Společnost Fortinet zveřejnila předpověď hrozeb pro rok 2013, kterou vypracovalo její výzkumné středisko FortiGuard Labs. Podle zprávy bude letošek ve znamení šesti bezpečnostních trendů a podniky i jednotlivci by si měli dát pozor například na pokročilá mobilní rizika, zneužití chyb při komunikaci mezi zařízeními nebo meziplatformové botnety.

Cílené a sofistikované mobilní útoky

Pokročilé přetrvávající hrozby (advanced persistent threats, APT) jsou definovány schopností využívat sofistikovanou technologii a více metod či vektorů šíření k tomu, aby dosáhly svého cíle a získaly citlivé, nebo rovnou tajné informace. Z poslední doby reprezentují tuto kategorii škodlivé kódy Stuxnet, Flame a Gauss. Fortinet v roce 2013 předpokládá, že se podobné hrozby dostanou i do širší populace. Jejich obětí se mohou stát ředitelé velkých firem, celebrity nebo političtí představitelé. Je ovšem nutné upozornit, že ověření této předpovědi bude velmi obtížné. Útočníci se totiž poté, co získají hledané informace, snaží za sebou odstranit stopy i škodlivý kód tak, aby oběť neměla šanci zaregistrovat, že útok proběhnul. Navíc ti, kdo zjistí, že se stali cílem podobného útoku, o této situaci z pochopitelných důvodů neinformují. Protože se útoky zaměří více na jednotlivce, a nikoliv přímo na kritickou infrastrukturu, vlády nebo veřejné společnosti, budou rozličné i typy informací, které budou chtít útočníci získat. Jedno ale budou mít společné. Jejich cílem budou kriminální aktivity, jako je vydírání nebo vyhrožování únikem informací v případě, že nebude zaplaceno odpovídající „výpalné“.

Dvoufaktorová autentizace nahradí single sign-on v bezpečnostním modelu

Bezpečnostní model založený jen na heslech je mrtvý. Dnes snadno dostupné nástroje dokážou rozbít heslo o délce čtyř nebo pěti znaků v řádu několika minut. S pomocí nových cloudových nástrojů pro dešifrování hesel mohou útočníci vyzkoušet kolem tří set milionů kombinací hesla za pouhých dvacet minut, a to za méně než dvacet dolarů. Kriminálníci tak nyní mohou snadno kompromitovat i silné alfanumerické heslo se speciálními znaky za dobu, kterou potřebujete na oběd. Přihlašovací údaje uložené v zašifrovaných databázích (často napadané skrze webové portály a SQL injektáž) společně s bezdrátovou bezpečností (WPA2) budou populárním terčem útoků za využití právě cloudových služeb. Fortinet proto předpokládá, že tento rok bude v organizacích ve znamení narůstající implementace dvoufaktorové autorizace pro zaměstnance i klienty. Bude se skládat z webového přihlašovacího rozhraní vyžadujícího uživatelské heslo společně se sekundárním heslem, které bude generováno na samostatném bezpečnostním tokenu nebo přijato na mobilní komunikační zařízení. Je sice pravda, že nedávno zaregistrovaný botnet Zitmo byl schopný prolomit dvoufaktorovou autentizaci na zařízeních Android využívajících bezpečnostní token SecurID od RSA (stalo se už v roce 2011), ale tato metoda i nadále patří k nejefektivnějšímu zabezpečení on-line aktivit.

Exploity se zaměří na komunikaci zařízení – zařízení (M2M)

Komunikace zařízení–zařízení (machine to machine, M2M) odkazuje na technologii, která umožňuje bezdrátově nebo s pomocí klasických sítí komunikaci mezi zařízeními. Může jít o ledničku, která komunikuje s domácím serverem, aby upozornil obyvatele domu, že je na čase koupit mléko a vajíčka, může jít o letištní skener, který pořídí fotografii obličeje osoby a porovná ji s databází známých teroristů, může jít také o lékařské zařízení, které reguluje přívod kyslíku pacienta a upozorní lékařský personál, že tepová frekvence klesla pod určitou úroveň. Zatímco praktické technologické možnosti M2M jsou úžasné a mají v mnoha případech potenciál odstranit lidskou chybu, přetrvává mnoho otazníků ohledně jejich bezpečnosti. Podle Fortinetu letos zaznamenáme první pokusy o napadení systémů M2M, velmi pravděpodobně na platformě spojené s národní bezpečností, jako je například objekt určený pro vývoj zbraní. Útok bude nejspíše provedený „otrávením“ proudu informací, které putují komunikační linkou v rámci M2M. Jeden stroj pak zpracuje nekorektní informace, čímž dojde k otevření zranitelnosti a jejímu následnému zneužití útočníkem k přístupu ke zranitelnému bodu.

Exploity dokážou obejít prostředí sandboxů

Sandboxy (virtuálně uzavřená a izolovaná prostředí) jsou využívány v bezpečnostních technologiích k oddělení programů a aplikací tak, aby případný škodlivý kód nemohl přejít z jednoho procesu (např. prohlížeče dokumentů) do druhého (např. operačního systému). K tomuto schématu už přistoupilo několik výrobců (jako třeba Adobe a Apple) a je velmi pravděpodobné, že se k nim brzy přidají další. S tím, jak se tato technologie stává rozšířenější, útočníci přirozeně začínají řešit i to, jak ji obejít. Středisko FortiGuard Labs už zaznamenalo několik exploitů, které se dokázaly dostat z virtuálního stroje a izolovaného prostředí sandboxu. Šlo například o zranitelnost Adobe Reader X. Nejnověji objevené exploity se pokoušely zůstávat v „neviditelném“ režimu a neměly žádné další projevy (což by nasvědčovalo tomu, že jsou zatím ve vývoji a že jde o testy), nebo se aktivně pokoušely hromadně obejít všechny technologie. Fortinet předpokládá, že se v roce 2013 setkáme s inovativními kódy, které budou navržené k obejití izolovaných prostředí užívaných bezpečnostními aplikacemi a mobilními zařízeními.

Meziplatformové botnety

Mobilní botnety, jako například Zitmo, mají většinu stejných vlastností a funkcionalit jako tradiční botnety pro PC. Lze proto očekávat, že v roce 2013 spatří díky tomuto sdílení vlastností mezi platformami nové formy útoků odepření služby DDoS (distributed denial of service), které souběžně využijí PC i mobilní zařízení. Pro představu: infikované mobilní zařízení a PC budou sdílet stejné ovládací a řídicí servery a protokol útoku a budou schopné zaútočit společně v jednom okamžiku. Díky tomu se možnosti botnetů znásobí. To, co byly dosud dvě oddělené sítě botnetů běžící jednak na PC, jednak na zařízeních s mobilními operačními systémy, jako je Android, se nyní stane jedním botnetem využívajícím různého druhu koncových bodů.

Mobilní škodlivé kódy začnou dohánět malware na noteboocích a klasických PC

Dnešní škodlivé kódy jsou vytvářené pro mobilní zařízení stejně jako pro stolní počítače a notebooky. Dosud přitom byla hlavním cílem pozornosti útočníků právě platforma klasických počítačů. A to proto, že jich bylo tolik, a že jsou na světě přece jen delší čas. Ovšem toto se má šanci již brzy změnit. Výzkumníci pozorují významný nárůst v objemu mobilních škodlivých kódů a předpokládají, že tento trend bude v letošním roce ještě dramatičtější. Mimo jiné zásluhou toho, že se dnes prodává více mobilních telefonů než notebooků nebo stolních PC. Lze očekávat, že bude ještě několik let trvat, než se počty škodlivých kódů pro mobilní zařízení srovnají s počty malware pro PC, objem malwaru pro mobilní platformy však bude do té doby dramaticky růst. Jeho tvůrci totiž dobře vědí, že zabezpečení mobilních zařízení je mnohem komplikovanější než zabezpečení tradičních počítačů.

-fortinet-