Rekordvekst i internettrusler i fjor

Nett­kriminaliteten blir stadig mer vel­organisert.

Det er kon­fi­den­si­ell in­for­ma­sjon om da­ta­bru­ker­ne som er må­let. En dob­ling av nett­an­gre­pe­ne i 2008 fôrer under­grunns­økonomien med bru­ker­in­for­ma­sjon.

Rap­por­ten vi­ser at Sy­man­tec opp­ret­tet over 1,6 mil­li­oner nye sig­na­tu­rer på ond­sin­net pro­gram­ko­de - det ut­gjør over 60 pro­sent av alle ko­de­sig­na­tu­rer Sy­man­tec har opp­ret­tet til nå og gjen­spei­ler den raskt øken­de meng­den di­gi­ta­le trus­ler på in­ter­nett.

Ko­de­sig­na­tu­re­ne sat­te Sy­man­tec i stand til å blok­ke­re over 245 mil­li­oner data­an­grep over hele ver­den i 2008.

Infiserer overalt

Sur­fing på in­ter­nett er fort­satt den vik­tig­ste kil­den til nye in­fek­sjons­til­fel­ler, og an­gri­per­ne er sta­dig mer av­hen­gi­ge av sær­skil­te programmerings­verktøy for å ut­vik­le og spre trus­le­ne sine.

90 pro­sent av alle trus­ler Sy­man­tec av­dek­ket i fjor var for­søk på å stje­le kon­fi­den­si­ell in­for­ma­sjon.

Trus­ler som av­lyt­ter bru­ker­nes tas­te­trykk, for eks­em­pel for å stje­le bru­ker­nes nett­bank­tilgang, ut­gjor­de hele 76 pro­sent av trus­le­ne, en øk­ning fra 72 pro­sent i 2007.

Godt be­slut­nings­grunn­lag

Hans Peter Østrem, Symantec.

- Symantecs trus­sel­rap­port ut­gjør kan­skje det al­ler bes­te be­slut­nings­grunn­la­get for å ver­ge seg pro­ak­tivt mot ek­si­ste­ren­de og frem­ti­di­ge internett­bårne trus­ler, sier partner­ansvarlig Hans Peter Øst­rem i Syman­tec Norge.

- Den vi­ser med all ty­de­lig­het at både be­drif­ter og pri­vat­per­so­ner bør ta sine for­holds­reg­ler om de skal sik­re seg mot da­ta­ty­ve­ri og føle seg tryg­ge på In­ter­nett. Hele 60 pro­sent av all fi­endt­lig kode Sy­man­tec har opp­da­get på 27 år, opp­da­get vi i 2008.

Les hele pres­se­mel­din­gen fra Sy­man­tec Nor­ge i for­bin­del­se med trus­sel­rap­por­ten i det følgende:

So­lid undergrunnsøkonomi

Symantecs rap­port be­kref­ter fun­ne­ne i sel­ska­pets tid­li­ge­re rap­port om under­grunns­økonomien på in­ter­nett og kon­sta­te­rer at det fort­satt fin­nes en vel­or­ga­ni­sert under­grunns­økonomi som spe­sia­li­se­rer seg på om­set­ning av stjål­ne, kon­fi­den­si­el­le data, spe­si­elt kre­ditt­kort- og bank­konto­informasjon.

Under­grunns­økonomien blomst­rer og er gan­ske upå­vir­ket av den øv­ri­ge glo­ba­le fi­nans­kri­sen: mens pri­se­ne fal­ler på va­rer i den le­gi­ti­me øko­no­mi­en holdt pri­se­ne seg i under­grunns­økonomien seg på sam­me nivå fra 2007 og gjen­nom 2008.

Symantec oppdaget alene ca. 245 millioner dataangrep hver måned i 2008.

Rap­por­ten vi­ser også at opp­havs­men­ne­ne er gjen­stri­di­ge å få has på: Da to USA-ba­ser­te verts­sy­ste­mer for kaprede pc-er el­ler botnett ble stengt i sep­tem­ber og no­vem­ber 2008, tok det bare kort tid før ope­ra­tø­re­ne fant al­ter­na­ti­ve verts­ma­ski­ner, og an­tall bot-in­fek­sjo­ner steg raskt til sam­me nivå som før ned­stengningen.

Rap­por­ten vi­ser nok en gang at USA er opp­havs­land for den stør­ste an­de­len ond­sin­net nett­ak­ti­vi­tet, men en øken­de an­del internett­angrep har nå ut­spring i land som ikke tid­li­ge­re har vært for­bun­det med slik ak­ti­vi­tet. Blant de ti stør­ste opp­havs­lan­de­ne vi­ser ny­kom­me­ren Tyr­kia på ni­en­de plass den stør­ste øk­nin­gen.

Mer bred­bånd gir mer da­ta­krim

Land som Bra­sil (num­mer fem i fjor, opp fra åt­ten­de plass i 2007), Tyr­kia (ni­en­de­plass i fjor, opp fra fem­ten­de plass i 2007) og Po­len (inn på ti­en­de­plass i fjor fra tolv­te­plass i 2007) har økt sin an­del av den ond­sinnede ak­ti­vi­te­ten i takt med vok­sen­de in­fra­struk­tur for in­ter­nett og bred­bånd.

Det ven­tes at land med re­la­tivt ny og vok­sen­de in­ter­nett-in­fra­struk­tur vil opp­le­ve øken­de nivå av ond­sin­net ak­ti­vi­tet inn­til sikker­hets­proto­koller og til­tak er på plass.

An­de­len ond­sin­net ak­ti­vi­tet med opp­hav i USA gikk i fjor ned med tre pro­sent­po­eng, fra 26 % i 2007 til 23 % i 2008. I sam­me pe­ri­ode gikk Ki­nas an­del ned fra el­le­ve til ni pro­sent, mens Tysk­land re­du­ser­te sin an­del til seks present i fjor fra syv pro­sent året før. Det­te er alle land som har vel­ut­vik­let og vok­sen­de bred­bånds­infra­struktur og som der­for er fris­ten­de mål for di­gi­ta­le an­gri­pe­re.

En­kel­het på be­kost­ning av sik­ker­het

Symantecs trusselrapport viser at finanskrisen ikke påvirker undergrunnsøkonomien: Prisbildet for stjålet informasjon holder seg relativt uforandret. Kredittkortinfo selges for alt fra 0,06$ til 30$ stykket.

Web-ap­pli­ka­sjons­platt­for­mer er van­li­ge kil­der til sår­bar­he­ter, ifølge rap­por­ten. Det­te er fer­dig­byg­de pro­gram­va­re­pro­duk­ter der en­kel ut­rul­ling av nye nett­ste­der går for­an sik­ker­he­ten, og i man­ge av løs­nin­ge­ne bi­drar lett ut­nytt­ba­re sår­bar­he­ter i ap­pli­ka­sjo­ne­ne til den sto­re ut­bre­del­sen av web­ba­ser­te trus­ler.

Av alle sår­bar­he­ter som ble iden­ti­fi­sert i 2008, ble hele 63 % fun­net i webapplikasjoner, en øk­ning fra 59 % i 2007. Mens 12 885 nett­sted­spesifikke script-sår­bar­he­ter ble meldt inn i 2008, ble så lite som tre pro­sent el­ler 394 sår­bar­he­ter ret­tet opp.

Rap­por­ten vi­ser også at web­ba­ser­te an­grep stam­mer fra land over hele klo­den, men de fles­te har opp­hav i USA (38 pro­sent), fulgt av Kina med 13 pro­sent og Ukrai­na med 12 pro­sent.

Sett på re­gio­nal ba­sis er li­ke­vel Eu­ro­pa og Midt-Øs­ten (EMEA) nå den re­gio­nen som er opp­hav til den stør­ste an­de­len fi­endt­lig ak­ti­vi­tet med 45 pro­sent på glo­bal ba­sis - mer enn noen an­nen re­gi­on.

Rap­por­ten vi­ser for øv­rig at phish­ing fort­satt øker. I 2008 opp­da­get Sy­man­tec 55 389 phish­ing-ver­ter, en øk­ning på hele 66 pro­sent mot 2007, da Sy­man­tec fant 33 428 phish­ing-ver­ter. Fi­nan­si­el­le tje­nes­ter sto for 76 pro­sent av lok­ke­ma­ten i 2008 mot 52 pro­sent i 2007.

Spam fort­satt på opp­tur

Symantecs trus­sel­rap­port vi­ser også at spam-meng­den fort­satt øker. I 2008 så Sy­man­tec en øk­ning i spam-meng­den på hele 192 pro­sent over hele in­ter­nett, en øk­ning fra 119,6 mil­li­ar­der mel­din­ger i 2007 til 349,6 mil­li­ar­der i 2008. I 2008 sto bot-nett - sto­re an­tall kaprede PC-er som del­tar uten ei­er­nes vi­ten­de og vil­je -for om­kring 90 pro­sent av all e-post­bå­ren spam.

Symantecs trus­sel­rap­port vi­ser at an­gri­per­nes mål i sta­dig stør­re grad er slutt­bruker­informasjon. I 2008 ble 78 pro­sent av trus­le­ne brukt for å sen­de ut kon­fi­den­si­ell in­for­ma­sjon, en øk­ning fra 74 pro­sent året før - in­for­ma­sjon som er nyt­tig for å begå iden­ti­tets­ty­ve­ri el­ler for nye an­grep.

Trus­ler med tas­te­log­ger-funk­sjo­na­li­tet, som kan bru­kes til å stje­le in­for­ma­sjon som bankkontonumre og pass­ord, ut­gjor­de 76 pro­sent av alle trus­le­ne mot kon­fi­den­si­ell in­for­ma­sjon, opp fra 72 pro­sent i 2007.

I til­legg sik­tet 76 pro­sent av phish­ing-for­sø­ke­ne seg inn mot mer­ke­va­rer i fi­nans­sek­to­ren, og her var også an­tall iden­ti­te­ter ut­satt for da­ta­inn­brudd størst.

Nett­bank bru­kes av 44 pro­sent av in­ter­nett­bru­ker­ne i USA, 64 pro­sent i Ca­na­da og 46 pro­sent i Frank­ri­ke til opp­ga­ver som kan kre­ve inn­tas­ting av kre­ditt­kort­in­for­ma­sjon el­ler bank­iden­ti­tet, så det er ikke over­ras­ken­de at stør­ste­de­len av phish­ing-ak­ti­vi­te­te­ne ret­ter seg mot fi­nans­sek­to­ren.

Godt or­ga­ni­sert kri­mi­na­li­tet

Sy­man­tec har av­dek­ket at under­grunns­økonomien er en vel­or­ga­ni­sert øko­no­mi. For eks­em­pel kan tom­me plast­kort med mag­net­stri­pe bli pro­du­sert i ett land og sendt til et an­net for å få stjål­ne kre­ditt- el­ler bank­kortdata ko­det inn, for så å bli re­eks­por­tert til de land hvor da­ta­ene ble stjå­let opp­rin­ne­lig.

Pro­fe­sjo­nelt or­ga­ni­ser­te grup­per spe­sia­li­se­rer seg i dis­tri­bu­sjo­nen av fi­endt­lig kode og drift av fi­endt­li­ge nett­ste­der med så stor suk­sess at de er til­skre­vet "æren" for om­kring halv­par­ten av alle phish­ing-hen­del­se­ne i 2008.

Undergrunn­søkonomien har også mod­net til å om­fat­te pseu­do-virk­som­he­ter hvor ut­vik­ling av fi­endt­lig kode fore­går i stor ska­la, om­trent som ut­vik­ling av nyt­te­pro­gram­mer fore­går i den le­ga­le pro­gram­va­re­bran­sjen. Et an­net tegn som vi­ser styr­ken i under­grunns­økonomien er at mens pri­se­ne syn­ker jevnt over i den le­ga­le del av mar­ke­det, har pri­se­ne holdt seg sta­bi­le i un­der­grun­nen fra 2007 til 2008.

Noen nøk­kel­funn fra Sy­man­tec

Ved ut­lø­pet av 2008 var godt over 1 mil­li­on da­ta­ma­ski­ner in­fi­sert med Downadup-or­men, også kalt Conficker. Den­ne or­men had­de ev­nen til å spre seg raskt tak­ket være sine avan­ser­te spred­nings­me­ka­nis­mer. I lø­pet av før­s­te kvar­tal av 2009 økte an­tall in­fi­ser­te ma­ski­ner til over 3 mil­li­oner.

Ifølge Symantecs data var veks­ten i ond­sin­net ko­de­ak­ti­vi­tet i 2008 størst i re­gio­nen Eu­ro­pa, Midt-Øs­ten og Af­ri­ka.

Oslo har størst an­tall botnett av de nor­dis­ke by­ene, for­an Stock­holm. 1 av 5 nor­dis­ke botnett fin­nes i Oslo.

I 2008 opp­da­get Sy­man­tec i gjen­nom­snitt mer enn 75 000 ak­ti­ve, bot-in­fi­ser­te da­ta­ma­ski­ner dag­lig, en øk­ning på 31 pro­sent i for­hold til 2007.

Mer in­for­ma­sjon

Mer in­for­ma­sjon om trus­le­ne som mø­ter da­gens in­ter­nett­bru­ke­re er til­gjen­ge­lig på dis­se ad­res­se­ne:

Sy­man­tec Internet Se­cu­ri­ty Threat Re­port XIV Microsite

Sy­man­tec Internet Se­cu­ri­ty Threat Re­port XIV Flash Demo

" Sy­man­tec Internet Se­cu­ri­ty Threat Re­port XIV Web­cast: 9 a.m. PDT/12 p.m. EDT, Thursday, Ap­ril 30, 2009

Sy­man­tec Internet Se­cu­ri­ty Re­port XIV Pod­cast

Sy­man­tec Re­port on the Un­der­ground Economy

Sy­man­tec Web-Based Attacks White Pa­per

Sy­man­tec is Se­cu­ri­ty

Se også dis­se You­tube-vi­deo­ene:

http://www.youtube.com/watch?v=T576VL2vKfU