V minulém čísle jsme vám přinesli dlouhodobou prognózu společnosti Gartner v oblasti informační bezpečnosti a rizik, která nás v nejbliších letech čekají. V následujícím článku nabízíme předpověď společnosti McAfee a jejího vývojového oddělení McAfee Avert Labs, která se týká největších bezpečnostních hrozeb pro rok 2007. Podle jejich údajů dnes existuje více než 217 tisíc různých druhů bezpečnostních hrozeb a další tisíce jich dosud nebyly identifikovány. Malware je stále častěji rozesílán profesionálními a organizovanými zločinci. Nebezpečný malware, na který by se měli správci sítí v roce 2007 zaměřit, zahrnuje nárůst webových stránek určených ke zcizení hesel (phishing), další nárůst spamu a pravděpodobnost, že hackeři využijí video formátů.

Phishing – bude se zvětšovat množství webových stránek zaměřených na zcizení hesel

V roce 2007 se objeví ještě více útoků, jejichž cílem je získat přihlašovací jméno a heslo uživatelů služeb na falešných přihlašovacích stránkách. Tyto útoky se zaměří hlavně na populární on-line služby, jako například eBay. McAfee Avert Labs také očekává další útoky využívající ochotu lidí pomáhat druhým (různé humanitární akce). Naproti tomu počet útoků na poskytovatele připojení by se měl snížit a útoky na finanční instituce zůstanou na zhruba stejné úrovni.

Objem spamů, zejména obrazových spamů, dále poroste

V listopadu 2006 tvořil spam obsahující obrazové soubory 40 % celkového množství spamů, před rokem to bylo méně než 10 %. V posledních několika měsících zaznamenal obrazový spam velký nárůst a některé jeho druhy, například výzvy k nákupu akcií, léků a falešných univerzitních diplomů, se nyní objevují výhradně v této podobě. Obrazový spam zabírá až třikrát více místa než srovnatelná textová informace, takže tento vývoj představuje značné zvýšení kapacity připojení, které spamy zabírají.

Popularita sdílení videa téměř povede k jeho zneužití hackery

Rostoucí popularita video souborů na výměnných serverech, jako je MySpace a YouTube, bude jistě přitahovat autory malwaru usilující o snadný přístup do rozsáhlých sítí. Narozdíl od podezřelých souborů zaslaných v příloze e-mailů většina uživatelů otevírá multimediální soubory bez zaváhání. Video je také lehce použitelný formát a autoři malwaru se pravděpodobně zaměří na další funkce jako padding, pop-up reklamy a přesměrování na jiné internetové stránky. Kombinace těchto nástrojů umožní autorům malwaru efektivně využít multimediální soubory k šíření jejich útoků.
Posledním případem multimediálního malwaru je například červ W32/Realor, který byl McAfee Avert Labs objeven začátkem listopadu. Tento červ je schopen otevírat škodlivé internetové stránky a vystavovat uživatele nebezpečí botů nebo krádeže hesel. Další druhy multimediálního malwaru, jako například Exploit-WinAmpPLS, mohou bez vědomí uživatele instalovat spyware. S rozvojem internetových výměnných sítí multimediálních souborů bude množství potenciálních obětí lákat autory malwaru k využití těchto možností.

Rozšíří se útoky na mobilní telefony

S pokračováním konvergence různých platforem bude docházet i k nárůstu útoků na mobilní telefony. S rostoucí konektivitou přes Bluetooth, SMS, instant messaging, e-mail, WiFi, USB, audio, video a web se zvyšuje počet možností pro napadení různých druhů přístrojů.
V roce 2006 jsme zaznamenali pokusy autorů malwaru vyvinout škodlivé kódy, které by se šířily z PC na telefon a naopak. Šíření z PC na telefon bylo umožněno kódem infikujícím smart telefony přes ActiveSync utility. Šíření hrozeb z telefonů na PC je zatím poměrně primitvní, používá například výměnné paměťové karty. Nicméně McAfee očekává průlom této oblasti již během roku 2007.
SMiShing, což je obdoba phishingu, šířeného e-mailem pro platformu SMS, bude také na vzestupu. V srpnu 2006 McAfee Avert Labs obdržely první SMiShingový útok využívající VBS/Eliles červa, rozesílajícího hromadné e-maily a SMS na mobilní telefony. Do konce září 2006 byly objeveny čtyři varianty tohoto červa.
V roce 2007 se také očekává nárůst komerčního mobilního malwaru. Zatímco většina malwaru, který Avert Labs objeví, obsahuje relativně jednoduché trojské koně, v souvislosti s objevením trojského koně J2ME/Redbrowser se výhled do budoucna mění. J2ME/Redbrowser je program, který předstírá přístup k internetovým stránkám formátu WAP prostřednictvím SMS. Ve skutečnosti ale místo načítání WAP stránek posílá SMS na čísla s drahým tarifem a způsobuje tak uživatelům telefonů nemalé ztráty. Další J2ME program, Wesber, který se objevil koncem roku 2006, také zasílá SMS na drahá čísla.
Koncem roku 2006 jsme zaznamenali zvýšenou aktivitu v oblasti spywaru pro mobilní přístroje. Většina z těchto programů monitoruje telefonní čísla a SMS záznamy nebo přeposílá SMS na jiný telefon. Jeden z takových spyware programů, SymbOS/Flexispy.B, je schopen na dálku aktivovat mikrofon napadeného přístroje a použít jej pro odposlech. Jiné spyware programy mohou aktivovat vestavěné fotoaparáty a kamery. McAfee očekává, že oblast spywaru pro mobilní telefony prodělá v roce 2007 bouřlivý vývoj.

Adware se stane normou

V roce 2006 zaznamenaly McAfee Avert Labs vzestup komerčních nechtěných programů, doprovázený ještě větším množstvím trojských koňů, keyloggerů, programů pro krádeže hesel a botů. Kromě toho roste i počet zneužití komerčního softwaru pomocí malwaru s dálkově ovládaným nasazením adwaru, keyloggerů a dálkově ovládaného softwaru.

Krádeže identity a ztráty dat budou i nadále diskutovanými problémy

McAfee očekává, že počet obětí těchto podvodů zůstane poměrně stabilní, ale oznámení různých subjektů o ztrátě nebo krádeži dat, stoupající počet kyberkrádeží a útoků na maloobchodní, platební a kartové systémy a krádeže přenosných počítačů obsahujících tajná data zajistí, že toto téma bude i nadále společensky atraktivní.

Rozšíří se používání botů

Boty, tj. programy, které provádějí automatické operace, jsou na vzestupu, ale očekává se jejich odklon od internet relay chat (IRC) komunikačních mechanismů k méně nápadným metodám.

Opět se rozšíří parazitický malware

I když parazitický malware představuje jen 10 % veškerého malwaru (90 % malwaru je statického typu), vypadá to, že se do našich počítačů opět vrací. Parazitické viry jsou viry, které modifikují stávající soubory na disku a přidávají do nich škodlivý kód. Když uživatel takto infikovaný soubor otevře, je spuštěn i virus. Příkladem jsou W32/Bacalid, W32/Polip a W32Detnat, tři polymorfní parazitické infikátory souborů, které byly identifikovány v roce 2006. Všechny se pokoušejí o stahování trojských koňů z nebezpečných internetových stránek.
Během listopadu McAfee Avert Labs také vystopovaly a monitorovaly důsledky W32/Kibik.a, parazitického viru, který obsahuje rootkit heuristiku, behaviorální detekci a IP blacklisty. Tento virus byl znám již delší dobu a jeho taktika přežívání je velmi zajímavá. Jeho instalace je zcela nedetekovatelná, jeho přítomnost a operace nejsou většinou zjištěny, neboť provádí nedetekované a nevinně vypadající vyhledávání v Googlu; Mohl by to být začátek nového trendu škálovatelného dálkově ovládaného malwaru (zvaného též botnet). Díky jeho nerozpoznatelnosti a nenápadnosti je W32/Kibik.a detekován a ničen pouze několika bezpečnostními řešeními.

Zvýší se počet rootkitů pro 32bitové platformy

Ale zároveň se zlepší ochrana před nimi. Pro 64bitové platformy, hlavně Windows Vista, jsou trendy v ohrožení malwaru těžko předvídatelné, nicméně McAfee Avert Labs očekávají pokles počtu kernel-mode rootkitů, alespoň krátkodobě, než autoři malware vyvinou nové techniky pro překonání PatchGuardu.

Slabá místa operačních systémů a aplikací budou i nadále problémem

V roce 2007 očekáváme další zvýšení počtu známých slabých míst. V průběhu roku 2006 oznámil Microsoft v rámci svého měsíčního patch programu již 140 slabých míst. McAfee Avert Labs očekává, že v důsledku zvýšeného používání fuzzer programů, které dovolují velkoobjemové testování aplikací a odměn lidem, kteří slabá místa objeví, se počet těchto oznámení ještě zvýší. Od ledna do září 2006 již Microsoft řešil více kritických slabých míst než v letech 2004 a 2005 dohromady.
McAfee Avert Labs také zaznamenaly nový trend v útocích nulového dne, které kopírují měsíční cyklus záplat od Microsoftu. Jelikož jsou záplaty na produkty Microsoft vydávány pouze jednou měsíčně, autoři škodlivého kódu často používají exploity nulového dne načasované na úterý, kdy jsou uvolněny nejnovější záplaty tak, aby maximalizovali čas, po který bude určité slabé místo využíváno.