Video: CIC News 17-01-2014: Popular Choices for Malware Hosting | BlackPOS malware used in Target heist (Marraskuu 2024)
Rakastamme pilviä, koska on helpompaa saada palvelin ylläpitämään verkkosivustoa tai käyttämään Web-sovellusta, jos joku muu huolehtii kaikista laitteistotehtävistä. No, näyttää siltä, että rikolliset rakastavat myös isännöintipalveluntarjoajia, etenkin Amazon ja GoDaddy.
Tietoverkkorikolliset käyttävät pilvipalveluita monista samoista syistä, joissa lailliset yritykset ja yksityishenkilöt ovat, Solutionary löysi vuoden 2013 neljännen vuosineljänneksen uhkaraportissa (PDF). Rikolliset piilottavat myös haitallisen toimintansa suurten isännöintipalveluntarjoajien, kuten Amazon, GoDaddy ja Google, maineen takana. Itse asiassa suurimmista siellä toimivista Web-palveluntarjoajista Solutionary havaitsi, että Amazon ja GoDaddy olivat suosituimpia haittaohjelmien ylläpidossa.
"Nyt meidän on jatkettava keskittymistämme paitsi Webin vaarallisimpiin osiin, myös niihin osiin, joiden odotamme olevan luotettavampia", sanoi Rob Kraus, Solutionaryn tietotekniikan tutkimusryhmän tutkimusjohtaja.
Miksi pilvi?
Pilveen siirtymisellä on paljon järkeä, koska haitalliset sivustot on nopeampi kehittää ja tuoda ne verkkoon, samoin kuin halvempaa toistuvasti muuttaa IP-osoitteita ja verkkotunnuksia tunnistuksen välttämiseksi. Rikolliset voivat käyttää useita palveluntarjoajia ja laajentaa toimintaansa huomattavasti sen sijaan, että yrittäisivät perustaa fyysisiä web-palvelimia useisiin paikkoihin. Raportti löysi esimerkiksi yhden haitallisen verkkotunnuksen, joka oli levinnyt 20 maahan, 67 palveluntarjoajaan ja 199 yksilölliseen IP-osoitteeseen havaitsemisen tai estämisen estämiseksi.
Haittaohjelmien jakelijat "hyödyntävät tekniikoita ja palveluita, jotka helpottavat prosesseja, sovellusten käyttöönottoa ja verkkosivustojen luomista", Kraus sanoi.
Rikolliset peittävät kappaleensa myös paremmin ja menestyvät paremmin, jos he luottavat suurimpiin isännöintipalvelujen tarjoajiin. Ottaen huomioon, että organisaatiot suodattavat liikenteen usein maantieteellisten mustien luetteloiden ja tunnettujen huonojen IP-osoitteiden luetteloiden avulla, rikolliset tarvitsevat jonkin sijaan "turvallista", joka ei laukaise automaattisesti hälytystä. Täällä tärkeimmät isännöintipalveluntarjoajat saapuvat, koska niiden avulla haittaohjelmien jakelijat voivat perustaa ostoksia luotettavassa osoitetilassa. Organisaatiot, jotka voivat estää Ukrainan liikenteen, eivät todennäköisesti estä esimerkiksi Amazonista ja GoDaddystä tulevaa liikennettä.
Solutionary huomautti myös, että maantieteelliset mustalistat ja estämisstrategiat eivät ole tehokkaita menetelmiä haittaohjelmahyökkäysten havaitsemiseksi ja estämiseksi, koska 44 prosenttia maailman haittaohjelmista on aluksi ylläpidetty Yhdysvalloissa.
Piggybacking luotettavissa tuotemerkeissä
Luotettavien verkkotunnusten ja nimien taakse piiloutuminen ei kuitenkaan ole jotain uutta. Roskapostittajat tykkäävät käyttää suosittuja Webmail-palveluntarjoajia, koska ihmiset luottavat automaattisesti viestiin osoitteessa @ outlook.com tai @ gmail.com useammalle kuin yhdelle, esimerkiksi osoitteesta @ 50orcdn.com. Hyökkääjät käyttävät myös Google-dokumentteja ja Google-sivustoja lomakkeiden luomiseen, jotka voivat huijata käyttäjiä lähettämään arkaluontoisia tietoja tai lataamaan haittaohjelmia. Pilvitallennuspalvelujen tarjoajia, kuten Dropboxia, on aikaisemmin ahdistettu niin, että rikolliset hyödyntävät ilmaisia palveluita haittaohjelmien ylläpitämiseksi.
Amazonin valtavan koon vuoksi on järkevää, että se isännöi enemmän haitallisia sivustoja kuin kilpailijansa. Siitä huolimatta on selvää, että hyökkääjät kohtelevat yhä enemmän hosting-palvelujen tarjoajia "merkittävinä jakelupisteinä", Kraus sanoi.
Solutionary-raportissa tutkijat havaitsivat, että hyökkääjät joko ostavat palveluja suurilta isännöintipalveluntarjoajilta suoraan tai vaarantavat näillä alustoilla jo ylläpidettävät sivustot. Käyttäjät eivät yleensä tiedä miten ryhtyä toimenpiteisiin sovellustensa kovettamiseksi, jolloin he ovat alttiita hyökkäyksille. Jotkut palveluntarjoajat, kuten Amazon sen elastisen pilvipalvelun (EC2) kanssa, veloittavat todellisen kuluneen kaistanleveyden. Tämä tarkoittaa, että rikolliset voivat perustaa kampanjan ensin pienessä mittakaavassa ja laajentaa sen jälkeen tarvittaessa.
"Mitä tuottavampi rikollinen toiminta, sitä enemmän rahaa on käytettävissä maksamaan lisääntyvästä kapasiteetista tarpeen mukaan", Solutionary totesi.
Useimmilla pilvipalveluntarjoajilla - etenkin Amazonilla - on tietoturvakäytäntöjä, jotka sulkevat haitalliset sivustot ja tilit heti, kun ne havaitaan. Kuitenkin, kun palveluntarjoaja on valtava, kun sadat tuhannet palvelimet ja tuhannet käyttäjät käyttävät kuukausittain uusia sovelluksia, tämä on haastava tehtävä. Tämän seurauksena sinun ei pitäisi vain olettaa, että tietyiltä sivustoilta tuleva liikenne on automaattisesti turvallista, tai luottaa palveluntarjoajiin poliisitoimiin. Sinun tehtäväsi on harjoitella turvallista tietojenkäsittelyä pitämällä tietokoneesi turvassa ja tarkistaa jokainen sivusto selvittääksesi, onko se laillista.