szempontból (is) a júniusi labdarúgó világbajnokság adott egyedi hangulatot -- kommentálta az elmúlt hónapok fogását Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője. -- Számítottunk rá, hogy a számítógépes bűnözők kihasználják majd a VB iránti felfűtött érdeklődést. Így is történt. Valósággal áradtak az olyan üzenetek, amelyek egy állítólagos FIFA-hírt használtak csalétkül. Ezzel igyekeztek rávenni a címzettet: nyissa ki a levél csatolmányát. Persze a mellékelt küldeményben szinte mindig valamilyen kártevő lapult." Erőteljesen jelen voltak az e-mailben küldözgetett Javascript letöltő kártevők, amelyek spamet és trójaiakat egyaránt terjesztettek -- tette hozzá a szakember. Emellett -- mint világszerte -- szakadatlanul ostromolták a magyar felhasználókat is a botnetekhez és a hamis antivírus alkalmazáshoz köthető kártevők. Az utóbbiak a gép megtisztításával kecsegtetnek, ám valójában vagy semmit nem végeznek -- ez a jobbik eset --, vagy valamilyen kártékony tevékenységbe fognak. Akárhogy is, készítőik pénzt kérnek értük -- vagyis (csalárd) üzleti vállalkozásról van szó. Mégpedig nem is akármilyenről. Hogy mennyi pénzt hozhat ez az üzletág a bűnözők konyhájára, jól jelzi, hogy -- egy nemrég kezdődött amerikai bírósági tárgyalás vádirata szerint -- egy nemzetközi trió több mint 100 millió dollárt zsebelt be ilyen szoftver árusításából. Már nagyjából minden hetedik rosszindulatú program, amivel a Google találkozik a világhálón, a hamis vírusirtók családjába tartozik -- közölte nemrég a keresőóriás egy konferencián. Tavaly január és idén február között összesen 240 millió weblapot elemzett a Google, s közülük nem kevesebb, mint 11 ezerről derült ki, hogy hamis antivírus programot terjeszt. A Google kutatói a vizsgált időszakban hétről hétre több hamis vírusirtót terjesztő domainnel találkoztak. Míg tavaly január első hetében 93 különböző csalárd antivírus domaint észleltek, idén január utolsó hetében már 587 volt a számuk. Napjaink elterjedtebb kártevőit alkotóik weboldalakon keresztül (is) folyamatos frissítik. A kártevők felismerésének biztosítása érdekében más víruslaborokhoz hasonlóan a VirusBuster is folyamatosan nyomon követi ezeket a webhelyeket. A gyakori frissítések miatt természetesen csak generikus felismerési módszerekkel kezeljük őket, az utánkövető feldolgozás nem szolgálná a felhasználók érdekeit. Íme április-június legaktívabb kártevő-terjesztő domainjei: Domain - Földrajzi hely - Kártevő-család host127-0-0-1.com - Shalimar, USA - Swizzor screenblaze.com - Trinity, USA - Trojan.DL.Delphi.BSO cfteam.net - Szöul, Dél-Korea - Virut, Adware.Cashplus host192-168-1-2.com - Shalimar, USA - Swizzor rapidshare.com - Alureon, TDSS, OnlineGames fileave.com - Worm.DR.Rebhip.Gen, Banker 8i9i.com - Jinan, Kína - Adware.Cinmus hpg.com - Raleigh, USA - Banker 3322.org - Peking, Kína - Trojan.Servstart, OnlineGames uol.com - Sao Paolo, Brazília - Banker Mint a táblázatból kitűnik, a hagyományosan terjesztett, régi ismerős reklámterjesztő kártevők (adware-ek) -- mint a Swizzor és a Cinmus -- mellett nagyobb tömegben jelentek meg a banki jelszólopó trójaiak is. Szokás szerint a domainoknak otthont adó országok tekintetében ebben a negyedévben is az Egyesült Államok és Kína vezet.