Microsoft Security Intelligence Report

Autor: Tim Rains

Opublikowano: 1 października 2008

Dane z setek milionów połączonych z Internetem systemów oraz wybranych, największych usług online na świecie pozwoliły firmie Microsoft uzyskać unikalny wgląd w zagrożenia bezpieczeństwa, w obliczu których stoją obecnie użytkownicy Internetu. Microsoft udostępnia te dane dwa razy w roku w swoim raporcie Security Intelligence Report (SIR). Swój wkład w powstanie tego raportu mają również: Microsoft® Malware Protection Center (MMPC), Microsoft Security Response Center (MSRC), Trustworthy Computing (TwC), jak również wiele innych grup produktów. Raport SIR dostarcza wnikliwy wgląd w najnowsze trendy w zakresie ujawniania słabych punktów oprogramowania oraz rozpowszechniania złośliwego i potencjalnie niepożądanego oprogramowania (takiego jak programy typu spyware lub adware). Raport zawiera również szczegółowe informacje ilustrujące, jakie są osiągnięcia różnych wersji systemu operacyjnego Windows na tle ogólnego krajobrazu zagrożeń oraz które regiony świata są w największym stopniu zainfekowane złośliwymi programami lub innym niepożądanym oprogramowaniem. Najnowsza wersja raportu, która koncentruje się na trendach zaobserwowanych w pierwszej połowie 2007 roku, zawiera nową sekcję dotyczącą programów wykorzystujących luki oprogramowania (exploit). Dokument SIR stanowi wartościową lekturę dla osób, które profesjonalnie lub hobbistycznie zajmują się dbaniem o bezpieczeństwo komputerów, ponieważ zawiera on informacje dotyczące zagrożeń płynących z Internetu.

Najnowszy raport SIR ujawnia, iż analitycy bezpieczeństwa wykryli więcej luk w oprogramowaniu wszystkich producentów. W rzeczywistości ponad 3400 nowych luk w zabezpieczeniach oprogramowania zostało wykrytych w ciągu zaledwie pierwszej połowy 2007 roku! Jednak pomimo tak znaczącej liczby, ogólna wartość procentowa wykrywanych luk w zabezpieczeniach systemów operacyjnych maleje.

Co to oznacza? Jedna z możliwości jest taka, iż analitycy bezpieczeństwa koncentrują się bardziej na aplikacjach, ponieważ bezpieczeństwo systemów operacyjnych stale się poprawia. Co więcej, ponieważ liczba nowych aplikacji znacznie przekracza liczbę nowych systemów operacyjnych, namnażanie się aplikacji jest prawdopodobnie głównym czynnikiem stojącym za ostatnimi trendami wykrywania luk w oprogramowaniu.

W ciągu 2006 roku dla 29,3 procent znanych luk zabezpieczeń w produktach Microsoft publicznie udostępniony został kod wykorzystujący te błędy, podczas gdy według stanu na dzień 1.08.2007 jedynie 20,9 procent luk zabezpieczeń posiada publicznie dostępny kod typu exploit. Chociaż liczba luk zabezpieczeń stale wzrasta, współczynnik kodu typu exploit pozostaje stabilny, a nawet w odrobinę zmalał. Coraz trudniej jest znaleźć kod typu exploit dla nowszych produktów. Przeprowadziliśmy porównanie poszczególnych produktów, z którego można wywnioskować, że nowsze wersje produktów są w mniejszym stopniu narażone na ryzyko niż wersje produktów, które dłużej istnieją na rynku. Średnia podatność na ataki typu exploit maleje razem z czasem istnienia produktu, co oznacza, że dla większości produktów najnowsze wersje są mniej na nie narażone. Jest to najbardziej widoczne w przypadku produktów Windows oraz Microsoft Office System. Najnowsze wersje obu z nich (Windows Server® 2003, Windows Vista®, Office 2003 oraz Office 2007) wykazały wyraźny spadek liczby luk zabezpieczeń na osi czasu istnienia produktu.

Raport SIR oferuje cenną analizę trendów w obszarze złośliwego oprogramowania (ang. malware). Trendy te wskazują aktualnie stosowane taktyki atakowania użytkowników. Dane pochodzące z najistotniejszych głównych źródeł, takich jak m.in. Microsoft Exchange Hosted Services (EHS), Windows Live® OneCare i Windows Live OneCare Safety Scanner, Windows Malicious Software Removal Tool (MSRT) oraz Windows Defender, pozwalają na uzyskanie widoku krajobrazu zagrożeń z kilku różnych punktów obserwacji.

Inżynieria społeczna odgrywa coraz większą rolę w rozpowszechnianiu złośliwego oprogramowania. Tego typu ataki są często skuteczne w namawianiu użytkowników do podejmowania pewnych działań, które mogą ograniczać efektywność mechanizmów zabezpieczeń. Dane usług EHS wskazują, że w pierwszej połowie 2006 roku klasyczne e-mailowe robaki stanowiły największe zagrożenie w komunikacji poprzez pocztę e-mail, reprezentując 95 procent złośliwego oprogramowania wykrytego w wiadomościach e-mail. Począwszy od drugiej połowy 2006 roku liczba ta spadła do 49 procent i pozostała na tym poziomie w ciągu pierwszej połowy 2007 roku (patrz Rysunek 1). Kradzieże tożsamości (ang. phishing scam) i wiadomości e-mail zawierające ataki przy użyciu IFrame stanowiły 27 procent wykrywanych wystąpień złośliwego oprogramowania w drugiej połowie 2006 roku i ich udział wzrósł do 37 procent w pierwszej połowie 2007 roku. Popularność Trojanów typu Downloader rozpowszechnianych poprzez wiadomości e-mail wzrosła do 20 procent w drugiej połowie 2006 roku, a następnie spadła do 7 procent w pierwszej połowie 2007 roku.

Rysunek 1: Udział różnego typu zainfekowanych e-maili w pierwszej połowie 2007 roku.

Dane telemetryczne zebrane przez usługi Windows Live OneCare oraz Windows Live OneCare Safety Scanner (safety.live.com) wskazują, iż wskaźniki zainfekowania wirusami, programami korzystającymi z tylnich wejść, złodziejami haseł oraz trojanami kradnącymi dane zwiększyły się w pierwszej połowie 2007 roku.

Narzędzie MSRT zostało zaprojektowane po to, aby pomóc w identyfikowaniu i usuwaniu z komputerów użytkowników typowego złośliwego oprogramowania. Pierwotnie zostało ono opublikowane jako krytyczna aktualizacja rozpowszechniana za pośrednictwem usług Windows Update (WU), Microsoft Update (MU) oraz Automatic Updates (AU). W ciągu dwóch lat narzędzie MSRT usunęło 50,3 milionów infekcji z 20,5 milionów komputerów na całym świecie. Całkowita liczba wykonań narzędzia do dziś wynosi ponad 7,4 miliardów, w tym 1,9 miliardy wykonań w pierwszej połowie 2007 roku.

Narzędzie MSRT stanowi rewelacyjne źródło danych dla firmy Microsoft i jej klientów. Współczynniki zainfekowania obserwowane przez narzędzie MSRT w systemach Windows Vista oraz Windows XP SP2 są znacznie mniejsze niż w starszych systemach operacyjnych Windows, jak pokazano na Rysunku 2. Narzędzie MSRT usunęło złośliwe oprogramowanie z 60 procent mniej komputerów z systemem Windows Vista niż z komputerów z systemem Windows XP SP2 oraz 91,5 procent mniej niż z komputerów z systemem Windows XP bez zainstalowanego jakiegokolwiek dodatku Service Pack. Co ciekawe liczba usuniętych infekcji per komputer utrzymuje się na stabilnym poziomie, ze średnią 2,2 usuniętych infekcji na jeden zainfekowany komputer.

Rysunek 2: Wersje systemu operacyjnego oczyszczone przez narzędzie MSRT w pierwszej połowie 2007 roku.

Generalnie według danych MSRT więcej złośliwego oprogramowania znajduje się w krajach rozwijających się niż w krajach wysoko rozwiniętych. Na przykład najbardziej zainfekowane kraje w Europie to Albania oraz Turcja, podczas gdy najmniej zainfekowane do Włochy i Finlandia. W regionie Azji i Pacyfiku najbardziej zainfekowane są Mongolia i Tajlandia, podczas gdy najmniej zainfekowanymi Nowa Zelandia i Japonia. Stany Zjednoczone są proporcjonalnie mniej zainfekowane niż większość krajów i regionów obu Ameryk, ze współczynnikiem zainfekowania zbliżonym do średniej światowej. Narzędzie MSRT oczyściło średnio 1 na każde 216 komputerów podczas pierwszej połowy 2007 roku.

Windows Defender działa w systemach Windows Vista, Windows XP oraz Windows Server 2003. W sumie 50,7 milionów elementów potencjalnie niepożądanego oprogramowania zostało wykrytych podczas pierwszej połowy 2007 roku, przy czym na komputerach z systemem Windows Vista wykryto 2,8 razy mniej elementów niż na komputerach z systemem Windows XP SP2. Ponadto liczba wykrytych wystąpień potencjalnie niepożądanego oprogramowania na komputerach z systemem Windows Vista była o połowę mniejsza niż na komputerach z systemem Windows Server 2003.

Choć te wszystkie statystyki są całkiem interesujące, część czytelników prawdopodobnie zastanawia się, w jaki sposób pomagają one w lepszej ochronie siebie i własnego środowiska? W ostatnim raporcie SIR każda główna sekcja jest poprzedzona zestawieniem najważniejszych elementów tej części oraz spisem wskazówek zatytułowanym "Strategy, Mitigations, and Countermeasures". Przy pomocy tych list można szybko zapoznać się z kluczowymi spostrzeżeniami wynikającymi z poszczególnych części raportu.

Co więcej można wykorzystać dane, wglądy i wskazówki oferowane przez raport SIR do oceny i poprawy własnej, aktualnej konfiguracji zabezpieczeń w kontekście stale zmieniającego się krajobrazu zagrożeń. Pełny raport, który oferuje strategie, sposoby złagodzenia problemu i środki zaradcze bazujące na kluczowych spostrzeżeniach, można pobrać spod adresu microsoft.com/sir.

O autorze

Tim Rains pełni funkcję menedżera produktu w Microsoft Malware Protection Center (MMPC). Zarządza produkcją raportu Microsoft Security Intelligence Report (SIR). Autorami raportu SIR są Jeff Jones (dyrektor w Microsoft Trustworthy Computing Group), Jeff Williams (dyrektor produktu MMPC), Mike Reavey (Group Manager w Microsoft Security Response Center) oraz Ziv Mador (Senior Program Manager oraz Response Coordinator w MMPC).

Do początku strony