În cadrul unui interviu publicat recent de First Line of Defense, dl. Raimund Genes, director tehnic al companiei de securitate Trend Micro, a prezentat ultimele tendinţe în evoluţia ameninţărilor malware.

Cum evoluează „reţeaua globală” în opinia dvs., şi cum vor fi afectate ameninţările online?
- Internetul s-a consolidat ca o platformă puternică şi a schimbat modul în care facem afaceri şi comunicăm. Există peste un miliard de utilizatori ai Internetului în prezent, şi este aşteptat ca numărul lor să ajungă la două miliarde în următorii zece ani. Aceasta înseamnă că organizaţiile nu îşi mai pot permite să ignore impactul pe care comportamentul online al utilizatorilor îl are asupra securităţii propriilor reţele. Aceasta, împreună cu extinderea în continuare a reţelelor, care facilitează mobilitatea angajaţilor şi deschiderea acestora către interacţiuni mai facile cu clienţii şi partenerii, duce la crearea unui teren propice pentru noi tipuri de vulnerabilităţi. Din cauza caracterului fără graniţe al reţelelor, a popularităţii în creştere a Web 2.0 şi a creşterii comunităţii Internet globale, rolul Web-ului ca vector de ameninţare va spori semnificativ.

- Care este definiţia unei „ameninţări Web”?

- O ameninţare Web este orice ameninţare care foloseşte Web-ul pentru a face lucruri rele sau nedorite. Ameninţările de azi sunt bazate pe Web deoarece: 1) infectarea se produce pe Web (prin accesarea unui link sau vizitarea unui site Web infiltrat; 2) aplicaţiile malware descarcă de pe Web componente adiţionale (prin auto-actualizare); şi 3) aplicaţiile malware trimit informaţii sau primesc instrucţiuni prin Web.

- În ce mod diferă ameninţările Web de ameninţările tradiţionale ?

- Există mai multe diferenţe importante. Ameninţările Web folosesc atacuri combinate, sau combinaţii de programe nocive şi tehnici care acţioneaza împreună pentru a infecta PC-ul. Spre exemplu, un program nociv poate sustrage informaţii şi transmite spam cu imagini, iar mai târziu, folosind o rutină de actualizare, poate deveni bot pentru un atac denial-of-service distribuit. Un alt exemplu - atacurile succesive care mai întâi infectează computerul şi apoi descarcă noi componente pentru a activa funcţionalitatea completă sau pentru a schimba forma sau rolul aplicaţiei malware. Sau aplicaţia malware se poate menţine în stare latentă, urmând ca la producerea unui anumit eveniment (vizitarea unui site bancar online), să fie lansată şi să parcurgă etapele următoare.

- Ce îmi puteţi spune despre mesajele e-mail cu sugestii privind cotaţiile bursiere, ultimele noutăţi, etc.?

- Aici este vorba despre o altă caracteristică a ameninţărilor Web. Acestea folosesc elemente foarte eficiente de inginerie socială. Spre exemplu, tentează utilizatorii prin subiectele mesajelor, care se referă la evenimente curente, competiţii sportive, oportunităţi de investiţie şi aşa mai departe. Cele mai eficiente ameninţări Web sunt cele scrise în limba locală. În perioada recentă, ameninţările au devenit tot mai precis direcţionate, fiind îndreptate împotriva unor grupuri specifice sau chiar indivizi. Din această cauză sunt atât de multe variante – 3.000 pe zi în luna martie a acestui an, conform AVtest.org. Toate acestea sunt destinate determinării utilizatorului să acceseze un link Web care să declanşeze un lanţ de evenimente nocive.

- De ce depun infractorii cibernetici asemenea eforturi? De ce nu continuă să folosească tehnicile mai vechi, mai facile?

- Pot răspunde cu un singur cuvânt: profit.

- Deci sunt câştiguri foarte mari?

- Da. Un caz este povestea recentă publicată în Wall Street Journal despre o persoană acuzată că a furat 1,5 milioane de $ şi a încercat să fure peste 10 milioane $ de la 15 victime folosind diverse activităţi de furt de identitate. Aproape toate aplicaţiile malware sunt o încercare de a câştiga bani. Deturnarea unui computer şi folosirea lui în diverse scopuri generează câştiguri băneşti. Un computer deturnat poate fi folosit pentru atacarea altor computere, sustragerea informaţiilor şi a datelor de autentificare, generarea şi transmiterea de spam, apăsarea pe mesaje publicitare pentru „fraude click”, şi aşa mai departe.

(Fraudele click sunt infracţiuni internet care vizează anunţurile publicitare online şi presupun imitarea de către o persoană, script automat sau program, a acţiunii unui utilizator legitim al unui browser Web care apasă pe un anunţ. Scopul este generarea de plăţi per click fără a exista un interes real pe segmentul ţintă al anunţului.)

- Volumul acestui tip de ameninţări da semne de scădere ?

- Nu cred. A crescut în salturi în ultimii ani, şi nu dă semne de diminuare. Profitul este o motivaţie puternică.

- Aţi adus aminte de Web 2.0 mai devreme - care este impactul său?

- Web 2.0 promovează deschiderea privind informaţiile personale şi reţelele sociale, site-uri ca MySpace, YouTube, etc. Spre deosebire de site-urile Web obişnuite care folosesc preponderent html, site-urile Web 2.0 folosesc JavaScript, iar JavaScript este un instrument puternic în mâinile infractorilor cibernetici. Cu JavaScript, un răufăcător poate simula ferestre pop-up, poate forţa download-uri, la momente de timp predefinite, etc. Prin urmare, site-uri ca MySpace oferă gratuit acestor infractori o platformă de atac (site-ul în sine) ce rulează cod performant (JavaScript) şi o mulţime de potenţiale victime care au furnizat informaţii personale. Aceşti infractori sunt ca nişte copii într-un magazin cu dulciuri într-un astfel de mediu.

- A fost anunţată recent o breşă la Monster.com. Care este semnificaţia acestui eveniment?

- În primul rând, demonstrează diversitatea datelor care pot fi compromise - cred că au fost compromise 1,6 milioane de înregistrări. Mesajul spam folosea tehnici de inginerie socială, atacurile erau direcţionate către cei aflaţi în căutarea unui loc de muncă, şi a dus la scurgeri de date la scară largă, care pot fi primul pas către furtul de identitate.

- Cum aţi prezenta pe scurt ameninţările Web la care suntem expuşi?

- Ameninţările Web sunt multi-vector, au componente multiple, generează o mulţime de variante într-un ritm alert, şi sunt extrem de clar direcţionate. Sunt susţinute de reţele botnet, silenţioase, camuflate şi greu de îndepărtat. Aş spune că ne aflăm în faţa celei mai sofisticate provocări malware din istorie.

- Cum ne putem proteja de aceste ameninţări Web?

- Nu există un răspuns simplu la această întrebare. Nu există o abordare, tehnică sau soluţie care să ofere protecţie totală. Companiile au nevoie de soluţii multi-nivel. Aceasta este necesară în mod obişnuit pentru „norul” internet de la serverul Gateway şi la staţia utilizatorului final. Pentru utilizatori, este necesară o combinaţie de soluţii şi practici. Spre exemplu, utilizatorii trebuie să fie conştienţi de ameninţările potenţiale şi trebuie să fie circumspecţi în privinţa divulgării de informaţii personale sau financiare. De asemenea, trebuie să folosească un furnizor de servicii internet cu o atitudine pro-activă faţă de aceste ameninţări.

- Care este cea mai nouă şi performantă tehnologie în combaterea ameninţărilor Web?

- Cel mai nou model de securitate pe care l-au adoptat unele companii este modelul Software-as-a-Service (SaaS). Acesta oferă o alternativă la modelul software tradiţional în care compania deţine propriul hardware IT, cumpără o licenţă software perpetuă şi instalează update-urile de securitate primite.

- Cum funcţionează SaaS?

- În acest model, aplicaţiile software şi componentele IT hardware sunt deţinute, localizate, operate şi gestionate extern, de către un furnizor de servicii de securitate. Deci în acest caz protecţia împotriva ameninţărilor Web este furnizată ca serviciu complet, incluzând monitorizare, management şi configurare în funcţie de necesităţile clientului.

- De ce ar lua în considerare o firmă această opţiune?

- Sunt o serie de motive. În primul rând, aplicaţiile software de securitate sunt destul de complexe şi necesită actualizare constantă. Platformele desktop existente nu sunt cele mai sigure din lume, şi au nevoie periodic de patch-uri. În acelaşi timp, investiţiile în hardware pentru a rula aceste sisteme sunt substanţiale. Costurile pentru a configura şi întreţine aceste sisteme sunt foarte mari. Deci opţiunea SaaS este interesantă în mod special pentru companii care doresc să îşi diminueze investiţiile iniţiale, pentru că această opţiune poate fi finanţată sub forma unor plăţi lunare sau anuale.

- Cine sunt cei interesaţi de acest gen de soluţie?

- Am determinat ca în principal companiile mici şi medii sunt interesate de SaaS. Furnizorii de servicii internet o pot adopta pentru a-şi proteja clienţii. Chiar şi unele companii care doresc să externalizeze această funcţie şi să se concentreze pe competenţele lor de bază pot să adopte SaaS. În unele companii, funcţia IT poate fi asigurată de o unitate separată cu propriul profit şi propriile pierderi. SaaS poate fi implementat rapid dacă o companie doreşte doar să evalueze această abordare.

- Clienţii şi-au exprimat vreodată îngrijorarea privind stocarea informaţiilor într-o locaţie remote?

- Desigur. Suntem foarte buni în întărirea sistemelor împotriva scurgerilor de date şi asigurăm redundantă. Există o a treia opţiune care poate fi luată în considerare - sistemul hibrid, care asigură multe dintre beneficiile SaaS, dar oferă clienţilor un nivel superior de control. Adoptarea unei soluţii depinde de opţiunile companiei.

- Cum percepeţi beneficiile SaaS?

- SaaS poate fi implementat rapid, scade costurile hardware şi software la locaţia clientului, ca şi cele legate de infrastructură şi administrative. SaaS conservă lăţimea de bandă, capacitatea de stocare şi alte resurse costisitoare pentru diverse sarcini, şi degrevează personalul IT pentru alte proiecte. De asemenea, prin interceptarea în afara locaţiei clientului, ameninţările sunt ţinute departe de reţeaua acestuia.

Sursa: Gecad Net

If you enjoyed this post, make sure you subscribe to my RSS feed!