Złośliwe programy czają się nie tylko w ciemniejszych zakamarkach Internetu. Jak donosi producent oprogramowania antywirusowego G Data Software, mamy do czynienia z nowym, bardzo niebezpiecznym sposobem rozpowszechniania się złośliwego oprogramowania. Skala zjawiska jest zaskakująca. Dla milionów użytkowników planujących świąteczne zakupy w Internecie może się to okazać wielkim zagrożeniem.
Nowa polityka rozpowszechniania złośliwego oprogramowania jest znana, jednak nigdy nie była obserwowana w tak dużej skali. Robaki wstrzykiwane są do naszych komputerów dzięki atakom „drive-by download” przez co jest to praktycznie niewidoczne dla użytkownika. Najniebezpieczniejsze w całym procederze jest to, że złośliwy kod wstrzykiwany jest coraz częściej z renomowanych stron internetowych.
Eksperci z G Data postanowili przeprowadzić badanie wyjaśniające w jaki sposób cyberprzestępcy osiągają swój cel tak łatwo. Skuteczność ataków szacuje się bowiem na około 80%. Tempo rozpowszechniania oprogramowania po sieci również przyprawia o zawrót głowy.
Pierwszym krokiem był kontakt z właścicielami stron i serwerów, które rozpowszechniają złośliwe oprogramowanie. Większość z właścicieli posiadała wiedze o tym, że za pośrednictwem ich serwerów atakowani są użytkownicy. Dlaczego więc złośliwe oprogramowanie wciąż jest dystrybuowane za ich pośrednictwem? 45% administratorów stwierdziło, że usunięcie szkodliwego oprogramowania działającego jak „pistolety natryskowe” zajmuje im bardzo dużo czasu – od kilku dni do kliku tygodni. Znaleźli się i tacy, którzy poddali się i pogodzili z tym faktem.
G Data Security Lab zwraca uwagę na fakt, że przestępcy coraz częściej stosują nowe metody rozpowszechnia złośliwych programów, zamiast tradycyjnych masowych wysyłek poczty elektronicznej. Przedstawiana technika cieszy się szczególną popularnością w Polsce i reszcie krajów Europy Środkowej.
„Przestępcy rozpowszechniający złośliwe programy przez strony internetowe wykorzystują 3 słabe punkty serwisów. Jeden z nich to zabezpieczanie serwerów stron słabymi hasłami, np. admin123. Takie hasła można złamać przy pomocy automatycznie przeprowadzonej słownikowej metody ataku w przeciągu kilku sekund“, twierdzi Ralf Benzmüller.
Oprócz krótkich i prostych haseł, słabością serwisów webowych jest też wykorzystywane oprogramowanie – sklepy internetowe, systemy Content Management, programy obsługujące blogi i fora internetowe. „Najczęściej stosowane są domyślne ustawienia oprogramowania do obsługi serwisu. Programy często nie są aktualizowane, przez co powstają istotne luki w zabezpieczeniach serwisów. Za pomocą specjalnego zapytania, wyszukiwarka internetowa pozwala w prosty sposób wyszukać w Internecie strony podatne na ataki i przejąć nad nimi kontrolę. Regularna aktualizacja oprogramowania to bardzo ważny czynnik. Kolejny słaby punkt to niefiltrowane dane wpisywane na stronach przez użytkowników serwisów, np. w formularzach stron internetowych. Można je wykorzystać do przeprowadzenia ataków typu Cross-Site-Scripting lub SQL Injection. Niestety ilość dostępnych narzędzi filtrujących jest ograniczona, więc jest to najbardziej skuteczna metoda używana do kompromitacji serwisów internetowych.“
Oczywiście proste hasła, luki w zabezpieczeniach oprogramowania serwerów stron oraz niewystarczające filtrowanie przekazywanych danych, to tylko niektóre z przyczyn częstego przejmowania kontroli nad serwisami internetowymi.
Pomimo ostrzeżeń: Opieszałość administratorów
Użytkownicy komputerów są wprawdzie wyczuleni na zagrożenia, ale nie spodziewają się ataków ze strony zaufanych dostawców usług internetowych, witryn hoteli czy portali społecznościowych. Badania prowadzone przez G Data w ramach inicjatywy Malware Information dowodzą, że coraz częściej źródłem infekcji są popularne i zaufane strony internetowe. Aby zminimalizować skalę zagrożenia, G Data regularnie kontaktuje się z właścicielami i administratorami skompromitowanych serwisów. Reakcje bywają zróżnicowane. Zaledwie 55 na 100 obsługujących serwisy internetowe reaguje w przeciągu jednego tygodnia od zgłoszenia problemu.
„W miarę możliwości, jeżeli wykryjemy, że poprzez serwis rozpowszechniany jest złośliwy kod informujemy osoby odpowiedzialne za bezpieczeństwo tych witryn. W wielu przypadkach środki zaradcze podejmowane są bardzo późno lub nawet wcale. W jednym przypadku popularny serwis nadal infekował użytkowników pomimo, że od zgłoszenia minęły 3 tygodnie. Trudno oszacować, ilu użytkowników mogło zostać zarażonych przez ten czas.“, reasumuje Ralf Benzmüller. „Dobrze by było, żeby więcej administratorów traktowało swoich użytkowników poważnie i odpowiedzialnie. Brak reakcji i nieprawidłowa konserwacja serwisów internetowych na pewno nie pomaga zminimalizować zagrożenia, a wręcz pomaga przestępcom.“
Wskazówki G Data dotyczące bezpieczeństwa
Nie jest prosto zabezpieczyć stronę internetową przed różnorodnymi, coraz to nowymi zagrożeniami. Strony internetowe składają się często z kilku różnych komponentów. Aby strona zaczęła infekować odwiedzających wystarczy, że jeden z nich będzie podatny na atak, lub nie zostanie na czas uaktualniony. W związku ze wzmożoną ilością ataków na serwisy internetowe, G Data zaleca regularne skanowanie serwerów sieciowych na obecność wirusów i szybkie podejmowanie środków zaradczych w przypadku wykrycia zagrożenia.
Stosowanie się do poniższych porad zdecydowanie utrudni przestępcom skompromitowanie serwisu internetowego:
1. Aktualizuj oprogramowanie stosowane do obsługi serwisu, zwłaszcza w zakresie łatania luk bezpieczeństwa. Tylko w ten sposób zabezpieczysz się przed narzędziami do wykorzystywania słabych punktów systemu. Poprawki najlepiej instalować tuż po ich wyprodukowaniu przez producentów.
2. Stosuj oprogramowanie antywirusowe także na serwerze stron internetowych. Dbaj o regularne aktualizowanie baz zagrożeń programu antywirusowego.
3. Skanuj regularnie kopię offline Twojego serwisu na obecność wirusów.
4. W przypadku wykrycia infekcji zmień wszystkie hasła administratorskie Twoich serwisów. W ten sposób zamkniesz dostęp autorom ataku i nie narazisz bezpieczeństwa użytkowników.
Porady dla użytkowników serwisów webowych:
5. Uaktualniaj regularnie system operacyjny, przeglądarki internetowe i wtyczki do przeglądarek internetowych. Przestarzałe oprogramowanie ułatwia zainfekowanie komputera korzystającego z serwisu.
6. Stosuj oprogramowanie antywirusowe wyposażone w mechanizm skanujący strony internetowe przed otwarciem. Dzięki temu możesz uniknąć infekcji podczas odwiedzania skompromitowanego serwisu.
W przypadku wykrycia wirusa na stronie internetowej niezwłocznie powiadom właściciela lub administratora serwisu internetowego.
Źródło: G DATA Software
Wojciech Boczoń