December is de maand voor Norman om vooruit te kijken naar
2010 en terug te blikken naar 2009. De belangrijkste vaststelling op
het gebied van malware in dit jaar is dat verschillende sociale
netwerken, zoals Twitter en Facebook een belangrijk doelwit zijn
geworden voor schrijvers van schadelijke programma’s.
Norman-internetbeveiligingstrends 2009:
- Conficker –
hoewel deze worm aan het einde van 2008 voor het eerst de kop opstak,
veroorzaakte deze in 2009 de meeste problemen voor eindgebruikers en
met name organisaties. De worm is in het eerste deel van 2009 het meest
actief geweest, maar waart op dit moment nog steeds rond. - W32/Virut is
een familie van zeer polymorfe virussen. De virussen in de
Virut-familie zijn gedurende het hele jaar actief geweest en er dienen
zich hoogstwaarschijnlijk in het komende jaar nog nieuwe varianten aan. - W32/Koobface is met name interessant omdat
het verspreidingsmethoden door sociale netwerken als Facebook gebruikt.
Het is voor het eerst gezien in 2008, maar 2009 is het jaar waarin het
toppunt is bereikt. - In de “goede oude tijd” van schadelijke
programma’s moesten beveiligingsorganisaties en gebruikers op een
andere manier dan nu met malware omgaan. De meest gebruikte manier voor
een schrijver van malware was toen om één schadelijk programma te maken
en verschillende verspreidingstechnieken te gebruiken. Dit is de
afgelopen jaren veranderd en de huidige situatie verschilt
fundamenteel. Nu vormen cocktails van malware de algemene trend. Deze
bestaan uit een hele reeks van verschillende typen schadelijke
programma’s en ook dezelfde typen met verschillende functionaliteit.
Algemene tendensen en trends:
- De
groei in schadelijke software. Een indicator die de groei in
schadelijke software gedurende een tijdsperiode aangeeft is het aantal
handtekeningen voor schadelijke programma’s in de
virusdetectiebestanden van Norman. In 2007 zijn er meer handtekeningen
toegevoegd dan in alle voorgaande jaren samen. In 2008 zijn er meer
handtekeningen toegevoegd dan het totale aantal aan het begin van het
jaar. In 2009 zijn er iets minder handtekeningen toegevoegd dan het
totale aantal aan het begin van het jaar. Dit lijkt aan te geven dat de
groei is gestabiliseerd en eerder lineair dan exponentieel is zoals in
de jaren voor 2008. Het totaal aantal nieuwe handtekeningen op dit
moment is desalniettemin onvoorstelbaar hoog in vergelijking met het
aantal aan het begin van dit decennium. - Legitieme software
als schadelijk gerapporteerd. Het feit dat de hoeveelheid schadelijke
software zo groot is geworden geeft een aanvullend risico. Legitieme
software kan als schadelijk worden gedetecteerd wanneer deze
overeenkomt met een deel van de handtekeningbestanden van de
leveranciers van antimalware of een andere technologie voor de detectie
van malware. Dit is dit jaar ook gebeurd met beveiligingssoftware van
verschillende leveranciers, waaronder Norman. Helaas zal dit
onvermijdelijk nogmaals gebeuren. De belangrijkste uitdaging voor de
beveiligingsleveranciers is het vermijden van dergelijke incidenten
voor essentiële systeembestanden en voor essentiële, veelgebruikte
toepassingen. Met dit doel investeren leveranciers van
beveiligingssoftware aanzienlijk in apparatuur die het mogelijk maakt
om bestanden voor de detectie van malware zorgvuldig te testen met
verschillende soorten legitieme software voordat de
handtekeningbestanden algemeen worden verspreid. - Meer
kwaadaardige computerprogramma’s. Programma’s die zich voordoen als
iets anders, hebben vrijwel altijd bestaan. De trend die in 2008 is
waargenomen, is in 2009 doorgegaan met een grotere stroom kwaadaardige
programma’s die zich voordoen als antivirus- en
antispywaretoepassingen. In 2009 is dit zelfs uitgebreid. In de loop
van het jaar zijn kwaadaardige computerprogramma’s uitgegroeid tot een
aanzienlijke marktsector. Het potentieel voor geldelijk gewin voor de
betrokkenen is aanzienlijk, terwijl het risico minimaal is. - Sociale
netwerken gebruiken voor de verspreiding van malware. Sociale netwerken
zoals Facebook en Twitter zijn in het afgelopen jaar steeds populairder
geworden. Het is goed te begrijpen dat sociale media dus ook worden
gebruikt als verspreidingsmethoden voor malware. Als er één bepaald
beveiligingsprobleem zou moeten worden gekozen als het belangrijkst in
2009, is dit volgens Norman het gebruik van sociale netwerken als
doelwit voor de verspreiding en toepassing van malware, met name via
social engineering. - Kwetsbaarheden in besturingssystemen en
toepassingen worden nog steeds uitgebuit. De tendens dat schrijvers van
schadelijke software gebruik maken van kwetsbaarheden in
besturingssystemen en toepassingen om zich te verspreiden, heeft zich
voortgezet. Populaire software zoals veelgebruikte webbrowsers,
toepassingen van Adobe, kantoorsystemen, enzovoort, zijn allemaal
getroffen. Niet alleen zijn de aanvallen gericht op de meest gebruikte
toepassingen van Microsoft, ook populaire software van verschillende
andere leveranciers is getroffen.In vorige jaren waren de
schrijvers van malware voornamelijk gericht op kwetsbaarheden in
besturingssystemen zo ook Norman. Dit is recentelijk echter veranderd
en veelgebruikte toepassingen zoals hierboven genoemd zijn steeds vaker
het doelwit. Het is een bijzondere uitdaging voor gebruikers dat er
geen standaard is voor het leveren van patches en updates voor
toepassingen, waardoor er meerdere updatesystemen moeten worden
gebruikt. - De schrijvers van malware zijn bijzonder snel in
het uitbuiten van nieuwe kwetsbaarheden met zogenaamde ‘exploits’. Een
gevolg van dit alles is dat softwarefabrikanten moeten proberen sneller
te reageren met beveiligingspatches en andere tijdelijke oplossingen.Schrijvers
van malware maken steeds geavanceerdere programma’s die met dezelfde
malware niet één maar verschillende kwetsbaarheden uitbuiten – met en
zonder patches. Dit wordt nog eenvoudiger omdat kwaadwillende personen
hun eigen set exploits op internet kunnen kopen en deze vervolgens in
hun schadelijke programma’s gebruiken. Het maken van een schadelijk
programma is nu mogelijk zonder enige programmeerkennis. Een van de
gevolgen hiervan is dat social engineering-vaardigheden van de
‘malwareontwerper’ steeds essentiëler worden gezien de toenemende
concurrentie tussen verschillend malware. - Grote
mediagebeurtenissen worden gebruikt voor het activeren van
malwareverspreiding. Dit is geen nieuwe en revolutionaire vaststelling.
In 2009 hebben we echter gezien dat deze tendens is toegenomen.
Schrijvers van malware publiceren hun malware steeds vaker via social
engineering-technieken die meeliften met grotere mediagebeurtenissen.
Er zijn hier verschillende voorbeelden van gezien. Eén van de
belangrijkste hiervan zijn waarschijnlijk de hausse als gevolg van de
dood en begrafenis van Michael Jackson, de ondergang van de DSB Bank en
The Entertainment Group van Marco Borsato die de deuren moest sluiten. - Schadelijke
software die nieuwe apparaten uitbuit. Er zijn dit jaar twee
voorbeelden hiervan gezien: malware in geldautomaten en malware die
routers en DSL-modems uitbuit. Dit is vermoedelijk pas het topje van de
ijsberg. In de toekomst kan malware die apparaten aanvalt die door
gewone gebruikers nooit als kwetsbaar of gevaarlijk zijn gezien,
misschien wel juist heel gevaarlijk worden. - Bewustwording van
bedreigingen voor het internet door belangrijke politici. Ten slotte
kunnen we nog opmerken dat het internet als belangrijk onderdeel van de
infrastructuur van de moderne maatschappij in de loop van het jaar is
benadrukt. De Amerikaanse president Barack Obama heeft zich hier op 29
mei in een veelbesproken toespraak op gericht.
De algemene verwachtingen voor 2010:
“De
cloud is leuk, maar het heeft zoveel gaten”, zegt Righard Zwienenberg
Chief Research Officer bij Norman. Door alle aandacht willen veel
mensen en bedrijven “iets” met de cloud doen, zonder bij de risico’s en
problemen stil te staan. “Mensen denken dat ze naar de cloud moeten
omdat men er veel over schrijft. Het is goed dat erover geschreven
wordt. Maar iedereen ziet het opeens als de ultieme oplossing, maar dat
is het niet. De steeds veranderende gevaren bestrijden en de risico’s
van de cloud monitoren is één van de grote prioriteiten”.
- Meer en steeds geavanceerdere uitbuiting van sociale netwerken.
- Kwaadaardige beveiligingssoftware blijft populair.
- De
malwarecocktails blijven zich voordoen en worden flexibeler en er wordt
steeds geavanceerdere rootkit-technologie ontwikkeld. - Automatische updates van malware worden innovatiever.
Voor meer informatie, contact:
Norman Data Defense Systems B.V., +31 (0)23 789 02 22, [email protected]