6 april 2011 -
Er zijn het afgelopen jaar maar liefst meer dan 286 miljoen nieuwe internetdreigingen bijgekomen. Dat blijkt uit het zestiende Internet Secuity Threat Report van Symantec Corp. Het rapport laat een dramatische toename zien in zowel de frequentie als de complexiteit van doelgerichte aanvallen op bedrijven en de voortgezette groei in social networking websites die gebruikt worden als een distributieplatform voor aanvallen.
Daarnaast laat het rapport een verandering in de infectietactieken van de aanvallers zien, zoals groeiende gerichte aanvallen op kwetsbaarheden in Java om in te breken in traditionele computersystemen. Daarnaast laat het rapport zien hoe aanvallers een opvallende verschuiving in hun focus naar mobiele devices laten zien.
2010: het jaar van de doelgerichte aanval Doelgerichte aanvallen zoals Hydraq en Stuxnet vormden in 2010 een groeiende dreiging voor organisaties. Om de kans te vergroten op succesvolle, onontdekte infiltraties binnen organisaties, maakt een groeiend aantal van deze doelgerichte aanvallen gebruik van zero-day kwetsbaarheden om in te breken in computersystemen. Alleen Stuxnet heeft om zijn doelen aan te vallen bijvoorbeeld al gebruik gemaakt van vier verschillende zero-day kwetsbaarheden.
In 2010 hebben aanvallers doelgericht aanvallen uitgevoerd op verschillende openbaar handelende, multinationale organisaties en overheidsinstellingen, maar ook op een verrassend aantal kleinere organisaties. In veel gevallen brachten de aanvallers belangrijke slachtoffers binnen de organisaties in kaart en maakten daarna gebruik van op maat gemaakte social engineering-aanvallen omtoegang te krijgen tot het netwerk van het slachtoffer. Door deze doelgerichte aanpak, slaagden vele van deze aanvallen ook wanneer de organisatie van hetslachtoffer slechts gebruik maakte van basisveiligheidsmaatregelen.
Terwijl de high-profile doelgerichte aanvallen in 2010 een poging deden tot het stelen van intellectueel eigendom of fysieke schade wilden aanrichten, aasden vele doelgerichte aanvallen op individuelen voor hun persoonlijke informatie. Het rapport laat bijvoorbeeld zien dat datalekken veroorzaakt door hacken in 2010 resulteerden in een gemiddelde van meer dan 260.000 blootgelegde identiteiten per lek. Dat is bijna het viervoudige dan van enige andere oorzaak.
Social networks: vruchtbare grond voor cybercriminelen Social networks worden steeds populairder en deze populariteit trekt niet verrassend ook een grote hoeveelheid aan malware aan. Een van de meest gebruikte aanvalstechnieken die gebruikt wordt op social networking websites is het gebruik van verkorte URL’s. Onder legitieme omstandigheden worden deze verkorte URL’s gebruikt om effectief in een email of op een webpagina een link te delen naar een anders gecompliceerd webadres. Afgelopen jaar plaatsen aanvallers miljoenen verkorte links op social networking websites om slachtoffers in zowel phishing- als malware-aanvallen te trekken. Dit vergrootte het aantal succesvolle infecties dramatisch.
News feeds Het rapport geeft ook aan dat aanvallers buitensporig gebruik maakten van de mogelijkheden van news feeds op populaire social networking websites om aanvallen massaal te verspreiden. Een typisch scenario is dat een aanvaller inlogt op een bestaande maar gehackte social networking account en een verkorte link naar een schadelijke website plaatst in de status update van het slachtoffer. De social networking website verspreidt deze link automatisch naar de news feeds van de vrienden van het slachtoffer. De link kan zo binnen een aantal minuten verspreid worden naar mogelijk honderden of duizenden slachtoffers. In 2010 maakte 65 procent van de door Symantec gevonden schadelijke links in news feeds gebruik van verkorte URL’s. Van deze links werd op 73 procent elf of meer keer geklikt, op 33 procent van de links werd tussen de elf en 50 keer geklikt.
Attack toolkits richten zich op Java
In 2010 werden attack toolkits nog steeds op grote schaal ingezet. Attack toolkits zijn software programma’s die gebruikt kunnen worden door beginners en experts om de lancering van een uitgebreide aanval op netwerkcomputers te faciliteren. Deze kits richten zich steeds vaker op kwetsbaarheden in het populaire Java-systeem, ze waren in 2010 goed voor 17 procent van alle kwetsbaarheden die invloed hadden op browser plug-ins. Doordat het een populaire cross-browser en multi-platform technologie is, is Java een aantrekkelijk doelwit voor aanvallers.
De Phoenix toolkit was in 2010 verantwoordelijk voor de meeste op websites gebaseerde aanvalsactiviteiten. Deze kit, net als vele andere, bevat exploits van Java-kwetsbaarheden. De tijdens de rapportageperiode als zesde hoogst genoteerde op websites gebaseerde aanval, was ook een poging om Java-technologieën uit te buiten. Het aantal per dag op websites gebaseerde gemeten aanvallen groeide in 2010 met 93 procent ten opzichte van 2009. Omdat tweederde van alle op websites gebaseerde dreigingsactiviteiten die door Symantec zijn ontdekt, direct terug te leiden zijn naar attack kits, zijn deze attack kits waarschijnlijk verantwoordelijk voor een groot deel van deze groei.
Het mobiele dreigingslandschap komt in zicht De grote mobiele platformen zijn nu genoeg alomvertegenwoordigd en trekken dus de aandacht van aanvallers. Symantec verwacht daarom dat de aanvallen op deze platformen zullen toenemen. In 2010 waren de meeste malware-aanvallen tegen mobile devices in de vorm van Trojan Horse-programma’s die zich voordeden als een legitieme applicatie. Terwijl aanvallers een deel van deze malware vanuit het niets hebben gecreëerd, zijn in vele gevallen de gebruikers geïnfecteerd door kwaadaardige logica toe te voegen aan legitieme applicaties. De aanvaller distribueerde deze besmette applicaties daarna via publieke app stores. De auteurs van de recente Pjapps Trojan hebben deze aanpak bijvoorbeeld gebruikt.
Ondanks dat de nieuwe security-architecturen die worden gebruikt in de huidige mobile devices minstens net zo effectief zijn als de desktop- en server-voorgangers, kunnen aanvallers deze bescherming vaak ontwijken door inherente kwetsbaarheden in de implementaties van mobiele platformen aan te vallen. Helaas komen deze gebreken erg vaak voor. Symantec registreerde gedurende 2010 163 kwetsbaarheden die gebruikt kunnen worden door aanvallers bij het verkrijgen van gedeeltelijke of complete controle over devices die draaien op populaire mobiele platformen. In de eerste maanden van 2011 hebben aanvallers al gebruik gemaakt van dezegebreken om honderdduizenden unieke devices te infecteren. Volgens bevindingen van Mocana is het geen verrassing dat 47 procent van de organisaties niet gelooft dat zij de risico’s die door mobile devices zijn geïntroduceerd, adequaat kan beheren. En dat meer dan 45 procent van de organisaties zegt dat security-aangelegenheden een van de grootste obstakels zijn voor het uitrollen van meer smart devices.