McAfee maakt een voorspelling bekend van de top-tien security bedreigingen voor 2007, opgesteld door McAfee Avert Labs.
Uit de gegevens van McAfee Avert Labs blijkt duidelijk dat malware steeds vaker wordt uitgegeven door professionele en georganiseerde criminelen. Collectief hebben we het dan over meer dan 217.000 verschillende virussen en andere vormen van schadelijke (internet)code. Duizenden andere zijn nog niet eens geïdentificeerd.
De top tien bedreigingen van McAfee Avert Labs voor 2007 ziet er als volgt uit, in willekeurige volgorde :
1. Het aantal websites voor het stelen van wachtwoorden zal stijgen. Daarbij worden valse inlogpagina's gecreëerd voor populaire online dienstverleners zoals eBay.
2. Het volume van spam, met name spamberichten in de vorm van plaatjes die veel bandbreedte nodig hebben, wordt steeds groter
3. Door de populariteit van het delen van video's op het internet is het onvermijdelijk dat hackers zich op MPEG-bestanden gaan richten voor het verspreiden van kwaadaardige code
4. Aanvallen op mobiele telefoons zullen vaker voor gaan komen. Ironisch genoeg komt dat doordat mobiele apparaten steeds 'slimmer' worden en met betere verbindingen werken
5. Adware wordt mainstream na de toename van commerciële PUP's (Potentially Unwanted Programs)
6. Identity theft en verlies van data blijft een probleem. De achterliggende oorzaak is vaak diefstal van computers, verlies van back-ups en aangetaste informatiesystemen
7. Het gebruik van bots, computerprogramma's die geautomatiseerde taken uitvoeren, zal zich verder uitbreiden als een van de favoriete werktuigen van hackers.
8. Parasitaire malware, of virussen die bestaande bestanden op een schijf veranderen zullen een come-back maken.
9. Het aantal rootkits op 32-bit platforms zal omhoog gaan, maar bescherming en herstelfuncties worden ook uitgebreid.
10. Vulnerabilities blijven een zorgpunt dat wordt gevoed door de 'zwarte markt voor vulnerabilities’.
“Binnen een relatief korte tijd zijn computers een intrinsiek en essentieel onderdeel van ons dagelijkse leven geworden,” filosofeert Jeff Green, senior vice president van McAfee Avert Labs and product development. “Als gevolg daarvan kunnen de auteurs van malware rekenen op een enorm potentieel aan geldelijk gewin. We zien dat de technieken steeds geavanceerder worden. Zo wordt het steeds moeilijker voor de doorsnee gebruiker om infectie met malware te herkennen en te voorkomen.”
De onderzoekers van McAfee zien nu de opkomst van professionele en georganiseerde misdaad zich aftekenen. Hele ontwikkelingsteams zijn bezig met het schrijven van malware, het inzetten van testprocessen het automatiseren van productie en verspreiding. Steeds vaker wordt het internet geconfronteerd met geavanceerde technieken zoals polymorfisme, de terugkeer van parasitaire infectoren, rootkits en geautomatiseerde systemen met cyclische encryptie waarmee nieuwe bedreigingen worden uitgegeven. Verder worden bedreigingen verpakt of verzegeld met encryptie als dekmantel voor hun malafide bedoelingen. Het wordt allemaal steeds gecompliceerder en het gaat in een steeds sneller tempo.
Afgelopen juli kondigde McAfee de officiële bescherming aan tegen de 200.000ste bedreiging die zijn de database is opgenomen. Sinds 1 januari 2006 heeft McAfee ongeveer 50.000 nieuwe bedreigingen aan zijn database toegevoegd en het ziet ernaar uit dat het cijfer van 225.000 nieuwe bedreigingen voor dit jaar ruimschoots zal worden gehaald. Gezien de huidige trends verwacht McAfee dat de 300.000ste bedreiging rond eind 2007 zal worden geïdentificeerd. Dat onderstreept maar weer hoeveel groeipotentieel er in deze 'branche' zit.
Aanbevelingen van McAfee Avert Labs
Ter bescherming tegen de bovengenoemde bedreigingen en malafide programma's raadt McAfee Avert Labs zowel bedrijven als particulieren aan altijd bij te blijven met hun beveiligingsprogramma's. Download steeds de updates met de nieuwste Date Definition Files (DAT's), installeer de nieuwste patches en implementeer een aantal 'beveiligingsschillen' voor het detecteren en blokkeren van aanvallen.
Voor meer informatie over specifieke bedreigingen, of als u meer wilt weten over doorbraken in beveiligingsonderzoek en de mening van anderen wilt lezen over dit onderwerp, kunt u terecht op het 'Security Blog' van McAfee Avert Labs: http://www.avertlabs.com/research/blog/
McAfee AVERT Labs is een van de grootste onderzoeksorganisaties op het gebied van anti-virus- en kwetsbaarheidsresearch ter wereld, met medewerkers in 12 landen en zeventien steden wereldwijd. McAfee Avert Labs combineert onderzoek op een wereldwijd hoog niveau naar virussen en malafide code met expertise in voorkoming van binnendringing en kwetsbaarheidsonderzoek.
Hieronder volgt meer uitgebreide informatie per voorspelling.
Prognose van McAfee AVERT Labs voor 2007
Steeds meer websites voor het stelen van wachtwoorden
In 2007 zullen steeds meer gevallen aan het licht komen van diefstal van identiteit en wachtwoorden door het weergeven van valse inlogpagina’s en door gerichte aanvallen op populaire online dienstverleners zoals eBay. Een voorproefje van wat ons op dat gebied mogelijk te wachten staat, was te zien in de nasleep van de recente natuurrampen in Amerika, waar in het spoor van orkaan Katrina een ware stortvloed van phishing-mails op gang kwam. Naar aanleiding daarvan verwacht McAfee Avert Labs ook meer aanvallen die gebaseerd zijn op de bereidheid van het algemene publiek om geld te geven voor noodtoestanden. De aanvallen op service providers zullen daarentegen vermoedelijk in aantal enigszins afnemen, terwijl de aanvallen in de financiële sector niet significant zullen veranderen.
De voortgezette opmars van spam, met name in image spam
In november 2006 betrof image spam (spam met afbeeldingen) zo'n 40 procent van het totale aantal spamberichten. Een jaar geleden was dat nog minder dan 1 procent. Met name in de laatste paar maanden is de inzet van image spam aanzienlijk gestegen en verschillende soort spam, pump-and-dump aandelen, farmaceutische producten en opleidingen worden nu meer als afbeelding verzonden dan als tekst. Image spam is qua bestandsgrootte gemiddeld driemaal zo zwaar als eenzelfde bericht met tekst. Door het gigantische volume van spamberichten vormt dit een zeer grote belasting voor de bandbreedte.
Video op internet wordt het slachtoffer van eigen populariteit
Er wordt steeds meer met videobestanden gewerkt op sociale online netwerken zoals MySpace, YouTube en VideoCodeZone. Dat heeft een magische aantrekkingskracht op auteurs van malware. Zij zijn altijd op zoek naar manieren voor gemakkelijke verspreiding op een breed netwerk. In tegenstelling tot bestanden die met een e-mailbericht worden meegestuurd, zullen ontvangers van dit soort mediabestanden ze zonder enige aarzeling openen. Video is een gebruikersvriendelijk formaat en functionaliteiten als padding, pop-up advertenties en URL-redirects zijn ideale tools voor malware auteurs. Door deze combinatie van factoren kunnen malafide programmeurs bijzonder effectief zijn met media-malware.
Begin november werd de W32/Realor worm ontdekt door McAfee Avert Labs. Hierbij gaat het om een recent voorval van media-malware. Deze worm was in staat om malafide websites te openen zonder dat de gebruiker dit had gevraagd. Daardoor kan de gebruiker worden blootgesteld aan bots of 'wachtwoordmagneten' die op deze pagina's zijn ingebouwd. Met andere media-malware, zoals Exploit-WinAmpPLS, kan spyware stiekem geïnstalleerd worden, waarbij slechts minimale interactie met de gebruiker nodig is. De mogelijkheden op het internet voor het delen van video's groeien exponentieel. Dat is echter een uitnodiging voor auteurs van malware om deze kanalen te gaan gebruiken voor geldelijk gewin. Het gaat tenslotte om een groot publiek dat 'bereikt' kan worden.
Meer mobiele aanvallen
Mobiele aanvallen blijven groeien met de verdere convergentie van platforms. Het gebruik van 'smart phone' technologie heeft de hoofdrol gespeeld in de transitie van de bedreiging, van multifunctionele, min of meer stationaire PC's, naar kleinere, draagbare apparatuur. Door toegenomen connectiviteit zoals BlueTooth, SMS, instant messaging, email, WiFi, USB, audio, video en het internet zijn er steeds meer mogelijkheden voor besmetting tussen verschillende apparaten.
In 2006 deden auteurs van mobiele malware voor het eerst pogingen om infectievectoren te scheppen van PC's naar de telefoon en andersom. De vector van PC's naar telefoon werd inderdaad bereikt. MSIL/Xrove.A, een malware op .NET, kan een smart-phone infecteren via ActiveSync. Bestaande vectoren van telefoon naar PC zijn momenteel nog primitief van karakter. Infectie vindt nu voornamelijk plaats door middel van uitneembare geheugenkaarten. McAfee verwacht echter dat het volgende ontwikkelingsstadium in 2007 zal worden bereikt.
SmiShing is de telefoonvariant van phishing. Hierbij worden phishing-technieken getransponeerd naar het medium SMS. Ook bij dit fenomeen wordt een sterke groei in het aantal voorvallen verwacht. In augustus 2006 ontving McAfee Avert Labs het eerste voorbeeld van een SmiShing aanval met VBS/Eliles. Dit is een massa-mail worm die ook berichten kan sturen naar mobiele telefoons met SMS. Eind september 2006 waren er al vier varianten van deze worm ontdekt.
Daarnaast wordt voor 2007 een stijging verwacht in for-profit mobiele malware. De meeste malware die Avert Labs onder ogen komt is gebaseerd op relatief eenvoudige Trojaanse paarden. Dit zal echter niet zo blijven met de komst van de J2ME/Redbrowser, een geavanceerde variant op het Trojaanse paard. Met J2ME/Redbrowser wordt ogenschijnlijk geprobeerd om WAP-pagina's (mobiel internet) op te zoeken via SMS-berichten. In werkelijkheid worden SMS-berichten verzonden naar dure nummers en wordt er helemaal niet naar WAP-pagina's gezocht. Dat kost de gebruiker aanzienlijk meer dan de bedoeling was. Een tweede J2ME, Wesber, kwam recentelijk bovendrijven en stuurt ook berichten naar een SMS-nummer met een hoog tarief.
Eind 2006 regende het spyware voorvallen in de mobiele telefonie. De meeste zijn ontworpen om telefoonnummers te monitoren en SMS call-logs bij te houden. In andere gevallen werden SMS-berichten 'gestolen' door het verzenden van kopieën naar een andere telefoon. Eén vorm van spyware in het bijzonder, SymbOS/Flexispy.B, is in staat om de microfoon van het apparaat van het slachtoffer op afstand te activeren, zodat iemand met het slachtoffer kan meeluisteren. Andere spyware kan bijvoorbeeld de camerafunctie activeren. McAfee verwacht in 2007 een groei in het aanbod van commerciële spyware voor mobiele apparatuur.
Adware: van niche naar hoofdcategorie
In 2006 is het aantal PUP's (Potentially Unwanted Programs) sterk gestegen. Bij aanverwante typen malafide Trojaanse code – voornamelijk keyloggers, programma's voor het achterhalen van wachtwoorden, bots en 'backdoors' – ligt dat percentage aanmerkelijk hoger. Daarnaast is er sprake van een toename in het aantal gevallen waarbij commerciële software wordt misbruikt om mogelijk subversieve code in de vorm van reclamesoftware, keyloggers en andere varianten van extern bestuurde programma's op afstand, binnen te smokkelen. Ondanks de sociale, juridische en technische uitdagingen is er bijzonder veel commerciële interesse in modellen voor advertentie-inkomsten. Daarom verwacht McAfee dat meer legitieme bedrijven reclamesoftware gaan gebruiken op manieren die (hopelijk) minder bezwaarlijk zijn voor de consumenten dan de meeste adware op dit moment doet.
Identity theft en verlies van data blijven een probleem
Volgens de cijfers van de Amerikaanse Federale Handelscommissie worden elk jaar niet minder dan 10 miljoen Amerikanen het slachtoffer van identiteitsfraude. De achterliggende oorzaak is vaak diefstal van computers, verlies van back-ups of aangetaste informatiesysteem. De experts bij McAfee denken dat het aantal slachtoffers niet zoveel omhoog zal gaan. Het probleem blijft echter hoog op de agenda staan bij het brede publiek, met name elementen als verloren of gestolen data, meer incidenten van cyber-diefstal; hacken in systemen van detaillisten en ketens, administratieve verwerkingssystemen, pin-automaten; voorvallen van gestolen laptops met vertrouwelijke data.
Daarnaast wordt door McAfee Avert Labs voorspeld dat ongeautoriseerde overbrenging van informatie een groter risico wordt voor ondernemingen met betrekking tot verlies van data en niet-naleving. Daaronder valt ook verlies van gegevens over klanten, persoonlijke informatie over medewerkers en intellectueel eigendom door middel van alle mogelijke datalekken: applicaties, netwerken en zelfs fysieke kanalen zoals USB devices, printers, fax en uitneembare geheugensticks en -kaarten. McAfee verwacht daarnaast een stijging in archivering en encryptie met het rijper worden van de markt voor het tegengaan van dataverlies.
Meer bots
Bots, computerprogramma's die geautomatiseerde taken uitvoeren, timmeren aan de weg, maar zullen minder worden ingezet op IRC-gebaseerde communicatiemechanismen (chat) en meer bij elementen die minder in het oog springen. In de afgelopen jaren werd toenemende interesse in IRC-bedreigingen opgetekend binnen de virus-producerende gemeenschap. Dit kwam met name door de grote mogelijkheden die geboden werden in de IRC-scriptingtaal en het gemak waarmee besmette apparaten konden worden bestuurd vanuit een chat-room structuur.
“Mules” blijven ook een belangrijk aspect bij manieren om geld te verdienen met bots. Hierbij gaat het om thuiswerk dat aangeboden wordt op zeer professioneel overkomende internetsites, via kleine advertenties of zelfs met behulp van IM (instant messaging). Door deze elementen kunnen veel bots vanuit de hele wereld gerund worden. De dieven hebben te maken met veel striktere wetgeving als de goederen (of contanten) die ze bestellen met een gestolen creditcard of identiteit naar een ander land worden geëxporteerd. “Mules” uit het land van de goederen worden ingezet om deze regels te omzeilen. Vaak worden deze goederen dan weer doorverkocht om contanten te genereren.
De comeback van parasitaire malware
Hoewel parasitaire malware minder dan 10 procent vormt van alle malware (dat voor 90 procent uit statische malware bestaat) lijkt het erop dat we een come-back van parasitaire malware kunnen verwachten. Parasitaire infectoren zijn virussen die bestaande bestanden op een schijf veranderen, waarbij code wordt “geïnjecteerd” in het bestand waar de informatie is opgeslagen. Wanneer de gebruiker het besmette bestand opstart, wordt ook het virus opgestart. Drie populaire polymorfe parasitaire bestandsinfectoren die in 2006 zijn geïdentificeerd zijn W32/Bacalid, W32/Polip and W32Detnat. Deze vormen zijn 'ondergronds' en proberen Trojaanse paarden te downloaden van aangetaste websites.
Ook noemenswaardig is dat 80 procent van alle malware verpakt of versluierd is om het malafide doel te verbergen. Ook wordt vaak encryptie gebruikt voor dat doeleinde. Voorbeelden van versluierde parasitaire infectoren zijn w32/Bacalid en w32/Polip.
Eerder deze maand heeft McAfee Avert Labs de belasting getraceerd en bijgehouden van W32/Kibik.a. Dit is een parasitair virus en zero day exploit met rootkit methoden, gedragsdetectie en IP-zwartlijsten, zaken die de afgelopen jaren een druk gespreksonderwerpen waren in de beveiligingswereld. W32/Kibik.a doet een interessante poging om te overleven in het scherpst van de strijd. Van stiekeme installatie via een zero day exploit tot verstekelingen en stiekeme handelingen, van een vrijwel onopmerkbare en onschuldig lijkende raadpleging van Google: W32/Kibik.a zou wel eens het begin kunnen zijn van een nieuwe trend in 2007 in extern bestuurbare malware ofwel botnet. Met al deze moeilijk te herkennen elementen is het niet verwonderlijk dat tot op heden nog niet veel beveiligingsfirma's detectie of reparatie van W32/Kibik.a aanbieden.
Het aantal rootkits op 32-bit platforms zal omhoog gaan, maar bescherming en herstelfuncties worden ook uitgebreid. Op 64-bit platforms, met name Vista, zijn malware trends moeilijk te voorspellen omdat de inburgeringscijfers voor het 64-bit platform nog volop duidelijk moeten worden. McAfee Avert Labs verwacht in het algemeen echter het volgende:
Een terugname in kernel-mode rootkits, in elk geval op korte termijn. Auteurs van malware zijn bezig nieuwe technieken te ontwikkelen voor het omzeilen van PatchGuard.
Een stijging in user-mode rootkits en user-mode malware in het algemeen, of in elk geval een grotere impact van 64-bit malware. Steeds meer geavanceerde methoden en gedragstechnieken die aangereikt worden door de meeste geavanceerde beveiligingssoftware wordt zelf ook gehinderd door PatchGuard. Deze situatie zal in elk geval van toepassing blijven tot Vista service-pack 1. Daarbij introduceert Microsoft nieuwe API's. Het kan echter langer duren. Dat is mede afhankelijk van het herschrijfwerk dat nodig is voor de beveiligingspakketten en ook van de verkoopcijfers van SP1.
Kwetsbaarheid blijft een zorgpunt
Het aantal ontdekte kwetsbaarheden neemt waarschijnlijk toe in 2007. Tot nog toe heeft Microsoft 140 kwetsbaarheden aangekondigd via het maandelijkse patch-programma, in 2006. McAfee Avert Labs verwacht dat dit aantal zal stijgen door het toenemende gebruik van fuzzers, die grootschalige testprocessen van applicaties mogelijk maken. Een andere factor in de toename is het bonusprogramma dat onderzoekers beloont voor het vinden van kwetsbaarheden. Dit jaar heeft Microsoft al meer patches voor kritieke kwetsbaarheden uit moeten geven dan in 2004 en 2005 samen. In september 2006 werd het totale aantal kritieke kwetsbaarheden van 2004 en 2005 samen bereikt: 62 stuks.
Ook heeft McAfee Avert Labs een trend opgemerkt voor zero day aanvallen na de maandelijkse patch-cyclus van Microsoft. De patches worden slechts eenmaal per maand uitgegeven. Dit zien de schrijvers van exploits als een aanmoediging om zero day Microsoft exploits uit te geven net na de maandelijkse Patch-dinsdag. Dat maximaliseert de loopduur van de potentiële blootstelling.
