December is de maand voor Norman om vooruit te kijken naar 2010 en terug te blikken naar 2009. De belangrijkste vaststelling op het gebied van malware in dit jaar is dat verschillende sociale netwerken, zoals Twitter en Facebook een belangrijk doelwit zijn geworden voor schrijvers van schadelijke programma’s.
Norman-internetbeveiligingstrends 2009:
Conficker – hoewel deze worm aan het einde van 2008 voor het eerst de kop opstak, veroorzaakte deze in 2009 de meeste problemen voor eindgebruikers en met name organisaties. De worm is in het eerste deel van 2009 het meest actief geweest, maar waart op dit moment nog steeds rond.
W32/Virut is een familie van zeer polymorfe virussen. De virussen in de Virut-familie zijn gedurende het hele jaar actief geweest en er dienen zich hoogstwaarschijnlijk in het komende jaar nog nieuwe varianten aan.
W32/Koobface is met name interessant omdat het verspreidingsmethoden door sociale netwerken als Facebook gebruikt. Het is voor het eerst gezien in 2008, maar 2009 is het jaar waarin het toppunt is bereikt.
In de "goede oude tijd" van schadelijke programma’s moesten beveiligingsorganisaties en gebruikers op een andere manier dan nu met malware omgaan. De meest gebruikte manier voor een schrijver van malware was toen om één schadelijk programma te maken en verschillende verspreidingstechnieken te gebruiken. Dit is de afgelopen jaren veranderd en de huidige situatie verschilt fundamenteel. Nu vormen cocktails van malware de algemene trend. Deze bestaan uit een hele reeks van verschillende typen schadelijke programma’s en ook dezelfde typen met verschillende functionaliteit.
Algemene tendensen en trends:
De groei in schadelijke software. Een indicator die de groei in schadelijke software gedurende een tijdsperiode aangeeft is het aantal handtekeningen voor schadelijke programma’s in de virusdetectiebestanden van Norman. In 2007 zijn er meer handtekeningen toegevoegd dan in alle voorgaande jaren samen. In 2008 zijn er meer handtekeningen toegevoegd dan het totale aantal aan het begin van het jaar. In 2009 zijn er iets minder handtekeningen toegevoegd dan het totale aantal aan het begin van het jaar. Dit lijkt aan te geven dat de groei is gestabiliseerd en eerder lineair dan exponentieel is zoals in de jaren voor 2008. Het totaal aantal nieuwe handtekeningen op dit moment is desalniettemin onvoorstelbaar hoog in vergelijking met het aantal aan het begin van dit decennium.
Legitieme software als schadelijk gerapporteerd. Het feit dat de hoeveelheid schadelijke software zo groot is geworden geeft een aanvullend risico. Legitieme software kan als schadelijk worden gedetecteerd wanneer deze overeenkomt met een deel van de handtekeningbestanden van de leveranciers van antimalware of een andere technologie voor de detectie van malware. Dit is dit jaar ook gebeurd met beveiligingssoftware van verschillende leveranciers, waaronder Norman. Helaas zal dit onvermijdelijk nogmaals gebeuren. De belangrijkste uitdaging voor de beveiligingsleveranciers is het vermijden van dergelijke incidenten voor essentiële systeembestanden en voor essentiële, veelgebruikte toepassingen. Met dit doel investeren leveranciers van beveiligingssoftware aanzienlijk in apparatuur die het mogelijk maakt om bestanden voor de detectie van malware zorgvuldig te testen met verschillende soorten legitieme software voordat de handtekeningbestanden algemeen worden verspreid.
Meer kwaadaardige computerprogramma’s. Programma’s die zich voordoen als iets anders, hebben vrijwel altijd bestaan. De trend die in 2008 is waargenomen, is in 2009 doorgegaan met een grotere stroom kwaadaardige programma’s die zich voordoen als antivirus- en antispywaretoepassingen. In 2009 is dit zelfs uitgebreid. In de loop van het jaar zijn kwaadaardige computerprogramma’s uitgegroeid tot een aanzienlijke marktsector. Het potentieel voor geldelijk gewin voor de betrokkenen is aanzienlijk, terwijl het risico minimaal is.
Sociale netwerken gebruiken voor de verspreiding van malware. Sociale netwerken zoals Facebook en Twitter zijn in het afgelopen jaar steeds populairder geworden. Het is goed te begrijpen dat sociale media dus ook worden gebruikt als verspreidingsmethoden voor malware. Als er één bepaald beveiligingsprobleem zou moeten worden gekozen als het belangrijkst in 2009, is dit volgens Norman het gebruik van sociale netwerken als doelwit voor de verspreiding en toepassing van malware, met name via social engineering.
Kwetsbaarheden in besturingssystemen en toepassingen worden nog steeds uitgebuit. De tendens dat schrijvers van schadelijke software gebruik maken van kwetsbaarheden in besturingssystemen en toepassingen om zich te verspreiden, heeft zich voortgezet. Populaire software zoals veelgebruikte webbrowsers, toepassingen van Adobe, kantoorsystemen, enzovoort, zijn allemaal getroffen. Niet alleen zijn de aanvallen gericht op de meest gebruikte toepassingen van Microsoft, ook populaire software van verschillende andere leveranciers is getroffen.
In vorige jaren waren de schrijvers van malware voornamelijk gericht op kwetsbaarheden in besturingssystemen zo ook Norman. Dit is recentelijk echter veranderd en veelgebruikte toepassingen zoals hierboven genoemd zijn steeds vaker het doelwit. Het is een bijzondere uitdaging voor gebruikers dat er geen standaard is voor het leveren van patches en updates voor toepassingen, waardoor er meerdere updatesystemen moeten worden gebruikt.
De schrijvers van malware zijn bijzonder snel in het uitbuiten van nieuwe kwetsbaarheden met zogenaamde ‘exploits’. Een gevolg van dit alles is dat softwarefabrikanten moeten proberen sneller te reageren met beveiligingspatches en andere tijdelijke oplossingen.
Schrijvers van malware maken steeds geavanceerdere programma’s die met dezelfde malware niet één maar verschillende kwetsbaarheden uitbuiten – met en zonder patches. Dit wordt nog eenvoudiger omdat kwaadwillende personen hun eigen set exploits op internet kunnen kopen en deze vervolgens in hun schadelijke programma’s gebruiken. Het maken van een schadelijk programma is nu mogelijk zonder enige programmeerkennis. Een van de gevolgen hiervan is dat social engineering-vaardigheden van de ‘malwareontwerper’ steeds essentiëler worden gezien de toenemende concurrentie tussen verschillend malware.
Grote mediagebeurtenissen worden gebruikt voor het activeren van malwareverspreiding. Dit is geen nieuwe en revolutionaire vaststelling. In 2009 hebben we echter gezien dat deze tendens is toegenomen. Schrijvers van malware publiceren hun malware steeds vaker via social engineering-technieken die meeliften met grotere mediagebeurtenissen. Er zijn hier verschillende voorbeelden van gezien. Eén van de belangrijkste hiervan zijn waarschijnlijk de hausse als gevolg van de dood en begrafenis van Michael Jackson, de ondergang van de DSB Bank en The Entertainment Group van Marco Borsato die de deuren moest sluiten.
Schadelijke software die nieuwe apparaten uitbuit. Er zijn dit jaar twee voorbeelden hiervan gezien: malware in geldautomaten en malware die routers en DSL-modems uitbuit. Dit is vermoedelijk pas het topje van de ijsberg. In de toekomst kan malware die apparaten aanvalt die door gewone gebruikers nooit als kwetsbaar of gevaarlijk zijn gezien, misschien wel juist heel gevaarlijk worden.
Bewustwording van bedreigingen voor het internet door belangrijke politici. Ten slotte kunnen we nog opmerken dat het internet als belangrijk onderdeel van de infrastructuur van de moderne maatschappij in de loop van het jaar is benadrukt. De Amerikaanse president Barack Obama heeft zich hier op 29 mei in een veelbesproken toespraak op gericht.
De algemene verwachtingen voor 2010:
"De cloud is leuk, maar het heeft zoveel gaten", zegt Righard Zwienenberg Chief Research Officer bij Norman. Door alle aandacht willen veel mensen en bedrijven "iets" met de cloud doen, zonder bij de risico’s en problemen stil te staan. "Mensen denken dat ze naar de cloud moeten omdat men er veel over schrijft. Het is goed dat erover geschreven wordt. Maar iedereen ziet het opeens als de ultieme oplossing, maar dat is het niet. De steeds veranderende gevaren bestrijden en de risico’s van de cloud monitoren is één van de grote prioriteiten".
Meer en steeds geavanceerdere uitbuiting van sociale netwerken.
Kwaadaardige beveiligingssoftware blijft populair.
De malwarecocktails blijven zich voordoen en worden flexibeler en er wordt steeds geavanceerdere rootkit-technologie ontwikkeld.
Automatische updates van malware worden innovatiever.