Illés
17 °C
29 °C

A zsarolóvírusoktól érdemes félni, nem az okostermosztáttól

2016.09.29. 07:58
A Dolgok Internetével biztosan meggyűlik még a bajunk, de egyelőre nem emiatt fájhat a fejünk. A legnagyobb veszélyt ma a zsarolóvírusok jelentik az adatainkra. Pontosabban a mögötte álló kiberbűnözők, akik egyre ügyesebbek, és az üzleti modelljük is egyre profibb. A hekkervadász cégek a nagyhalakra utaznak, de a cél, hogy a mezei hekkereknek elmenjen a kedve a bűnözősditől. A sebezhetőség még mindig egyre több, de jó hír, hogy ezeket már egyre nehezebb kihasználni, kevesebb a könnyű préda. Martin Lee-vel, a világ egyik legnagyobb biztonsági elemzőcége, a Talos európai vezetőjével beszélgettünk.

Ingyen is fejlesztünk, csak használjátok

A Talos csapatában 250 kutató dolgozik folyamatosan, és a munkájuk adja a Cisco biztonsági termékeinek a gerincét. Emellett viszont a szélesebb közösséggel is együttműködnek, információt és eszközöket osztanak meg, mert úgy vannak vele, hogy az a saját ügyfeleiknek is jó, ha az internet általában is biztonságosabb hely.

A legismertebb szabadon felhasználható fejlesztéseik a ClamAV, a világ legnagyobb nem Windowsra írt nyílt antivírus szoftvere, és a Snort nevű behatolás-felderítő rendszer. A SenderBase pedig a világ legnagyobb emailes és webes adatforgalom-monitorozó hálózata, amely átfogó képet ad a vírusok és spamek terjedéséről, térképes, lekérdezhető formában.

A Talos a világ egyik vezető hálózatbiztonsági fenyegetéselemző szervezete. Valós időben figyelik a webes adatforgalmat, sebezhetőségeket fedeznek fel, behatolókra vadásznak, és eszközöket fejlesztenek a védelemhez. Van honnan meríteniük, mivel az anyacégük, a Cisco a világ legnagyobb hálózati eszközöket gyártó és működtető cége, az ő kiterjedt szenzorrendszerük szolgáltatja az alapanyagot az elemzéshez.

Fogjuk az adatokat, és a rosszfiúkra vadászunk velük

– mondta az Indexnek Martin Lee, a Talos egyik európai vezetője, akivel a Talos legfrissebb, 2016 első feléről kiadott biztonsági jelentése kapcsán beszélgettünk arról, mitől kell leginkább tartani az interneten, és hogy néz ki manapság a kiberalvilág.

Zsarolnak orrba-szájba

A legfontosabb trend Lee szerint egyértelműen a zsarolóvírusok felemelkedése. Ezek olyan kártékony programok, amelyek egy számítógépre jutva titkosítanak bizonyos fájlokat vagy akár az egész rendszert, és váltságdíjat követelnek azért, hogy a tulajdonos újra hozzájuk férhessen. A megjelenésük nem újdonság, de csak az utóbbi évben váltak igazán ismert és elterjedt veszéllyé. Erről a trendről a magyar kórházakat megfertőző zsarolóvírusok kapcsán mi is írtunk részletesen. Ha ön is érintett, ide kattintva nézhet segítség után.

Lee szerint a hekkerek rájöttek, hogy több pénzt tudnak kisajtolni az emberekből, ha a számukra fontos fájljaik elvesztésével zsarolják őket, mint amennyit ezek ellopásából és az információ eladásából keresnének. Az új üzleti modell pedig úgy tűnik, mostanra kezd beérni.

Martin Lee
Martin Lee

Bár a zsarolóvírusok előretörése mostanra közhely, arról vita folyik, hogy ki jár ezzel jól valójában. Olvasható olyan vélemény is, hogy valójában nem is olyan jövedelmező a zsarolósdi: a haszon javát a kiterjedt bűnözői hálózatok tetején a működést irányító csúcsbűnözők fölözik le, a mezei hekkereknek a lánc alján nagyok az indulóköltségek és csekély a profit, ráadásul a piac telítődik is.

Bérelhető kiberfegyvert tessék

Az Angler volt az egyik leghatékonyabb ismert hekkereszköz, először 2013-ban észlelték, és tavaly ősszel mért rá döntő csapást a Talos csapata.

Idén szeptemberben derült ki, hogy az Anglert fejlesztő, nyáron a Kaspersky Lab segítségével elkapott orosz Lurk hekkercsoport másoknak is bérbe adta a kiberfegyvert. Többek között ezt használta az egyik legaktívabb és legveszélyesebb zsarolóvírus, a CryptXXX mögött álló csoport, illetve a Neverquest trójai bankvírus terjesztői is, akik majdnem száz különböző bankot támadtak meg a segítségével.

Mikor erről kérdeztük, Lee egy tavalyi rajtaütésüket hozta fel példaként. A Talosnak tavaly ősszel sikerült betörni annak a hekkercsoportnak a hálózatára, akik az Angler nevű híres hekkerfegyvert fejlesztették, és hozzáfértek a naplófájljaikhoz is, vagyis elég mélyen beleláttak a tevékenységükbe. A csoport zsarolóvírus-terjesztéssel is foglalkozott. Az általuk követelt váltságdíjaknak naponta majdnem három százalékát fizették ki az áldozatok, ez napi 65 fizető ügyfél, az átlag fizetség 300 dollár, és 147 különböző szerver dolgozott párhuzamosan. Ezeket összeszorozva meg tudták mérni, hogy csak ez az egyetlen banda majdnem évi 35 millió dollárt (9,5 milliárd forintot) szedett össze.

Persze ez az egyik legnagyobb és legjövedelmezőbb banda volt, de annyi biztosan látszik a példájukból, hogy rengeteg pénz mozog a zsarolóvírus-piacon. Az természetes, hogy minden bűnszervezetben vannak különböző szintek, egy hagyományos bűnbandában is máshogy keres a főnök, mint az utcai zsebtolvaj, valószínűleg ugyanígy működnek a kiberbűnözői hálózatok is. A kifinomult hekkerek, akik az eszközök és az üzleti modell tökéletesítésén dolgoznak, jobban járnak, mint a kevésbé képzett gyalogosok. A hekkervadász biztonsági szakértőknek elsősorban a nagyhalakra kell koncentrálniuk, de

ha tényleg el tudjuk venni a kisebb hekkerek kedvét, az nagyon jó hír.

– mondja Lee. Az ő feladatuk szerinte éppen ez: a bekerülési küszöböt kell megemelniük, megnehezíteni, hogy a kis játékosok el tudjanak kezdeni pénzt keresni.

A Locky zsarolóvírus működés közben
A Locky zsarolóvírus működés közben
Fotó: wikimedia

Ahogy egy korábbi cikkünkben írtuk, a zsarolóvírusok egyik fajtájában a zsarolók azzal bolondítják meg a fenyegetést, hogy valamilyen illegális fájlra hivatkozva kérnek pénzt. Ez a típus általában megpróbálja elhitetni az egyszeri felhasználóval, hogy őt éppen valamilyen helyi bűnüldöző hatóság buktatta le, és ha nem fizet, komoly büntetés vár rá. Ennek a magyar változata volt a bénán fordított “Magyar Rendőrség Osztály Elleni Kiberbűnözés” vagy a Nemzeti Nyomozó Iroda nevében eljáró kártevő.

Lee szerint azonban ennek ellenére nem jellemző már, hogy egy-egy országra vagy régióra szabnának támadásokat. Olyan előfordul, hogy mondjuk egy orosz hekkercsoport orosz nyelvterületen nem terjeszti a kártevőjét, de a kiberbűnözés ma már alapvetően globális üzlet. A kisebb játékosok, a hálózatok legalsó szintjén működő hekkerek dolgozhatnak a helyi piacra, de nem ez a tipikus helyzet.

Több a veszély, de kevesebb a könnyű préda

A másik fontos trend, hogy a szoftverekben talált sebezhetőségek száma továbbra is növekszik, várhatóan idén decemberben átlépi a 10 ezres határt, vagyis egyre több ponton vagyunk kiszolgáltatva a hekkereknek. Bizakodásra ad viszont okot, hogy a számuk ugyan nő, de csökken azoknak az aránya, amelyek könnyen ki is használhatók. 2003-ban a sérülékenységek kicsit több mint 60 százaléka volt ilyen, 2015-ben viszont már valamivel 30 százalék alá süllyedt ezeknek a könnyű prédáknak az aránya. Összességében tehát Lee szerint

hiába egyre több a sebezhetőség, mégis egyre biztonságosabbak a szoftverek.

Ezért a hekkerek rákényszerülnek, hogy egyre kifinomultabb módszereket alkalmazzanak, ami szintén abba az irányba mutat, hogy emelkedik a belépési küszöb. Az viszont aggasztó Lee szerint, hogy a profi rosszfiúk egyre profibbak. Bár ironikusan hangozhat a biztonsági hibák kihasználásán ügyködő hekkerekkel kapcsolatban, de egyre jobban figyelnek a biztonságos működésre, növekedett például a https-használat a kártevők terjesztésében.

Bár az Dolgok Internete (IoT), vagyis a hálózaton összekapcsolódó okoseszközök nagy kockázatot rejtenek, Lee az Indexnek azt mondta, ez ma még mindig eltörpül a zsarolóvírusok által jelentett veszély mellett.

Amikor a Talosnál ilyen rendszereket elemeznek, természetesen szintén találnak sebezhetőségeket, de nem találkoznak még túl sok olyan támadással, amelyik kifejezetten IoT-rendszerek ellen irányulna. Az emberek viszont általában nem is realizálják, hogy nekik hálózatra kötött, így sebezhető rendszereik vannak. Ezért ezeket még gyakran nem is frissítik a tulajdonosaik, mert

legyünk őszinték, senkinek se az a prioritás, hogy frissítse a termosztátját.

Mivel az emberek nem gondolnak még ezekre az eszközökre biztonsági szempontból, most még ugyan nincs ilyen trend, a jövőben még biztosan lesz ebből problémánk bőven – mondja Martin Lee.