סימנטק: גידול בהתקפות על המשתמשים הביתיים

משתמשים ביתיים הופכים למטרה מועדפת בהתקפות מחשב - כך עולה מדו"ח איומי אבטחת האינטרנט למחצית הראשונה של 2006, שפרסמה אתמול (ב') סימנטק. הדו"ח מצביע כי התוקפים משתמשים כיום במגוון טכניקות, שנועדו לסייע להם להתחמק מזיהוי, על מנת להאריך את נוכחותם במערכות של הקורבנות הפוטנציאליים ולהרוויח זמן לגניבת מידע, חטיפת המחשב למטרות שיווק, אספקת גישה מרחוק, או פגיעות אחרות במידע חסוי - למטרות רווח.

דו"ח איומי אבטחת האינטרנט של סימנטק סקר את ששת החודשים הראשונים של 2006. הדו"ח מציין כי המשתמשים הביתיים הם המגזר הנתון למספר הרב ביותר של התקפות ומהווה 86% מכלל ההתקפות. המגזר השני בפגיעותו הוא מגזר השירותים הפיננסיים. לדברי אריה דנון, מנכ"ל סימנטק אזור הים התיכון, "סימנטק זיהתה מספר גדל והולך של התקפות המופנות כלפי יישומי לקוח, שימוש מוגבר בטקטיקות התחמקות מאיתור וזיהוי, וכן את העובדה כי תולעי האינטרנט הגדולות והנרחבות, פינו את מקומן להתקפות קטנות וממוקדות יותר, התקפות המתמקדות בתרמיות, גניבת נתונים ופעילות פלילית".

דנון הוסיף כי "התוקפים מתייחסים למשתמשי הקצה כאל החוליה החלשה ביותר בשרשרת האבטחה, ותוקפים אותם שוב ושוב במטרה להשיג רווח כספי. יש הלימה בין המצב המתואר בדו"ח לבין מצב אבטחת המידע בישראל. אנו מבחינים בגידול של התקפות מסוגים שונים, לרבות פישינג בקרב ארגונים פיננסיים - בנקים וחברות ביטוח בעיקר. בארץ החיבור לפס רחב הוא מתקדם, אחוז המחוברים הוא גבוה, ולכן אנו מתנהגים באותה צורה - החשיפה של איומים בשל גידול פס רחב גדלה".

לדברי מחברי הדו"ח, הפושעים האלקטרונים מכוונים את הקוד הזדוני שלהם בעיקר אל יישומים בצד הלקוח. בין היישומים הללו ניתן למנות את דפדפני האינטרנט, לקוחות הדואר האלקטרוני, ויישומים שולחניים נוספים. נקודות התורפה של יישומי אינטרנט מהוות 69% מכלל נקודות התורפה שתיעדה סימנטק במחצית הראשונה של 2006. גם נקודות תורפה בדפדפני אינטרנט התרבו מאוד: 47 נקודות תורפה שתועדו בדפדפני מוזילה (לעומת 17 בתקופת הדיווח הקודמת), 38 באינטרנט אקספלורר של מיקרוסופט (לעומת 25) ו-12 בספארי של אפל (לעומת 6).

במחצית השנה הראשונה של 2006 אותרו 157,477 הודעות פישינג ייחודיות - גידול של 81%, בהשוואה לתקופת הדיווח הקודמת. במקביל, הודעות דואר זבל היוו 54% מסך כל תעבורת הדואר האלקטרוני שנבדקה, גידול קל לעומת 50% בתקופה הקודמת. רוב שולחי הספאם העדיפו לשלוח את הספאם ללא קוד זדוני, כדי להפחית את הסיכויים לחסימה. יחד עם זאת, הם הכניסו להודעות קישורים לאתרי אינטרנט, המכילים קוד זדוני.

רווח כספי הוא המניע העיקרי מאחורי רוב האיומים שזוהו בתקופת הדו"ח. לדוגמה, ברשתות bot אפשר להשתמש לא רק כדי להפיץ קוד זדוני, אלא גם כדי לשלוח הודעות ספאם או פישינג, להוריד תוכנת פרסום (adware) ורוגלות (spyware), לתקוף ארגונים ולגנוב מידע חסוי. סימנטק זיהתה יותר מ-4.6 מיליון מחשבי רשתות bot פעילים מדי יום במהלך התקופה.

רשתות bot גם משמשות בדרך כלל להתקפות שלילת שירות (DoS) - איום חמור על ארגונים מאחר, וההתקפות עלולות להוביל לשיבושי תקשורת, אובדן הכנסות, נזק למותגים ולמוניטין ולחשיפה לפעילויות סחיטה פליליות. במחצית הראשונה של 2006 זיהתה סימנטק 6,110 התקפות שלילת שירות בממוצע ליום.

לגבי התקפות שלילת שירות, ארצות הברית היוותה את היעד העיקרי של התקפות שלילת שירות עם "נתח שוק" של 54% מכלל העולם, ומגזר ספקי הגישה לאינטרנט (ISP) היה המגזר שהותקף במספר הרב ביותר של התקפות שלילת שירות. בארצות הברית גם נמצא השיעור הגדול ביותר של שרתי פיקוד ובקרה של bot, עם 42% מהסך הכולל, בעוד שבסין נמצא המספר הגבוה ביותר של מחשבים נגועי bot, עם 20% מהסך העולמי.

התקפות אחרות הנעשות ממניעים כלכליים, עושות שימוש בקוד זדוני, תוכנה המתעדכנת או מורידה איומים חמורים יותר ברגע שהיא מצליחה להתבסס במחשב המארח של הקורבן, על מנת לחשוף מידע רגיש. במחצית הראשונה של 2006, קוד זדוני מודולרי היווה 79% מ-50 הקודים הזדונים המובילים שדווחו לסימנטק.

בנוסף, איומי קוד זדוני החושפים מידע חסוי, היוו 30% מ-50 הדוגמאות המובילות שהוגשו לסימנטק לבדיקה. יצויין כי זו הפעם הראשונה שסימנטק עוקבת אחר מגזרי המותגים, המהווים מטרה למתקפות גניבת זהות - אמצעי נוסף להשגת רווח כספי. לדברי מחברי הדו"ח, "אין זה מפתיע שמגזר השירותים הפיננסיים סבל מהשיעור הגבוה ביותר של התקפות גניבת זהות, והיווה 84% מהאתרים שנמצאו במעקב".

במחצית הראשונה של 2006 תיעדה סימנטק 2,249 נקודות תורפה חדשות, גידול של 18% בהשוואה לתקופת הדיווח הקודמת והנפח הגדול ביותר של נקודות תורפה, שזוהה בכל תקופות הדיווח. ממצא נוסף מתייחס לחלון החשיפה ומשך הזמן עד לשחרור טלאי: חלון החשיפה - משך הזמן הממוצע שנדרש ליצרן, מרגע ההודעה על נקודת תורפה עד לשחרור טלאי מתקן - של יצרני התוכנות ודפדפני האינטרנט היה 28 ימים, לעומת 50 ימים בתקופת הדיווח הקודמת.

חלון החשיפה של אינטרנט אקספלורר של מיקרוסופט היה תשעה ימים (ירידה מ-25 ימים), של ספארי של אפל חמישה ימים (לעומת אפס), ושל אופרה יומיים (ירידה מ-18 ימים). זו הפעם הראשונה שסימנטק עקבה אחר משך הזמן הממוצע שדרוש ליצרני המערכות לשחרר טלאי עבור נקודת התורפה. חברת סאן הזדקקה למשך הזמן הארוך ביותר לשחרור טלאי (89 ימים), ואחריה HP עם 53 ימים. אפל הזדקקה ל-37 ימים בממוצע בעוד שמיקרוסופט ו-רד האט היו בעלות משך השחרור הממוצע הנמוך ביותר עם 13 ימים.

בהתייחס לאיומים עתידיים, המגמות שצופה סימנטק לעתיד, כוללות התעוררות מחודשת של פולימורפיזם וטכניקות התחמקות אחרות בקוד זדוני של Win32; גידול במספר האיומים המשתמשים בקונספט של Web 2.0, כגון טכנולוגיות פרסום של משתמשים כדוגמת AJAX; חששות אבטחה מלווים גם את השחרור הצפוי של מערכת ההפעלה חלונות ויסטה; וגידול צפוי במספר נקודות התורפה שדווחו עקב שימוש ב"מערפלים" (fuzzers), תוכניות או סקריפטים, שנועדו לאתר נקודות תורפה בקוד התוכנה.