Zpráva společnosti Fortinet konstatuje třicetiprocentní nárůst škodlivých kódů pro mobilní zařízení během půl roku: 1300 nových vzorků denně!

7. srpna 2013, Praha – Společnost Fortinet® (NASDAQ: FTNT), přední světový dodavatel výkonných síťových a bezpečnostních řešení, zveřejnila závěry ze svého výzkumu bezpečnostních hrozeb v období od 1. ledna do 31. července letošního roku. „Dle naší laboratoře FotiGuard® Labs došlo v uplynulém období ke třicetiprocentnímu nárůstu škodlivých kódů pro mobilní zařízení,“ uvádí Vladimír Brož, Country Manager, ze společnosti Fortinet. Výzkumníci aktuálně analyzují 1300 nových kusů malware denně a sledují přes 300 unikátních skupin malware pro Android. Celkově pak přes čtvrt miliónu unikátních kusů malware.“ (TZ)

Kompletní zpráva je ke stažení zde: http://www.fortinet.com/resource_center/whitepapers/quarterly-threat-landscape-report-q213.html

Nárůst počtu škodlivých kódů – viz obr. 1

Obrázek 1: Nárůst malware pro Android mezi lednem a červencem 2013.

Přineste si své vlastní problémy

Fenomén BYOD (Bring Your Own Device, „přines si své vlastní zařízení“) má pro podnikání mnoho přínosů. K nejvýznamnějším patří zvýšená efektivita práce a nárůst produktivity. Je tu ale i odvrácená strana BYOD: nekontrolovaná zařízení zaměstnanců se mohou stát rizikem pro celou podnikovou síť.

„Před třemi lety nebyly škodlivé kódy pro mobilní zařízení vážnější hrozbou pro uživatele ani pro organizace. Většina malware napadajícího tehdy chytré telefony a tablety nebyla ničím jiným, než obtěžující variantou viru Cabir nebo podvodným softwarem, který se pokoušel bez vědomí uživatele odesílat zpoplatněné SMS nebo měnil podobu ikon,“ uvádí analytik mobilních virových hrozeb Axelle Apvrille z FortiGuard Labs. „Jenže mobilní zařízení vyspěla a kyberzločinci pochopili jejich potenciál. Domníváme se přitom, že v dohledné době nelze očekávat pokles rizika.“

Na počátku byl Symbian

V roce 2009 většina škodlivých kódů pro mobilní zařízení směřovala na Symbian OS. Systémy jako iOS nebo Android byly tehdy na trhu relativně nové. Krom toho byla většina těchto škodlivých kódů vytvořena ve  východní Evropě a Číně. Tedy tam, kde měl Symbian širokou uživatelskou základnu. Obrázek 2 ukazuje, v jakých zemích byl mobilní malware v roce 2009 nejrozšířenější.

Obrázek 2: Země s největším podílem na škodlivých kódech pro mobilní zařízení v roce 2009.

Obrázek 3 ukazuje, které operační systémy pro mobilní zařízení byly nejčastějším cílem útoků v roce 2009.

Obrázek 3: Nejčastěji napadané mobilní operační systémy v roce 2009.

2013 – rok, který mění pravidla hry

V roce 2013 došlo k dramatické změně v podobě útoků proti mobilním zařízením. Poté, co většina výrobců přijala Android OS od Google jako hlavní systém, došlo k velkému rozšíření chytrých telefonů. Zařízení Android jsou k dispozici na každém trhu a ve všech cenových kategoriích. Od neuvěřitelně levných až po extrémně vybavená a na funkce bohatá monstra. Možnosti mobilních zařízení pak rozšiřuje ohromná lavina aplikací, které přinášejí neomezené množství funkcionalit. Kyberzločinci proto vnímají tuto platformu jako novou příležitost k „podnikání“.

Přichází vydírání v mobilním světě

Už v roce 2012 FortiGuard předpovídal, že finančně atraktivní vydírající malware najde svoji cestu do mobilních zařízení.

Nové útoky na staré zranitelnosti

Ačkoliv pro platformy Ruby on Rails, Java, Adobe Acrobat či Apache přichází čím dál více aktualizací, specialisté z FortiGuard Labs konstatují, že útočníci se stále zaměřují na staré zranitelnosti.

Ruby on Rails

V lednu 2013 bylo oznámeno, že kritická chyba v infrastruktuře Ruby on Rails umožňuje vzdáleným útočníkům spustit kód na obsluhovaném webovém serveru.

Ruby on Rails (RoR) je infrastruktura pro webové aplikace pro programovací jazyk Ruby. Jednoduše řečeno, umožňuje rychlé, snadné a elegantní nasazení webových stránek Web 2.0. RoR je přitom velmi oblíbená platforma. V nějaké podobě ji celosvětově využívají statisíce webů.

Jako by problém sám o sobě nebyl malý. Zveřejněný byl modul Metasploit, který je schopen provést vzdáleně kontrolu na inkriminovanou zranitelnost. Tím se nalezení serveru s chybou stalo triviální záležitostí.

Vzdálené spuštění malware v Javě

V lednu 2013 byla objevena chyba, která umožňuje obejít sandbox v Javě a stejně tak nekorektně spustit škodlivý kód.

Java je všudypřítomná technologie. Většina počítačů má nějakou její verzi instalovanou. Zranitelnost umožňuje spuštění škodlivého apletu v jakémkoliv programu Java, obejití jejího sandboxu a získání plného (pochopitelně neoprávněného) přístupu ke zranitelnému počítači.

Útoky zneužívající tuto chybu byly brzy objeveny v reálném světě a chyba si rychle našla cestu do mnoha rozšířených nástrojů pro provádění útoků, jako jsou BlackHole, Redkit nebo Nuclear Pack. Uživatelé těchto nástrojů mohou s pomocí této zranitelnosti jednoduše instalovat škodlivé kódy na vzdálené počítače. Vznikl i nový modul Metasploit pro vyhledávání zranitelných systémů. Tím se stává nalezení obětí a jejich napadení otázkou jediného kliknutí.

Společnost Oracle sice záplatu na problém vydala velmi rychle, jenže stejně jako je to v jiných případech zranitelností integrovaných do nástrojů pro provádění útoků, nové oběti se stále nalézají. Stále existuje mnoho nezáplatovaných systémů Java, takže útočníci stále mají široké pole působnosti.

Zranitelnost pro Acrobat a Acrobat Reader se šíří světem

V únoru 2013 bylo na internetu detekováno podvodné PDF vydávající se za cestovní vízum do Turecka, které zneužívalo dříve nezaznamenanou zranitelnost v aplikaci Adobe Reader. Chyba se týkala všech aktuálních variant programu Adobe Reader (9.5.X, 10.1.X a 11.0.X) a většiny verzí operačního systému Windows od Microsoftu (včetně 64bitových Windows 7) a také většiny systémů Mac OS X.

Soubor PDF byl využívaný kyberútočníky k instalaci škodlivého kódu na počítače.

Firma Adobe vydala záplatu na chybu dne 20. února, ale útočníci dále pokračovali v jejím zneužívání i po tomto datu. Zranitelnosti v aplikacích Reader od Adobe byly aktivně zneužívány kyberútočníky k instalaci škodlivých kódů i nadále. Uživatelů, kteří svůj systém aktualizují s velkými prodlevami nebo dokonce vůbec, je stále hodně.

Kód CDorked útočí na Apache

Koncem dubna byl objevený nový typ útoku na oblíbený webový server Apache. Škodlivý kód CDorked byl schopný zkompromitovat webový server a přesměrovat jeho návštěvníky na jiné servery, na nichž byli infikováni malwarem s pomocí nástroje BlackHole. Útok v menší míře cílil také na webové serverové platformy Lighttpd a Nginx.

CDorked vykazoval mnoho shodných znaků s útokem DarkLeech na servery Apache, který proběhl v roce 2012. Byl ale výrazně nenápadnější a promyšlenější, než DarkLeech. CDorked nenahrával další škodlivé moduly na infikovaný server. Namísto toho modifikoval existující binární soubor httpd.

CDorked byl zvláštní tím, že nezapisoval žádné informace na pevný disk webového serveru. Vše bylo uloženo v paměti. Přístup byl umožněn skrze podvržené požadavky GET poslané útočníky na kompromitovaný server. Žádný z těchto požadavků GET není logovaný.

Zdroje Fortinet na webu:

Přihlášení k odběru zpráv: http://blog.fortinet.com/feed/

Twitter: www.twitter.com/fortinet
Facebook: www.facebook.com/fortinet

YouTube: http://www.youtube.com/user/SecureNetworks

O společnosti Fortinet www.fortinet.com

Společnost Fortinet (NASDAQ: FTNT) je celosvětovým poskytovatelem zařízení pro zabezpečení sítí a lídrem v oblasti řešení pro jednotné řízení hrozeb (UTM, unified threat management). Fortinet nabízí produkty a služby poskytované na základě modelu předplatného, které poskytují širokou, integrovanou a vysoce výkonnou ochranu proti dynamicky se vyvíjejícím hrozbám. Tato řešení zároveň zjednodušují infrastrukturu zabezpečení IT. K zákazníkům společnosti Fortinet patří podniky, poskytovatelé služeb i vládní subjekty po celém světě, a to včetně většiny společností z žebříčku 2012 Fortune Global 100. Vlajkovou lodí společnosti Fortinet je zařízení FortiGate, které poskytuje výkon akcelerovaný pomocí technologie ASIC (Application Specific Integrated Circuit) a integruje několik vrstev zabezpečení, čímž napomáhá chránit před hrozbami na úrovni sítí a aplikací. Komplexní portfolio produktů společnosti Fortinet pokrývá kromě UTM i další oblasti zabezpečení firemního IT, od koncových bodů přes perimetr (rozhraní sítě) po vnitrofiremní kritické aplikace včetně databází. Ústředí společnosti Fortinet se nachází v Sunnyvale (Kalifornie). Pobočky má firma po celém světě.