Ce aduce 2011 în termenii securității IT? Ce amenințări va trebui sa înfuntăm și ce tendințe se vor contura în ceea ce privește atacurile malware? Pentru a răspunde acestor întrebări am utilizat resursele globale ESET și am chestionat unii din cel mai buni analiști din industrie, inclusiv pe expertul ESET David Harley și pe colegii din cadrul noului centru ESET Cyber Threat Analysis Center (CTAC) despre direcțiile si tendințele din 2011.
Echipa CTAC localizată în San Diego consideră că rețelele de socializare vor fi în prim planul atacurilor și „ingineriilor" sociale de tipul celor pe care deja le experimentează utilizatorii de Facebook și Google, și anticipează de asemenea o creștere a volumului de atacuri îndreptate asupra altor site-uri de social networking precum LinkedIn, Twitter și Orku, dar și asupra altor motoare de căutare precum Bing și Yahoo. Acest lucru va fi posibil în ciuda faptului că liderii de pe această piață vor continua să ia măsuri speciale care cresc costul atacurilor sociale asupra Facebook și Google. Facebook prezintă de pildă un tip special de vulnerabilitate: poate continua să încerce să trateze simptomele mai degrabă decât cauza acestora, continuand să prezinte problema expunerii excesive a datelor intime din rețelele sociale drept ceva dorit și solicitat de către clienți, astfel încât devine responsabilitatea acestora să se asigure că datele afișate nu sunt oferite public într-o modalitate cu care nu ar fi normal de acord dacă ar fi întrebați explicit. Anumite rețele de socializare cu profil similar Facebook, mai puțin cunoscute in România, (Bebo spre exemplu), au decis să treaca de la abordarea standard "nu se blocheză accesul public la nici una din informațiile postate de utilizator" către "se blocheză accesul liber la anumite informații intime ale acestuia ", cu toate că punerea liberă la dispoziția publicului a cât mai multe informații despre clienții lor reprezintă fundamentul modelului lor de business. Facebook rămane în continuare echivoc.
Dispozitivele mobile de tipul smartphone-urilor vor fi o țintă din ce in ce mai atractivă: mărcile care sunt protejate de către aplicații solide de whitelisting vor fi mult mai puțin vulnerabile în fața atacurilor malware, însă este de așteptat ca atacurile fraudulente prin inginerii sociale să continue.
Deși rețelele de tip botnet nu mai reprezintă de mult ceva nou, ele vor continua să crescă în importanță de-a lungul anului 2011: datele din serverele de tip Shadowserver anticipează o creștere în volumele rețelelor botnet, în vreme ce datele oferite de ThreatSense.Net sugerează o creștere comparabilă în volumele bot malware, informații care arată că PC-urile zombie vor constitui o pondere mare din totalul tuturor sistemelor PC infectate. Este de așteptat, de asemenea, ca ulterior importantei pe care au avut-o în 2010 rețelele botnet controlate prin Twitter, cei care „cresc" astfel de rețele să experimenteze și alte canale de tipul Comandă și Controlează. Vestea buna este ca succesul recent înregistrat în depistarea și anihilarea acestor rețele de boti este așteptat să continue și poate chiar să crească. Echipa ESET Cyber Threat Analysis Center a căzut astfel de acord și în privinta faptului că rețeleele de boți vor constitui o problema majoră în continuare, dar speră că tot mai mulți oameni implicați vor intelege că rețelele botnet de mici dimensiuni și aproape inactive reprezintă o amenințare cel puțin la fel de mare ca rețelele botnet de mari dimensiuni, atât de atent monitorizate de cercetatorii din domeniul securitatii încat pot fi abandonate oricând de creatorii lor. Pornind de la Boonana, care are un caracter similar cu amenințarea Koobface în sensul în care deține potențial de infectare pentru mai multe sisteme de operare, este probabil ca în 2011 să apară mai multe amenințări malware care sa utilizeze medii precum Java pentru a acționa pe platforme multiple, spre exemplu rețele botnet care includ unități zombie capabile să ruleze atât pe sisteme de tip Windows cât și pe platforme diferite de cea oferită de Microsoft.
BlackHat SEO (Search Engine Optimization), uneori folosita cu sensul de otrăvire a indexurilor web sau "index hijacking", reprezintă o tehnică deloc noua: cu toate acestea utilizarea mediilor sociale le oferă atacatorilor blackhat suficiente motive pentru optimizarea acestei tehnici prin care direcționează traficul utilizatorilor spre site-uri malițioase în timp real, în timpul căutarilor, subiect dezbătut pe larg în cadrul conferinței Virus Bulletin din 2010.
Echipa CTAC a confirmat că tehnicile de inginerie sociala vor continua să reprezinte una dintre problemele principale, nu numai în contextul discuției despre malware. Majoritatea conținutului malware va continua să se propage prin canalale deja știute (email, URL-uri malițioase, forumuri etc.) prin păcalirea utilizatorilor de a da click în zone capcana. Cu toate acestea, sunt așteptate din cand în cand și alte suprize neplăcute de tipul vulnerabilitățiior .LNK, chiar dacă este posibil să treacă ceva timp până ce "băieții rai" le vor descoperi. Este posibil să ne confruntam cu noi atacuri, similare celor efectuate asupra sistemelor SCADA, cu intenția de subtilizare a datelor, dar probabil că tehnicile se vor diversifica înspre spear-phishing și utilizarea malware-ului tipic ingineriilor sociale precum și în direcția atacurilor 0-day și troienilor, mai degraba decât prin malware autoreplicant precum Win32/Stuxnet. Cu toate acestea, scopul pentru care se pare că a fost conceput Stuxnet este cel mai probabil sabotajul industrial: deși multe analize au sugerat ca codul utilizat de Stuxnet poate fi foarte ușor de adaptat pentru a ataca tot soiul de instalații diferite de cele afectate, este de așteptat ca ideea utilizării acestui cod malware în scopul sabotajului să rămana în continuare un subiect de speculare și investigare activa. În plus, uneltele automate de colectare a informațiilor de pe site-urile de socializare, precum și scurgerile de date, vor reduce considerabil costurile noilor atacuri de tip spear phishing, condiții care înlesnesc potențialul de apariție al unor atacuri puternice și foarte profilate.
Furnizorii de soluții anti-malware vor depinde din ce în ce mai mult de telemetria bazată pe sisteme cloud pentru analize reputaționale sau pentru programarea anti-malware facută de către inginerii de securitate. În cadrul workshop-ului CARO care a avut loc în Helsinki în mai 2010, numarul de mostre malițioase unice "cunoscute" a fost acceptat ca fiind de peste 40 milioane. Anticipăm că această contabilizare va depăși peste 50 milioane în cursul anului 2011. De fapt, acesta cifră este destul de conservatoare: totuși, obținerea unei cifre precise reprezintă în sine o provocare datorită unor factori precum diferențele în modalitatea în care companiile efectueaza număratoarea și timpul necesar pentru verificarea existenței duplicatelor.
