Virtuális világból valós veszélyek - VirusBuster-áttekintés 2010. 3. negyedévéről - 4. rész

7. Folt hátán folt Bár a korábbi időszakra vonatkozik, csak a harmadik negyedévben jelenhetett meg az adat: csaknem annyi sérülékenységet regisztráltak 2010 első felében, mint a teljes tavalyi évben együttvéve. Mint a Secunia tanulmányában olvasható, az átlagos végfelhasználói PC-ken legelterjedtebb 50 programcsomagon összesen 380 rést találtak. Ez a végeredmény nem kevesebb, mint 89 százaléka a 2009-es esztendő egészére vonatkozó adatnak. Az egyes gyártók termékeiben regisztrált sérülékenységek számát tekintve az idei első félévben az Apple végzett az első helyen. Az almás céget az Oracle és a Microsoft követi a dobogón. Mind nagyobb fenyegetést jelentenek – az operációs rendszerekkel szemben – a külső cégek által szállított alkalmazások rései. Egy átlagos, 50 programot futtató PC-n 26 Microsoft-terméket és 24, más gyártótól származó szoftvert találunk. Mégis, a felmérés szerint az utóbbiakban együttvéve 3,5-szer több sérülékenységre számíthatunk, mint a redmondi óriás programjaiban. A Secunia úgy becsüli: az idei év egészét tekintve ez az arány 4,4-re nő. Nehezíti a hibák javítását, hogy a PC-ken átlagosan 13 különböző szoftverfrissítési mechanizmus működik. A tipikus kliensgépet fenyegető sérülékenységek száma 2007 és 2009 között 220-ról 420-ra emelkedett. A Secunia most azt jósolja: idén ez az adat 760-ra szökik, vagyis ismét csaknem megduplázódik majd. Így hát jó okkal kaptak szép számú biztonsági frissítést a legelterjedtebb szoftverek az elmúlt hónapokban is. A következőkben röviden, időrendben a legfontosabb foltokat tekintjük át. Július - Július 13-ai foltozó keddjén négy biztonsági frissítést bocsátott ki a Microsoft. A foltok összesen öt sérülékenységet orvosoltak. A négy foltból három „kritikus”, egy pedig „fontos” minősítést kapott. A Windowshoz és az Office-hoz egyaránt két-két biztonsági frissítés szolgált. - Negyedéves menetrendszerű biztonsági frissítésével összesen 59 biztonsági rést tömött be szoftverein az Oracle. Közel a hibák harmada – szám szerint 21 – a Solarisban volt. Mint ismeretes, a vállalati operációs rendszer a Sun felvásárlásával került az Oracle-hez. Hat sérülékenységet orvosolt a szoftverház a népszerű adatbázis-szerverben (Database Server). Számos más programot is érintett a frissítés. Ezek: a Secure Backup, a TimesTen In-Memory Database, a Fusion Middleware, az Enterprise Manager, az E-Business Suite, a Supply Chains termékcsomag és a PeopleSoft Enterprise. - Összesen 14 – köztük nyolc kritikusnak minősített – sérülékenységet orvosolt a Firefox 3.6.7-es változatának kibocsátásával a Mozilla. Különösen veszélyes rések tátongtak a PNG képek, valamint a memória kezelésében. - Az Apple az iTunes szoftver windowsos változatát javította. Az új, 9.2.1-es verzió egy puffer-túlcsordulási sérülékenységet szüntetett meg. Augusztus - Soron kívüli biztonsági frissítéssel orvosolta a hónap elején a Microsoft a Windows Shell kritikus sérülékenységét. A hackerek már támadták a rést, melyet a parancsikonok feldolgozásában fedeztek fel. - Menetrendszerű foltozó napján, augusztus 10-én összesen 34 sérülékenység megszüntetésére 14 biztonsági frissítést bocsátott ki a Microsoft. A foltok közül nyolc „kritikus”, hat pedig „fontos” minősítést kapott. A Windowshoz 12, az Office-hoz két javítócsomag látott napvilágot. Folt került a Microsoft .NET Frameworkre és a Silverlightra is. - Frissült a windowsos QuickTime. Az Apple új verzió kibocsátásával orvosolta a videólejátszó egy kritikus sérülékenységét, amely távoli kódvégrehajtásra adott módot. Az érintett operációs rendszerek a következők voltak: Windows 7, Vista, valamint XP SP 2 és 3. A probléma Mac OS X rendszereken nem állt fenn. - Mobil operációs rendszerét, az iOS-t ugyancsak befoltozta az almás cég. Egy olyan sérülékenységet orvosolt, amelyet elterjedten aknáztak ki a legújabb iPhone felszabadítására (azaz arra, hogy a készüléken az Apple által nem engedélyezett alkalmazásokat is futtatni lehessen). Az augusztusi operációsrendszer-verziók: iPhone-ra és iPod Touch-ra az iOS 4.0.2-es, iPadre az iOS 3.2.2. - Expressz biztonsági frissítést bocsátott ki augusztus 19-én az Adobe. A következő szoftverek kaptak foltot: Reader 9.3.3 (Windows, Macintosh és Unix platformon), Acrobat 9.3.3 (Windows és Macintosh platformon), Reader 8.2.3 (valamennyi platformon), Acrobat 8.2.3 (valamennyi platformon), Flash Player 10.1.53.64 (valamennyi platformon). Szeptember - A hónap elején összesen 13 kritikus rést tömött be az iTunes windowsos kiadásán az Apple. Valamennyi hiba a program nyílt forráskódú WebKit böngészőmotor-komponensében volt, s rosszindulatú weblap megnyitásakor távoli kódvégrehajtásra adott lehetőséget. Ugyanezeket a sérülékenységeket július végén a Safari 5.0.1-ben és 4.1.1-ben már javította az Apple. - Megjelent a Google böngészőjének új kiadása. Az első bétaváltozat megjelenésének második évfordulóján Windows, Mac OS X és Linux platformra egyaránt kibocsátott Chrome 6-ossal 17 sérülékenységet is orvosolt a keresőóriás. - Felfrissítette böngészőjét az Apple is. Az új kiadású Safari Windows alatt három, OS X alatt két kritikus rést tömött be. - Ugyancsak biztonsági frissítéssel rukkolt ki a Mozilla. A Firefox 3.6.9 nem kevesebb, mint 14 sebezhetőséget hárított el, köztük 10 kritikusat. - Kilenc biztonsági frissítést bocsátott ki foltozó keddjén, szeptember 14-én a Microsoft. A foltok összesen 11 sérülékenységet orvosoltak, s közülük négy „kritikus”, öt pedig „fontos” minősítést kapott. A Windowshoz nyolc, az Office-hoz két biztonsági frissítés szolgál. - Kibocsátotta a QuickTime 7.6.8-as változatát, s ezzel két kritikus rést tömött be médialejátszóján az Apple. - Médialejátszót javított az Adobe is: már támadták a hackerek a Flash Playernek azt a sérülékenységét, amelyet megszüntetett a cég. - Szeptember végén soron kívüli javítócsomaggal tömte be a Microsoft az ASP.NET röviddel azelőtt nyilvánosságra került rését, amely ugyancsak ostrom alatt állt. 8. „Kiemelkedő” kártevők Melyek voltak egyébként az elmúlt negyedév leggyakoribb kártevői a magyar neten? Nos, a VirusBuster folyamatosan nyilvántartást vezet az észlelt károkozókról. A cég szakemberei kiértékelik a cég házon belüli, illetve különböző helyeken működtetett levelezésvédő rendszereinek fogását, figyelik a freemailes levelek által hordozott vírusokat. Az adatokból hónapról hónapra toplistát készítenek, s ezek a havi statisztikák a cég honlapján is megjelennek (http://www.virusbuster.hu/labor/virus-toplista). A mintaforrásokat súlyozottan összesítve a 2010. július-szeptember időszakra az alábbi kártevő-gyakorisági lista állt elő: 1. JS.Redirector.J (16.52%) 2. Trojan.Agent.YHJN (15.51%) 3. Trojan.Oficla.BNE (13.84%) 4. Trojan.Oficla.BOH (8.76%) 5. TrojanSpy.Zbot.AFON (6.58%) 6. JS.Redirector.K (6.54%) 7. Backdoor.Bredolab.DJI (5.75%) 8. Trojan.Bredolab.CSQ (4.88%) 9. Backdoor.Nepoe.IF (3.08%) 10. Trojan.Oficla.BQR (2.50%) Egyéb: 16.05% „Tízes toplistánkon öt helyet két botnet, illetve az általuk terjesztett két kártevőcsalád foglalta el: a Redirector és az Oficla. Mindkettő jellemzően trójaiakat tölt le. Az előbbi általában Bredolab-, az utóbbi ZBot-variánsokkal kedveskedik a felhasználóknak” – fűzte az adatokhoz Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője. Mindezzel korántsem állunk egyedül. „Világszerte számtalan sebezhető gépet kerítettek hatalmukba a bűnözők. A feltört PC-kről azután bármikor indíthatnak online támadást.” Ez a nyilatkozat már Jon Ramseytől, a SecureWorks cég technológiai vezetőjétől származik. A SecureWorks kutatói azt vizsgálták: az egyes országokban a PC-k átlagosan mekkora hányadát tették zombivá, azaz szervezték a tulajdonos tudtán kívül robothálózatba – botnetbe – a hackerek. Nos, a nemrég közzétett tanulmány szerint a legelzombisodottabb ország az Egyesült Államok, ahol a kutatás hathónapos ideje alatt minden ezer PC-ről 1600 támadást indítottak. Nagy-Britannia – 107 támadás/1000 gép aránnyal – az előkelő ötödik helyre került. Legtisztábbnak India mutatkozott: itt ezer gépre csak 52 támadás jutott. Egy másik biztonsági cég, az M86 Security a botnet-üzemeltetők után nyomozott. Miután a kínai kormány a közelmúltban lecsapott a számítógépes bűnözőkre, több gang más bázis után nézett, s a jelek szerint nem egy közülük Oroszországban lelt menedéket – állítják a vállalat szakemberei, akik két orosz regisztrátornál egyetlen hónap alatt ötezer új spam domaint fedeztek fel. Orosz szolgáltatóhoz költözött többek között a Zeus botnetet működtető társaság is. Az Oroszországba újonnan betelepült bandák főként spamkampányokban, online kaszinókban és gyógyszerforgalmazásban érdekeltek. Napjaink elterjedtebb kártevőit alkotóik weboldalakon keresztül (is) folyamatos frissítik. A kártevők felismerésének biztosítása érdekében más víruslaborokhoz hasonlóan a VirusBuster is folyamatosan nyomon követi ezeket a webhelyeket. A gyakori frissítések miatt természetesen csak generikus felismerési módszerekkel kezeljük őket, az utánkövető feldolgozás nem szolgálná a felhasználók érdekeit. Alábbi táblázatunk július-szeptember legaktívabb kártevő-szóró domainjeit foglalja össze. Láthatóan az Egyesült Államok, Kína és Brazília megőrizte előkelő helyét a terjesztő országok között: 1. nb.host127-0-0-1.com (Shalimar, USA) 2. nb.host192-168-1-2.com (Shalimar, USA) 3. screenblaze.com (Houston, USA) 4. fileave.com (Omaha, USA) 5. nguwang.com (Peking, Kína) 6. hpg.com.br (Brazília) 7. uol.com.br (Rio de Janeiro, Brazília) 8. 110mb.com (Montreal, Kanada) 9. dominiotemporario.com (Brazília) 10. 188.65.74.161 (Klagenfurt, Ausztria)