A crimeware-ek három arca
2006. augusztus 2.
A crimeware a korábban számítógépes bűnözés vagy kiberterrorizmus új elnevezése. Nem azonos a vírussal vagy a levélszeméttel, amelyeket a felhasználók többsége az internethasználat velejárójának tekint. A crimeware-ek esetében sokkal nagyobb a pénzveszteség kockázata.
"A crimeware-eket kimondottan bűnelkövetés céljából készítik" - nyilatkozta Ed English, a Trend Micro alelnöke és vezető biztonsági stratégája. "Ez esetben nem felugró hirdetésekről, hirdetőprogramokról vagy hagyományos vírusokról, férgekről és trójai programokról van szó. A crimeware billentyűnaplózással igyekszik információkhoz jutni, vagy e-mail formájában legális üzletet ajánlva próbál megszerezni személyes információkat, például banki azonosítókat, vagy a felhasználót egy álcázott webhelyre irányítja át, ahol szintén a titkos azonosítók megszerzése a cél. A crimeware-ek működési mechanizmusában az a közös, hogy céljuk a konkrét pénzügyi haszonszerzés" - tette hozzá English. A Trend Micro vezető fenyegetéselemzője, Jamz Yaneza elmondta, hogy a crimeware-ek fogalmát az adathalászat-ellenes munkacsoport (Anti-Phishing Working Group - APWG) egyik ülésén fogalmazták meg. Az iparági szakértőkből és a törvényességet felügyelő munkatársakból álló non-profit szervezet célja az adathalászatból, az eltérítéses adatlopásból és a számítógépes bűnözés egyéb formáiból származó csalások és személyazonosság-hamisítások elleni védelem. Számos biztonsági szoftvergyártó is csatlakozott már az APWG szervezethez, amely a tagok különböző kutatási eredményeinek összegyűjtése mellett az együttműködést is koordinálja.
Az APWG definíciója szerint crimeware lehet bármely olyan szoftver, amelynek célja tiltott pénzügyi haszonszerzés vagy online csalás. Ebbe beletartozik a kémprogram, a trójai program, a hátsó ajtó, a váltságdíjat követelő program és a 900-as számot hívó betárcsázóprogram is, amely révén a felhasználó pénze ahhoz vándorol, aki a betárcsázóprogramot az áldozat rendszerén elhelyezte. A definíció magába foglalja az adathalászatot és a kémkedéses adathalászatot is, amely közvetlen módon veszi rá az embereket arra, hogy bejelentkezzenek bankjukhoz, és így tulajdonítja el az információkat. A tendencia azt mutatja, hogy a kémprogramok, az adathalászat és a rosszindulatú kódok terjedésével párhuzamosan csökken a konkrét károkozásra irányuló támadások száma. Annak ellenére, hogy globális vírusfertőzések ma már ritkábban törnek ki, még mindig léteznek.
"Egy vírus készítője 15 perc hírnevet szerezhet a vírus megírásával, de utána minden esetben számolnia kell a hatóságokkal. A szoftverek íróit általában bűnszervezetek bérelik fel kémprogramok, rootkitek, bothálózatok és egyéb crimeware-ek készítésére. De vajon mit tesz egy pórul járt vírusíró? Bűnszervezetnél talál munkát, ezért csökken manapság a nagy vírusfertőzések száma és nő ezzel párhuzamosan a konkrét pénzszerzésre irányuló kémprogramok száma" - tette hozzá Yaneza.
Anthony Arrott, a Trend Micro kémprogramkutatásának vezetője szerint a crimeware-ek abban az esetben a leghatékonyabbak (anyagi értelemben), ha más módszerekkel kombinálják őket.
Arrott szerint a crimeware-ek három modulból épülnek fel:
1. A szállítmány: A kárt okozó szoftver, amit a telepítő modul juttat célba.
2. A telepítő: A szállítmány feltelepítését végzi az óvatlan felhasználó gépére.
3. A testőrök: A sokszor rootkitek formájában megjelenő testőrök feladata a szállítmány felfedezésének megakadályozása.
"A bűnözőknek minden okuk megvan arra, hogy az óvatlan felhasználók megtévesztése érdekében elrejtsék az információt. A feladat nem az egyes kategóriák közötti különbségek részleteinek meghatározása, hanem ami ennél fontosabb, az egyes kategóriáknak a feltérképezése" - tette hozzá Arrott.
A kárt okozó szoftvert, a szállítmányt valamilyen formában fel kell telepíteni a gépre. Ezután a testőröknek, amelyek sokszor rootkitek, meg kell védeniük a felfedezéstől. A Coolweb Search például egy ravasz kémprogram, amelytől nagyon nehéz megszabadulni. Nem azért, mert trükkös módon települ fel és így is működik, hanem mert beágyazza magát a számítógép operációs rendszerébe, így a kémprogramvédelmi szoftverek nehezen tudják kiirtani. Ehhez hasonlóan a rootkitek is el tudják rejteni magukat a Windows API-k (Application Programming Interface - alkalmazásprogramozási felület) elől, így láthatatlanok maradnak. "A telepítő és a testőr együtt tulajdonképpen csak segédeszközök - nem érik el teljesen a célt, csak hozzájárulnak a megvalósulásához. Külön kell választani a szállítmányt és a szállítási mechanizmust" - magyarázta Arrott.
A célok három csoportra oszthatók. Az első az öncélú pusztítás, mint például a károkozó klasszikus vírusok és férgek esetében. "A sor másik végén a hirdetőprogramok, a nyomkövetők, a böngészőeltérítők és segítőik találhatóak, amelyek tulajdonképpen olyan marketing- és reklámtevékenységet folytatnak, amelyek túllépik az elfogadható határokat. Szabványok hiányában állandó vita tárgyát képezi, hogy mi az, ami elfogadható. Ily módon megszerezhető a jelszó, a számlainformációk és a személyazonosság-lopás szállítmányai. Ezek legtöbbjét a billentyűnaplózók adják, amelyek a billentyűleütéseket rögzítik. Véleményem szerint a crimeware-ekkel való bűnözés tulajdonképpen egyfajta lopás: információ eltulajdonítása vagy tranzakciós csalás" - tette hozzá Arrott.
Kapcsolódó cikkek
- A Trend Micro szerint 2007 a webes fenyegetések éve lesz
- Az emberi tényező szerepe az internetes fenyegetések elleni küzdelemben
- RoBOTok blokkolják a konkurencia fizetett hirdetéseit
- Naprakész biztonsági web-blog átlagfelhasználóknak is
- Létezhet-e az internet spamek nélkül?
- Népszerű a Trend Micro automatikus védelmi megoldása a KKV-k körében
- Trend Micro: ServerProtect for Linux legújabb verzió
- Továbbra is a Trend Micro biztosítja az MSN Hotmail védelmét
- Vírus rabolt bizalmas Trend Micro cégadatokat
- Trend Micro: automatikus védelmi megoldás a KKV-k számára