Het recentste Internet Security Threat Report van Symantec (Nasdaq: SYMC) toont aan dat thuisgebruikers steeds vaker het doelwit zijn van aanvallen. Omdat thuiscomputers over het algemeen minder goed beveiligd zijn, zijn ze kwetsbaarder voor aanvallen die gericht zijn op identiteitsdiefstal, fraude of andere financieel geïnspireerde criminaliteit. Bovendien beschikken aanvallers tegenwoordig over verschillende technieken om detectie te vermijden, waardoor zij langer actief kunnen zijn op systemen en meer tijd hebben om informatie te stelen, de computer te kapen voor marketingdoeleinden, op afstand toegang te verschaffen tot bijvoorbeeld vertrouwelijke informatie uit financiële motieven.
Symantec’s Internet Security Threat Report geeft aan dat thuisgebruikers het meest worden geteisterd; 86 procent van alle gerichte aanvallen zijn gericht op thuisgebruikers, gevolgd door financiële dienstverleners met 14 procent. Symantec constateert verder een groeiend aantal aanvallen op client-applicaties, een toenemend gebruik van tactieken om detectie te vermijden, en een verschuiving van grootschalige, wijdverspreide internetwormen naar kleinere, gerichtere aanvallen met de nadruk op fraude, gegevensdiefstal en criminaliteit.
Aanvallen op desktops nemen toe
Nu softwareleveranciers en bedrijven zich beter zijn gaan wapenen tegen veranderende bedreigingen door de implementatie van optimale beveiliging en diepgaande verdedigingsstrategieën, zijn aanvallers overgegaan op nieuwe technieken, zoals kwaadaardige code gericht op client-applicaties waaronder internetbrowsers, e-mailprogramma’s en andere desktoptoepassingen. Kwetsbaarheden in internetapplicaties waren verantwoordelijk voor 69 procent van alle kwetsbaarheden die Symantec heeft gedocumenteerd in het eerste halfjaar van 2006. Ook kwetsbaarheden in browsers komen steeds meer voor, met 47 kwetsbaarheden in Mozilla (vergeleken met 17 in de voorgaande verslagperiode), 38 (25) in Microsoft Internet Explorer en 12 (6) in Apple Safari.
Ontwijkingstechnieken nemen toe
Tijdens deze verslagperiode was 18 procent van alle afzonderlijke door Symantec gedetecteerde voorbeelden van kwaadaardige code niet eerder aangetroffen. Dit wijst erop dat aanvallers actiever proberen te vermijden dat zij worden opgespoord door antivirussoftware op basis van signaturen of andere detectiesystemen.
Ook phishers proberen filters te omzeilen door veel gerandomiseerde berichten aan te maken en deze ongericht en op grote schaal te verspreiden. In de eerst zes maanden van 2006 werden 157.477 unieke phishing-berichten gedetecteerd, een stijging van 81 procent ten opzichte van de voorgaande periode. Tegelijkertijd bestond 54 procent van al het bewaakte e-mailverkeer uit spam, een lichte toename vergeleken bij de 50 procent van een halfjaar eerder. De meeste spammers houden kwaadaardige code tegenwoordig buiten hun berichten om het risico van blokkering te vermijden. In plaats daarvan nemen ze koppelingen op naar websites met kwaadaardige code.
Financieel gewin als motivatie voor kwaadaardige activiteiten
Financieel gewin blijft de motivatie achter veel van de bedreigingen tijdens de verslagperiode. Zo worden botnetwerken bijvoorbeeld niet alleen gebruikt om kwaadaardige code te verspreiden, maar ook om spam- of phishing-berichten te verzenden, adware en spyware te downloaden, een organisatie aan te vallen en vertrouwelijke informatie te verzamelen. Symantec heeft in deze periode meer dan 4,6 miljoen afzonderlijke computers in actieve botnetwerken geïdentificeerd en gemiddeld 57.717 actieve botnetwerkcomputers per dag waargenomen. Botnetwerken worden ook veel gebruikt voor Denial-of-Service-aanvallen (DoS-aanvallen), een groot gevaar voor organisaties omdat deze aanvallen kunnen leiden tot ontwrichting van de communicatie, omzetverlies, merk- en reputatieschade en blootstelling aan criminele afpersingspraktijken. In de eerste helft van 2006 heeft Symantec gemiddeld 6.110 DoS-aanvallen per dag waargenomen.
Bij andere financieel gemotiveerde aanvallen wordt gebruik gemaakt van modulaire kwaadaardige code: malware die zichzelf na installatie op het belaagde hostsysteem kan updaten of agressievere software kan downloaden om gevoelige informatie bloot te leggen. In het eerste halfjaar van 2006 maakte modulaire kwaadaardige code 79 procent uit van de 50 vaakst gerapporteerde vormen van kwaadaardige code. En 30 van de 50 meest gerapporteerde kwaadaardige code legden vertrouwelijke gegevens bloot.
Voor het eerst heeft Symantec bijgehouden in welke branches de meeste phishing-aanvallen (ook een manier om geld te verdienen) werden gedaan. Het zal geen verbazing wekken dat de financiële dienstensector het meest ‘bephist’ werd en goed was voor 84 procent van de phishing-sites die in deze periode zijn opgespoord door het Symantec Phish Report Network en Symantec Brightmail AntiSpam.
Andere belangrijke uitkomsten
* Kwetsbaarheden: Symantec heeft in de eerste helft van 2006 in totaal 2.249 nieuwe kwetsbaarheden gedocumenteerd, een toename van 18 procent ten opzichte van het voorgaande halfjaar en het hoogste aantal ooit in een verslagperiode vastgelegd.
* Blootstellingsperiode en patchtijd: De gemiddelde blootstellingsperiode voor zakelijke software en internetbrowsers was 28 dagen, tegenover 50 dagen in de voorgaande periode. Microsoft Internet Explorer had een gemiddelde blootstellingstijd van 9 dagen (was 25), Apple Safari van 5 dagen (was 0), Opera van 2 dagen (was 18) en Mozilla van 1 dag (was min 2). Voor het eerst hield Symantec ook de gemiddelde tijd bij die makers van besturingssystemen nodig hebben om een patch uit te brengen voor een kwetsbaarheid. Sun had de langste patchtijd met 89 dagen, gevolgd door HP met 53 dagen. Apple had gemiddeld 37 dagen nodig, terwijl Microsoft en Red Hat de kortste gemiddelde patchtijd realiseerden met 13 dagen.
* Misleidende applicaties: Drie van de tien nieuwe beveiligingsrisico’s bestonden uit misleidende applicaties die een valse of overdreven waarschuwing geven voor de gevaren die een computersysteem bedreigen. Zij zijn bedoeld om de gebruiker over te halen geld te betalen voor een upgrade naar een nieuwe versie van de software, die zogenaamd een eind zal maken aan de aangetroffen bedreigingen.
* DoS-aanvallen: In de Verenigde Staten bevinden zich de meeste doelwitten van DoS-aanvallen. Zij maken 54 procent van het mondiale totaal uit, met internetserviceproviders als meest belaagde sector. De Verenigde Staten hebben ook het hoogste percentage botnet-aansturende servers (42 procent van het totaal), terwijl in China de meeste botnet-geïnfecteerde computers staan (20 procent van het wereldtotaal).
* Toekomstige bedreigingen: Symantec voorziet voor de toekomst onder andere de volgende trends:
– Een herleving van het polymorfisme en andere ontwijkingstechnieken in kwaadaardige code voor Win32-toepassingen
– Een toename van het aantal bedreigingen dat gebruik maakt van ‘Web 2.0’-concepten zoals user-based publishing en technologieën zoals AJAX
– Beveiligingsproblemen rond de release van Windows Vista
– Een stijging van het aantal gerapporteerde kwestbaarheden als gevolg van het gebruik van ‘fuzzers’, programma’s of script die zijn ontworpen om kwetsbaarheden in softwarecode op te sporen.
