Λευτέρης Ξυκομηνός
Το Διαδίκτυο είναι αναμφισβήτητα ένα πανίσχυρο εργαλείο, ένας αστείρευτος τόπος πληροφοριών κάθε λογής, αλλά δυστυχώς έχει μια «αδυναμία», υπό την μορφή του κακόβουλου λογισμικού, ψηφιακών επιθέσεων και μια πλειάδα από virus να περιφέρονται στο αχανές τοπίο του κυβερνοχώρου. Χωρίς επαρκή και πολυεπίπεδη ασφάλεια, το Διαδίκτυο υπήρξε το 2015 ένα εξαιρετικά απειλητικό τοπίο. Αυτή η «τάση» θα συνεχιστεί και το 2016 σύμφωνα με τους ειδικούς της Symantec, μια από τις μεγαλύτερες εταιρείες ασφάλειας στον Διαδίκτυο.
Η Symantec παρέχει ολοκληρωμένες λύσεις ασφάλειας που περιλαμβάνουν μια σειρά από προϊόντα και υπηρεσίες, ωστόσο, όταν πρόκειται για την προστασία από web-based απειλές, το Intrusion Prevention System (IPS) είναι μια σημαντική προσθήκη σε μια λύση ασφάλειας πολλαπλών επιπέδων. Το IPS μπορεί να προστατεύσει τους υπολογιστές και όλα όσα σχετίζονται με αυτούς, με τρόπο που ένα antivirus από μόνο του δεν μπορεί να καλύψει. Μέσω scanning στη συνολική κίνηση του δικτύου, το IPS ανιχνεύει απειλές που χρησιμοποιούν γνωστά exploits αλλά και φορείς επίθεσης. Αντί για ανίχνευση συγκεκριμένων αρχείων, το IPS ανιχνεύει τις ειδικές μεθόδους που χρησιμοποιούνται για την τοποθέτηση κακόβουλων αρχείων σε δίκτυα, προστατεύοντας έτσι τους χρήστες από γνωστές αλλά και άγνωστες απειλές, πριν καν ακόμη να δημιουργηθούν antivirus signatures για τις απειλές αυτές.
Το IPS προστατεύει από ένα ευρύ φάσμα θεμάτων ασφάλειας, στα οποία περιλαμβάνονται τρωτά σημεία, zero-day exploits, Exploit Kits (EK), απειλές κοινωνικής δικτύωσης, λειτουργίες command and control (C&C), δραστηριότητες back doors και botnets, ηλεκτρονικές απάτες, κακόβουλες επιθέσεις, phishing και πολλά άλλα.
Exploit Kits
Ο εντοπισμός αδυναμιών ασφαλείας και αντίστοιχα της προστασίας, είναι ιδιαίτερα δύσκολος όταν εξαρχής δεν είναι γνωστές και αυτός είναι ο λόγος για τον οποίο οι προηγμένες επιθέσεις, συνεχίζουν να ευνοούνται από τα exploit zero-days προκειμένου να διεισδύσουν στους υπολογιστές των θυμάτων τους. Οι επιτιθέμενοι κινούνται γρήγορα για να εκμεταλλευτούν τα τρωτά σημεία zero-days, έτσι ώστε, οι προμηθευτές λογισμικού να έχουν όσο το δυνατόν λιγότερο χρόνο στη διάθεσή τους στην προσπάθεια να δημιουργήσουν τα κατάλληλα patches. Αυτό έχει ως αποτέλεσμα, ο χρόνος αντίδρασης της επίθεσης να είναι όλο και πιο σύντομος. Χαρακτηριστική υπήρξε πέρυσι η ανάλογη επίθεση στον ιταλικό προμηθευτή λογισμικού Hacking Team.
Το 2015, το «Angler» EK ήταν ο ηγέτης στον τομέα, αλλά και ένα από τα πιο δραστήρια EK στη διάρκεια του έτους. Το Symantec IPS κατάφερε να μπλοκάρει καθημερινά, εκατοντάδες χιλιάδες επιθέσεις από αυτό το kit. Ο συνολικός αριθμός των επιθέσεων που βασίστηκαν στο Angler ξεπέρασε τα 19,5 εκατομμύρια. Ο αγαπημένος μηχανισμός του ήταν το «malvertisements» και ως επί το πλείστον η εκμετάλλευση των τρωτών σημείων του λογισμικού Adobe Flash που χρησιμοποιούν πάρα πολλοί χρήστες.
Ο αριθμός των επιθέσεων γενικά από EK που μπλόκαρε η Symantec το 2015 ήταν περίπου 300 εκατομμύρια, κατά μέσο όρο δηλαδή, 25 εκατομμύρια το μήνα. Το στατιστικό στοιχείο από μόνο του δείχνει πόσο διάχυτα είναι τα EK στο περιβάλλον του Διαδικτύου. Το Angler προηγούνταν σημαντικά έναντι άλλων EKs με σχεδόν 20 εκατομμύρια απόπειρες οι οποίες μπλοκαρίστηκαν με επιτυχία από IPS.
Τα Windows 7, υπήρξαν το 2015 ο αγαπημένος στόχος του Angler, σε ποσοστό 64% επί των συνολικά μπλοκαρισμένων επιθέσεων για το εν λόγω Λειτουργικό Σύστημα, ενώ τα Windows 8.1 (24%) και Windows Vista (5%) ακολουθούν. Οι χρήστες (Mac) OS X, δεν ήταν στο στόχαστρο του Angler EK.
Στην κορυφή της λίστας των χωρών στις οποίες απευθύνονται τα EK το 2015 ήταν οι ΗΠΑ (45%), η Ρωσία (14%) και η Βραζιλία (8%). Σημαντικό στοιχείο στην εξέταση και αξιολόγηση των στοιχείων, είναι ότι αντιπροσωπεύουν πραγματικές επιθέσεις που είχαν μπλοκαριστεί, που σημαίνει ότι το IPS προστάτευσε πολλά εκατομμύρια χρηστών από επιθέσεις στον κυβερνοχώρο, που πιθανότατα δεν θα είχαν την ίδια τύχη χωρίς σύστημα IPS.
Απάτες τεχνικής υποστήριξης
Το 2015 παρατηρήθηκε αύξηση 200% σε σύγκριση με το 2014, σε απάτες που αφορούσαν τεχνική υποστήριξη. Το Symantec IPS κατάφερε να μπλοκάρει εκατοντάδες χιλιάδες τέτοιες απάτες καθ’ όλη τη διάρκεια του 2015. Το δεύτερο εξάμηνο του έτους μάλιστα, παρατηρήθηκε σημαντική αύξηση αυτής της τάσης, η οποία φαίνεται ότι θα συνεχιστεί και φέτος. Συνολικά, η Symantec μπλόκαρε περισσότερα από 100 εκατομμύρια απάτες τεχνικής υποστήριξης μέσα στο 2015. Οι χώρες που στοχοποιήθηκαν περισσότερο στις απάτες αυτές, ήταν οι ΗΠΑ, το Ηνωμένο Βασίλειο, η Γαλλία, η Αυστραλία και η Γερμανία.
Εκμετάλλευση ευπαθειών
Εκτός από την εκμετάλλευση των ευπαθειών από EK, το Symantec IPS κατάφερε το 2015 να μπλοκάρει ένα σημαντικό αριθμό επιθέσεων, με στόχο να εκμεταλλευτούν τρωτά σημεία σε Λειτουργικά Συστήματα και εφαρμογές. Συνολικά, πάνω από 240 εκατομμύρια τέτοιες προσπάθειες εκμετάλλευσης μπλοκαρίστηκαν από το Symantec IPS.
Τα Windows XP ξεχώρισαν στην κατάταξη με τα Λειτουργικά Συστήματα στα οποία στόχευσαν τις κακόβουλες επιθέσεις τους, με το 71% των επιθέσεων να έχουν μπλοκαριστεί από IPS. Ακόμα κι αν η Microsoft έχει σταματήσει πλέον την υποστήριξη για XP, φαίνεται ότι υπάρχουν πολλοί χρήστες που διστάζουν να αναβαθμίσουν το Λειτουργικό τους Σύστημα και οι επιτιθέμενοι είναι πλήρως ενήμεροι για αυτό, εκμεταλλευόμενοι την κατάσταση.
Malware
Το Symantec IPS απέκλεισε και ορισμένες απειλές σε malware, που είχαν ήδη εισβάλει σε συστήματα χρηστών και οι οποίες στη συνέχεια προσπάθησαν να πραγματοποιήσουν κακόβουλες δραστηριότητες. Πιο συγκεκριμένα, μπλοκαρίστηκαν πάνω από 700 εκατομμύρια malware απόπειρες, που σκοπό είχαν τη διεξαγωγή ενεργειών C&C, τη δράση ως downloader, ή τη διενέργεια άλλων κακόβουλων δραστηριοτήτων στους υπολογιστές των χρηστών.
Τα Windows στις διάφορες εκδόσεις τους, ήταν το Λειτουργικό Σύστημα που κατέχει την πλειοψηφία στις επιθέσεις το 2015 και ειδικότερα τα Windows 7 (66%) να κατέχουν την πρωτοκαθεδρία. Η εξέλιξη αυτή δείχνει ότι οι περισσότεροι από τους χρήστες οι οποίοι μολύνθηκαν από κακόβουλο λογισμικό ήταν οικιακοί χρήστες.
Η εφαρμογή ενός συστήματος Intrusion Prevention, θα πρέπει να βρίσκεται στην πρώτη γραμμή άμυνας κατά των απειλών, που προσπαθούν να πάρουν τον έλεγχο των υπολογιστών των χρηστών, ενώ το IPS θα πρέπει να είναι μέρος μας πολυεπίπεδης λύσης ασφάλειας. Παράλληλα, συνιστάται η εφαρμογή πολλαπλών μέτρων ασφαλείας, συμπεριλαμβανομένων των antivirus, firewall, antispam και των IPS προκειμένου ο χρήστης να προστατευτεί από το πλήθος των απειλών που υπάρχουν σήμερα.