MS Security Intelligence Report #18 i co z niego wynika

Czym jest Security Intelligence Report?

Security Intelligence Report (SIR) jest wydawanym 2 razy w roku przez Microsoft biuletynem. Zawiera on analizę podatności i zagrożeń wykrytych w mijających miesiącach, w szczególności w półroczu którego dotyczy raport. Biuletyn publikowany jest bezpłatnie, na stronach Centrum bezpieczeństwa Microsoft można znaleźć archiwa wszystkich wydanych numerów.

Ostatnie, osiemnaste wydanie biuletynu, zawiera 143 strony, tym niemniej przebrnąć przez treści można dość szybko ze względu na bardzo przejrzyste i liczne wykresy które stanowią dużą część wydania. Prawdopodobnie w niedługim czasie pojawi się kolejny, dziewiętnasty numer, jednak kiedy natknąłem się na temat, to z chęcią przejrzałem bieżące wydanie.

Jeśli interesujesz się bezpieczeństwem i jednocześnie pracujesz w środowisku związanym z technologiami Microsoftu, to mogę polecić tekst jako warty przejrzenia. W stylu pisania może nie udało się uniknąć nieco marketingowego tonu (np. od czasu do czasu są promowane funkcje bezpieczeństwa IE, przy jednoczesnym braku odniesień do przeglądarek innych producentów), ale same dane wydają się rzetelne. Całkiem ciekawie pokazują jak w roku 2015 wygląda malware, jak szybko informacje o podatnościach rozprzestrzeniają się i przekładają na powstawanie działających exploitów, a także jak wyglądają najczęściej spotykane wektory ataki na przeciętnego użytkownika.

Przedstawione dane bazują głównie na informacjach przekazywanych do firmy Microsoft przez narzędzia telemetryczne produktów Windows Defender (i pokrewnych) oraz Malicious Software Removal Tool. Daje do dość szeroki obraz horyzontu zagrożeń, gdyż informacje docierają z milionów stacji roboczych osób prywatnych, firm czy serwerów.

O czym można poczytać w wydaniu nr 18?

Promowany artykuł w tym wydaniu pokazuje czas życia eksploita. Bazując na przykładzie błędu CVE-2014-6332 pokazane jest jak szybko wydanie przez Microsoft patcha na nieznaną publicznie podatność w systemie Windows zostaje wykorzystane do ataków.

Tempo jest faktycznie niesamowite, bo już dzień po publikacji aktualizacji w Windows Update i biuletynu informującego o podatności pojawia się publicznie dostępny proof-of-concept wykorzystujący lukę, a chwilę później pojawiają się już konkretne ataki. Poniżej można zobaczyć wspomniany wykres.

Publikacja wyjaśnia też pokrótce do czego służy słownik CVE, jak przebiega proces nadawania podatnościom identyfikatorów, czy skąd w ostatnich miesiącach wzięła się wyjątkowa duża liczba nowych znanych podatności (a wzięła się z automatycznego skanowania pod tym kątem aplikacji Android). Można też zobaczyć jaka część odkrytych problemów bezpieczeństwa zgromadzonych w rejestrze CVE dotyczy systemów operacyjnych, a jaka aplikacji, czy przeglądarek internetowych.

W różnych kontekstach były przedstawiane statystyki tego jaka ilość komputerów miała średnio w ciągu badanych kwartałów styczność z malware (19.2%), a jaka została zainfekowana (0.91%). Pokazano też monotonicznie malejącą liczbę infekcji w kolejnych nowszych systemach z rodziny Windows (porównując tylko wspierane systemy z najnowszym pakietem Service Pack i aktualizacjami). Tutaj mimo potencjału do reklamy nowszych wersji wstrzymano się od mocnych konkluzji, łącząc to raczej z informacją o większej liczbie aktywnych programów antywirusowych w tych systemach.

Byłem ciekaw, czy raport wskaże jakieś nowe, kreatywne pomysły na malware które pojawiłby się w ostatnim czasie. Tu jednak jest dość klasycznie — zdecydowanie dominują programy wstrzykujące reklamy (adware), popularne są złośliwe wtyczki do przeglądarek. Na ciekawsze typy złośliwego oprogramowania natrafia mniejsza liczba użytkowników, rzędu dziesiątych części procenta. Obejmują one ransomware, backdoory, programy kradnące hasła, czy monitorujące schowek i aktywność. Mimo małej procentowo popularności warto zauważyć, że efekt wyrażony w bezwzględnych liczbach zainfekowanych maszyn może być imponujący, np. sam CryptoWall do połowy tego roku spowodował straty rzędu 18 milionów dolarów.

Ciekawostką było dla mnie istnienie kategorii określanej jako browser lockers. Określane tym mianem są strony internetowe, które w żaden sposób nie infekują komputera, ale utrudniają użytkownikowi wyjście ze strony (np. grożąc konsekwencjami prawnymi) i żądają przelania okupu (najczęściej przedstawianego jako “mandat” za złamanie jakichś przepisów) na wskazane konto, udające uprawnioną instytucję. Jeśli to działa, to brawa dla twórców za sprytne wykorzystanie socjotechnik 😉

Jakie praktyczne wskazówki z niego wynikają?

Oczywiście z tego typu raportu warto wynieść nieco wskazówek, które powinny ułatwić nam ochronę przed najczęstszymi obecnie zagrożeniami w kategorii malware.

Poniższy spis to jedynie notatki wynikające bezpośrednio z omawianego raportu. Nie jest to w żaden sposób kompletna ani wyczerpująca lista środków bezpieczeństwa, a jedynie rzeczy które bezpośrednio wynikają z omówionych danych i wykresów.

• Aktualizuj oprogramowanie. Jeśli producent wypuszcza łatkę, to możesz być pewien że za chwilę pojawi się masa osób które ją przeanalizują, zrozumieją błąd który został załatany, a potem spróbują wykorzystać do złych celów. Nawet jeśli nie do końca ufasz w wystarczającym stopniu jakiemuś dostawcy oprogramowania, to używanie jego oprogramowania w wersji w której są publicznie znane podatności jest najgorszym możliwym wyjściem. Zrezygnuj całkiem, albo aktualizuj.
• Używaj antywirusa. Prawdopodobnie używasz Windows jako swojego systemu, w tym wypadku wystarczy nie wyłączać standardowego programu Windows Defender pełniącego rolę antywirusa. To nie jest najważniejszy ani najlepszy sposób ochrony, ale nawet jeśli jesteś świadomym użytkownikiem, to raz na jakiś czas zatrzyma Cię przed uruchomieniem pliku pobranego z internetu. A pamiętaj, że statystycznie w ciągu najbliższego kwartału masz koło 19% szans, że na jakiś trafisz 😉
• Używaj silnych haseł. Niektóre odmiany malware po zarażeniu jednej osoby przeszukują lokalną sieć w poszukiwaniu ludzi ze słabymi hasłami i infekują w ten sposób dalej. Silne hasło, to w roku 2015 takie, którego nie będziesz w stanie zapamiętać 😉 Używaj więc managera haseł i generuj je zaufanymi narzędziami. Ja np. wśród zakładek zawsze mam GRC Password Generator, który dostarcza dobrej jakości losowe ciągi znaków do użycia np. w hasłach 😉
• Usuń zbędne komponenty i aplikacje. Większość błędów w CVE nie dotyczy systemów, ale aplikacji. Najczęstszym wektorem ataku przy przeglądaniu internetu są exploity na Flasha i Javę. Usuń rzeczy z których nie korzystasz, odinstaluj i wyłącz zbędne pluginy i wtyczki do przeglądarek. W 2015 można całkiem sprawnie korzystać z internetu bez tych popularnych niegdyś dodatków i jednocześnie znacznie poprawić bezpieczeństwo. Flash nigdy nie trafił np. do iPada, a mimo to jego użytkownicy żyją. Nawet Youtube już działa, dzięki mocy HTML5 🙂
• Twórz regularne backupy na zewnętrznym dysku lub w szyfrowanych kontenerach w usłudze chmurowej. Ransomware to kosztowny rodzaj złośliwego oprogramowania, i najczęściej nie odzyskasz danych jeśli nie wpłacisz okupu lub nie masz ich kopii zapasowej.
• Zachowaj czujność. Policja, o ile mi wiadomo, nie zbiera póki co mandatów online 😉 Jeśli ktoś w internecie prosi o przelew za jakieś hipotetyczne przewinienie, to niech szuka naiwnych dalej.

Jeśli szukasz bardziej wyczerpujących informacji na temat bezpieczeństwa komputerowego z perspektywy użytkownika, to gorąco polecam podcast Security Now (wraz z archiwami), gdzie co tydzień można posłuchać dość ciekawych analiz ostatnich wydarzeń w świecie bezpieczeństwa i wielu cennych porad w tym zakresie. Możesz też przejść bezpośrednio do statystycznej analizy porad udzielanej w tym zakresie przez ekspertów, co może niekoniecznie ułoży je w najważniejszej kolejności, ale pokaże stan wiedzy i sumę doświadczeń ludzi którzy siedzą w tym temacie 🙂