partner serwisu

ESET - czy antywirusy wymarły? Relacja z wizyty w siedzibie głównej słowackiego producenta oprogramowania ochronnego

ESET - czy antywirusy wymarły? Relacja z wizyty w siedzibie głównej słowackiego producenta oprogramowania ochronnego
Autor:
Dariusz Hałas
Data publikacji:
1 czerwca 2016, 00:49
Średnia ocena:
Twoja ocena:
Tagi:
android, bezpieczeństwo, cryptolocker, eset, eset nod32, eset smart security, malware, ochrona, ransomware, relacja, windows

Firma ESET to piąty producent oprogramowania ochronnego na świecie. Mieliśmy okazję zwiedzić centralę słowackiej firmy zlokalizowaną w stolicy naszych południowych sąsiadów - w Bratysławie. Co nowego proponuje ESET w swoich produktach ochronnych? Jak na przestrzeni lat zwiększała się funkcjonalność programów zabezpieczających i dlaczego klasyczne AV wciąż nie wymarły? Odpowiedzi na te pytania poznacie czytając naszą relację.

Panorama Bratysławy z okien biurowca będącego siedzibą światowej centrali firmy ESET, jak widać stolica Słowacji nie przywitała nas niestety dobrą pogodą; foto: autor)

ESET to firma powstała w 1992 roku, jej pierwszym produktem był rozwijany zresztą do dziś program antywirusowy NOD32. Skąd taka dziwna nazwa aplikacji? To skrót od zdania Nemocnica na okraji disku, co oznacza Szpital na peryferiach dysku - nazwa ta nawiązuje do popularnego w latach 80-tych XX wieku czeskiego serialu, popularnego również w Polsce i wyświetlanego u nas pod tytułem Szpital na peryferiach

Słowacka firma od ćwierćwiecza specjalizuje się w rozwiązywaniu problemów związanych z zabezpieczeniami komputerów przede wszystkim przed zagrożeniami związanymi z działaniem złośliwego kodu, atakami sieciowymi itp.

Z małej, kilkuosobowej działalności ESET rozrósł się obecnie do poziomu międzynarodowej korporacji, mającej swoje oddziały (jest ich piętnaście) na wszystkich kontynentach (m.in. w Polsce - wysoko cenione centrum badawczo-rozwojowe ESET w Krakowie). Firma zatrudnia na całym świecie 1181 pracowników, z czego aż 405 osób pracuje bezpośrednio w działach R&D (Research & Design).

Zaletą spotkania zorganizowanego przez przedstawicieli firmy ESET oraz polskiego dystrybutora produktów marki ESET, katowickiej firmy Dagma sp. z o.o. było to, że prezentacje, które przedstawiono zaproszonym dziennikarzom miały charakter techniczny a nie marketingowy. Dzięki temu, zamiast dowiadywać się na wiele sposobów, że produkty ESET są dobre, przedstawicielom mediów pokazano jakie są obecnie najpopularniejsze zagrożenia i jakimi ścieżkami podąża rozwój narzędzi ochronnych. 

Firmy na celowniku cyberprzestępców

Pierwszą prezentację techniczną przedstawił Righard Zwienenberg (tak, Righard - to nie jest błąd), piastujący w ESET stanowisko Senior Research Fellow, co w języku polskim można przetłumaczyć jako starszy pracownik naukowy.  Zwienenberg przekonywał zaproszonych, że głównym i lubianym celem cyberprzestępców są przede wszystkim firmy i organizacje.

Prezentacja rozpoczęła się od kilku ciekawostek historycznych związanych z zagrożeniami. To co widać na powyższym zdjęciu to komputer Commodore Pet-2001. Produkcja serii Pet rozpoczęła się w 1977 roku. Sprzęt ten można było zniszczyć trzema linijkami kodu:

10 motor 1

20 motor 0

30 goto 10

Powyższe trzy linijki powodowały, że ten wyposażony w 4 KB pamięci RAM i 1 KB pamięci wideo komputer z wbudowanym intepreterem języka BASIC (to w tym języku napisano powyższy kod) przegrzewał się do tego stopnia, że odmawiał współpracy.

Kolejna ciekawostka: rysunek, który tu widzimy pochodzi z odtajnionej dokumentacji amerykańskiego Departamentu Obrony na temat cyberbezpieczeństwa. Wiele opublikowanych w nim zaleceń jest wciąż aktualnych, choć sam dokument został opublikowany w... 1970 roku. Zainteresowanych pełną treścią tego odtajnionego dokumentu odsyłam na strony archiwum NSA, gdzie udostępniono publicznie pełną treść raportu Security Control for Computer Systems.

Obecnie bardzo popularnymi rodzajami zagrożeń, na które narażone są przede wszystkim firmy jest tzw. spearphishingCEO-Fraud oraz Ransomware.

Dla przypomnienia: phishing to metoda oszustwa polegająca na tym, że przestępca próbuje podszyć się pod jakąś osobę lub instytucję w celu wyłudzenia od ofiar poufnych informacji, takich jak np. dane uwierzytelniające (dane logowania), informacje finansowe itp. Spearphishing to oszustwo, którego celem są użytkownicy konkretnej usługi bądź pracownicy konkretnej firmy. Najczęściej pierwszym symptomem ataku jest wiadomość e-mail informująca o rzekomych zmianach wprowadzonych przez użytkownika w danej usłudze (oczywiście nic takiego nie miało miejsca) i zachęcająca do kliknięcia w link lub pobrania i uruchomienia załącznika, celem rzekomego potwierdzenia bądź anulowania zmian. Oczywiście kliknięcie w link a tym bardziej uruchomienie załącznika najczęściej skutkuje uruchomieniem złośliwego kodu.

CEO-Fraud to dość specyficzna forma oszustwa bazująca na inżynierii społecznej i wykorzystująca nie do końca prawidłowe relacje na linii szef-pracownik w wielu firmach. Oszustwo polega na tym, że przestępca podszywa się pod szefa ofiary i przesyła mu polecenia dotyczące np. przelania określonej kwoty z budżetu firmy na wskazane przez "szefa" konto. Paradoksalnie, tego typu atak ma bardzo duże szanse powodzenia, jeżeli osobą zaatakowaną będzie pracownik odpowiedzialny w danej firmie za realizację różnego typu płatności. Oczywiście tego typu atak wymaga odpowiedniego przygotowania i wywiadu na temat celu. Wniosek: powinniśmy chronić nie tylko dane na komputerach, ale również informacje o nas samych, o strukturze firmy. Zwienenberg zwrócił uwagę na wykorzystanie sieci społecznościowych przez cyberprzestępców, w końcu, kto nie chciałby się pochwalić długo oczekiwanym urlopem ;-)

Bardzo popularnym ostatnio rodzajem zagrożenia jest tzw. ransomware, czyli specyficzny rodzaj złośliwego oprogramowania, którego główną funkcją jest zaszyfrowanie danych użytkownika-ofiary ataku, a następnie wyświetlenie na ekranie szczegółowych informacji jak - oczywiście za odpowiednią opłatą - zaatakowana osoba może odzyskać dostęp do danych. Ataki typu Ransomware są coraz popularniejsze, bo - jak podkreślał Zwienenberg - działają i są skuteczne. Wielu użytkowników jest skłonnych do zapłacenia relatywnie niewielkich kwot (jak np. nieco ponad 10 dolarów na powyższej ilustracji) w zamian za odzyskanie dostępu do swoich danych.

Choć w badaniach ankietowych prowadzonych przez ESET aż 85% ankietowanych zadeklarowało, że nie zapłaciłoby okupu za odblokowanie dostępu do prywatnych danych, to jednak w obliczu rzeczywistego zagrożenia (utraty dostępu do danych) wiele ofiar mogłoby zmienić zdanie. Zdecydowanie lepiej niwelować ryzyko bycia ofiarą takiego ataku. Jak? Oczywiście poprzez instalację oprogramowania ochronnego, unikanie wiadomości-pułapek i regularne wykonywanie kopii zapasowych.

Cyberprzestępcy niekiedy sami decydują się na publiczne opublikowanie głównego klucza deszyfrującego. Tak postąpili niedawno - w maju br. roku - twórcy złośliwego programu TeslaCrypt. Dzięki udostępnieniu klucza osoby zaatakowane programami TeslaCrypt w wersji trzeciej lub czwartej mogą, łatwo odszyfrować swoje pliki korzystając z bezpłatnego programu ESET TeslaCrypt Decryptor. Przedstawiciel firmy ESET zaznaczył jednak, że budowa tego narzędzia nie byłaby możliwa, gdyby nie "pomoc" ze strony samych twórców złośliwego oprogramowania, którzy wcześniej opublikowali klucz deszyfrujący. Cyberprzestępcy tworzący ransomware często korzystają z zaawansowanych algorytmów szyfrujących, których złamanie wymaga tak dużych mocy obliczeniowych, że pozostaje poza zasięgiem jakiejkolwiek ofiary ataku. Zwienenberg zwrócił też uwagę, że próby "wybielenia się" przez jedne grupy przestępcze są często wykorzystywane przez innych przestępców do szerzenia innych złośliwych programów. Przyjrzyjcie się okienku widocznemu w prawym, górnym rogu powyższej ilustracji - w nim, oprócz informacji o udostępnieniu klucza deszyfrującego znajduje się link do rzekomego narzędzia deszyfrującego, które jednak w praktyce okazuje się kolejnym złośliwym oprogramowaniem...

Rosnąca popularność ransomware nie oznacza jednak, że jest to coś nowego. Żądanie okupu za czyjeś dobra to przecież znana od wieków metoda działania złych ludzi. Również w komputeryzacji przejawy tego typu działalności są obserwowane od dawna, czego dowodzi powyższy zrzut ekranu z komunikatu wyświetlanego przez wirusa Brain - najstarszego wirusa komputerowego dla systemu DOS. Szkodnik rozpoczął działalność w 1986 roku.

Z wizytą w laboratorium ESET

Po kilku prezentacjach zaproszono nas do szybkiego zwiedzenia laboratorium ESET, gdzie o pracy analityków opowiadał Juraj Malcho - CRO ESET (Chief Research Officer - szef działu badawczego firmy).

Niestety, możliwość robienia fotografii w pomieszczeniach firmy jest - ze względów bezpieczeństwa - mocno ograniczona. Mogliśmy jedynie wykonać kilka poglądowych zdjęć centralnego pomieszczenia w laboratoriach firmy, gdzie analitycy monitorują sytuację związaną z pracą oprogramowania ESET na całym świecie i różnego typu zagrożeniami.

Na dużych monitorach podwieszonych pod sufitem centrali wyświetlane są informacje o aktualnym poziomie zainfekowania. Tutaj mamy graficzną prezentację wskaźnika poziomu infekcji (infection rate) dla Europy.

Na kolejnym monitorze analogiczny wskaźnik prezentowany dla całego świata.

Na kolejnych dwóch monitorach prezentowane były informacje na temat stopnia aktualizacji oprogramowania ESET aktualnie pracującego i podłączonego do Sieci. Podobnie jak w przypadku wskaźnika infekcji, także i tu informacje prezentowano z podziałem na Europę...

...i w skali globalnej na kolejnym, ostatnim już ekranie. Ekrany poszczególnych analityków - ze względów bezpieczeństwa - nie były prezentowane dziennikarzom i nie mogliśmy wykonywać żadnych zdjęć, na których mogłaby być widoczna wyświetlana na nich treść. 

Zagrożenia w Polsce

Specjalnie dla przybyłych przygotowano kolejną prezentację pokazywaną nam po powrocie z pomieszczeń laboratoryjnych.  Robert Lipovsky, pracujący na stanowisku Senior Malware Researcher, pokazał jakie ostatnio zagrożenia były najpopularniejsze w Polsce.

Już wcześniej byliśmy informowani, że "ulubionym" celem cyberprzestępców są coraz częściej firmy i instytucje. Znalazło to potwierdzenie w prezentacji Lipovskiego zaczynającej się od informacji na temat skutecznego ataku na polskie konsulaty na Białorusi. O ile ataki na infrastrukturę krytyczną były już znane wcześniej (choćby niesławny Stuxnet atakujący irańską elektrownię jądrową), to atak na nasze konsulaty na Białorusi był dość nietypowy. Celem botnetu odkrytego przez firmę ESET były wyłącznie komputery na Białorusi, a podstawową funkcją złośliwego kodu było... umawianie spotkań wizowych w polskich konsulatach. Wiza jest dla obywateli Białorusi towarem deficytowym. Kilka lat temu polska administracja rządowa wdrożyła ułatwienie - serwis E-Konsulat - którego głównym zadaniem jest możliwość umówienia przez internet spotkania z urzędnikiem polskiego konsulatu. Fakt ten wykorzystali tzw. "pośrednicy wizowi" czyli po prostu naciągacze, którzy pierwotnie za pomocą skryptów rezerwowali błyskawicznie pulę spotkań a następnie "odsprzedawali" je obywatelom Białorusi. Polacy najpierw wprowadzili test CAPTCHA - nie pomogło, naciągacze zastąpili skrypty podstawionymi osobami, które w dniu publikacji kalendarza spotkań wizowych błyskawicznie rezerwowali wszystkie terminy. Polskie MSZ wprowadziło ograniczenie - wizytę mogła zarezerwować wyłącznie osoba z IP przypisanym terenom Polski i Białorusi - przestępcy sięgnęli po nową broń: wykryty właśnie przez firmę ESET botnet MSIL/Agent.PYO.

Do kontrolowania botnetu i dystrybucji złośliwego oprogramowania przestępcy używali oprogramowania Nuclear Exploit Kit z pakietu Nuclear Pack 2.0. Najpierw komputer ofiary jest atakowany za pomocą downloadera (nakłoniony w odpowiedni sposób użytkownik uruchamia złośliwy kod), następnie pobierany jest moduł główny. 

Zagrożenia, których nazwy na powyższym slajdzie wyróżniono kolorem czerwonym stanowią najpopularniejsze rodzaje złośliwego kodu atakującego komputery polskich użytkowników. Elenoocka to downloader, czyli kod infekujący komputer ofiary (np. poprzez złośliwy link w korespondencji elektronicznej lub stronę phishingową zawierającą złośliwe odnośniki), a następnie pobierający dwa, popularne w naszym kraju zagrożenia: ransomware (program szyfrujący pliki ofiary) CTB-Locker oraz trojan bankowy Win32/Tinba. Oprócz tego innym popularnym u nas zagrożeniem był downloader VBA pobierający na komputery użytkowników trojana Dridex.

O tym, że Elenoocka jest kodem profilowanym pod kątem polskich użytkowników świadczy udział tego szkodnika na świecie. Aż 23% wszystkich globalnych infekcji miało miejsce w Polsce.

Jeszcze większy udział, bo przekraczający 50% globalnego poziomu infekcji, ma trojan Tinba. Ten złośliwy kod zainfekował w Polsce ponad pół miliona komputerów. To on stoi za wieloma "popularnymi" mailami "bankowymi" podszywającymi się pod wiele działających w naszym kraju banków.

Przykłady fragmentów wiadomości e-mail, w których załączniki lub odnośniki prowadziły do uruchomienia downloadera Elenoocka, a następnie trojana Tinba.

Kolejnym przykładem ataku profilowanego pod kątem polskich użytkowników była seria fałszywych stron internetowych podszywających się pod popularną witrynę monitoringu Poczty Polskiej. Jak widać na ilustracji witryna fałszywa prezentuje się niemal jak oryginał, z tą różnicą, że widoczny na niej przycisk powoduje pobranie na komputer złośliwego kodu Win32/ServStart.AD funkcjonującego jako backdoor, czyli umożliwiającego przestępcy zdalne kontrolowanie zainfekowanego komputera i dostęp do danych znajdujących się na zaatakowanym sprzęcie. Innym zagrożeniem pobieranym przez fałszywe strony niby to należące do Poczty Polskiej był program typu ransomware.

Wiele strategicznych instytucji w Polsce i na Ukrainie (między innymi ukraińska elektrownia jądrowa) zostało zaatakowanych przez rosyjskojęzyczną grupę cyberprzestępczą znaną pod nazwą BlackEnergy. Pierwsze próbki kodu dystrybuowanego przez tę grupę pojawiły się już w 2007 roku, w 2014 grupie udało się stworzyć oprogramowanie szpiegowskie z powodzeniem wykorzystujące tzw. lukę 0-day (czyli niewykrytą wcześniej lukę w zabezpieczeniach, dla której w momencie ataku nie istniała jakakolwiek łata aktualizacyjna).

Antywirusy są martwe?

Kolejnym prelegentem był Palo Luka - CTO (Chief Technology Officer) firmy ESET. Jego prezentacja miała odpowiadać na coraz śmielej zadawane w internecie pytanie "czy antywirusy są martwe?".

Palo Luka podczas prezentacji przekornie odpowiedział na postawione w prezentacji pytanie: tak, antywirusy są martwe, wiemy to od 20 lat :) Faktem jest, że istotnie klasyczna ochrona antywirusowa bazująca wyłącznie skanowaniu plików i porównywaniu ich z pobranymi definicjami zagrożeń jest już dziś stanowczo niewystarczająca. 

Oprócz ochrony reaktywnej istotna jest również ochrona proaktywna rozwijana w firmie ESET - jak pokazują to powyższe dwa slajdy - od ponad dwudziestu lat. Każde kółko symbolizuje nową technologię wprowadzaną i wdrażaną przez specjalistów firmy ESET w produkowane przez nich oprogramowanie ochronne. 

Nasza wizyta w centrali ESET nie trwała zbyt długo, ostatnią prezentacją była prezentacja stricte produktowa. Jak wiadomo dwoma głównymi produktami ESET na platformę PC są programy ESET NOD32 Antivirus oraz ESET Smart Security. Oprócz tego firma oferuje posiadaczom smartfonów z Androidem program Eset Mobile Security - ten ostatni jest udostępniany w modelu freemium - sama aplikacja i część funkcji udostępniane są bezpłatnie. Posiadacze Maców mogą chronić swoje komputery za pomocą programów ESET Cyber Security i ESET Cyber Security Pro.

Jednym z nowszych programów mobilnych słowackiej firmy jest ESET Parental Control - mobilna aplikacja na platformę Android przeznaczona dla rodziców, którym leży na sercu to, w jaki sposób ich pociechy korzystają ze sprzętu mobilnego i czy za jego pośrednictwem nie uzyskują przypadkiem dostępu do treści dla nich nieodpowiednich.

Program oferuje dość szeroki zestaw funkcji, umożliwia monitorowanie czasu korzystania ze smartfonów przez dzieci, witryn i aplikacji, z których korzystają (rodzic, niezależnie od klasyfikacji wiekowej narzucanej przez Google Play może samodzielnie ustawić kryteria wyboru i dostępności poszczególnym zainstalowanym programom) i wiele, wiele więcej. Program ten jest na tyle interesujący, że niebawem poświęcimy mu więcej miejsca. Prezentacja produktowa była ostatnią z przedstawionych nam podczas wycieczki do siedziby głównej firmy ESET. 

Brak komentarzy do tej publikacji. Dodaj pierwszy komentarz.