ESET voorspelt trends 2011 in IT-bedreigingen:Aanvallen op Facebook en andere sociale netwerken zullen toenemen.

Brussel, 3 januari 2011 – Wat brengt 2011 ons op het vlak van IT beveiliging? Voor welke bedreigingen moeten we ons schrap zetten en hoe zullen de trends er uit zien? We deden een beroep op de wereldwijde kennis van ESET en ondervroegen ’s werelds beste onderzoekers uit de sector, waaronder David Harley van ESET en de jongens van het nieuwe Cyber Threat Analysis Center (CTAC) van ESET naar de trends voor 2011:

• Het CTAC team in San Diego was het er over eens dat sociale media het doelwit gaan vormen van ‘social engineering’ aanvallen zoals de gebruikers van Facebook en Google die nu al kennen. Ze geloven ook dat er steeds meer aanvallen zullen komen tegen andere sociale netwerken zoals LinkedIn, Orkut en Twitter en ook tegen andere zoekmotoren zoals Bing en Yahoo. Dat zal zeker het geval zijn indien de marktleiders maatregelen blijven nemen om het moeilijker en duurder te maken om Facebook en Google aan te vallen. Facebook vormt een bijzondere uitdaging: misschien blijft het eerder de symptomen bestrijden dan de ziekte zelf door aan te geven dat gebruikers zelf verantwoordelijk zijn voor de veiligheid van hun data door ze alleen te delen op manieren die ze zelf willen. Sommige sites (zoals Bebo, bijvoorbeeld) stellen tegenwoordig standaard in dat hun gebruikers niet alles moeten delen, ook al is het delen van zoveel mogelijk klantengegevens de basis van hun bedrijfsmodel. Facebook blijft dubbelzinnig.

• Mobiele apparatuur zal in toenemende mate een doelwit worden. Merken die zich beschermen door een beperkt aantal goedgekeurde toepassingen toe te laten, zullen minder kwetsbaar zijn voor aanvallen door malware maar het valt te verwachten dat ook hier frauduleuze social engineering aanvallen zullen voorkomen.

• Botnets zijn natuurlijk niet nieuw maar ze zullen aan belang winnen in 2011. Data van Shadowserver geven aan dat het volume aan botnets zal toenemen, terwijl gegevens van ThreatSense.Net eenzelfde groei aangeven voor volumes aan bot malware. Dit alles betekent dat zombie PCs een groter deel van de geïnfecteerde systemen zullen vormen. Er mag ook verondersteld worden dat de grote rol die botnets in 2010 speelden die gecontroleerd werden via Twitter, overgenomen zal worden door experimenten met de Command en Control kanalen. Het goede nieuws is dat de recente successen in het neerhalen van botnets zullen doorzetten en misschien zelfs toenemen. Het Cyber Threat Analysis Center team van ESET vindt ook dat botnets een groot probleem zullen blijven hoewel ze hopen dat meer mensen zullen begrijpen dat kleinere, minder bekende, botnets een even grote bedreiging vormen als de grote, bekende botnets. Deze laatsten worden immers zo goed in het oog gehouden door de beveiligingsonderzoekers dat de makers ervan ze wellicht zullen opgeven.

• Na de Boonana kopie van Koobface, die potentieel diverse besturingssystemen kan infecteren, is het waarschijnlijk dat er meer malware zal opduiken die omgevingen als Java gebruikt om op meerdere platformen te werken: bijvoorbeeld botnets die Zombies bevatten die zowel op Windows als op niet-Windows besturingssystemen kunnen draaien.

• BlackHat SEO (Search Engine Optimization), soms omschreven als het vergiftigen of kapen van indexen (index poisoning/index hijacking), is al evenmin nieuw. Toch biedt het gebruik van sociale media blackhats veel mogelijkheden om de technieken te optimaliseren om verkeer van gebruikers naar kwaadwillende sites te lokken. Deze techniek is uitgebreid besproken tijdens de 2010 Virus Bulletin conferentie.

Het CTAC team bevestigt dat social engineering het grootste probleem zal blijven, en dat niet alleen in de context van malware. De meeste malware zal infecties versturen via de bekende kanalen (e-mail, kwaadwillende URL’s, fora, nieuwsgroepen) door slachtoffers te verleiden op iets verkeerds te klikken. Toch wordt verondersteld dat ook af en toe nieuwe onaangename verrassingen zullen opduiken zoals de .LNK kwetsbaarheid, zelfs tot lang nadat ze eerst ontdekt zijn door mensen die er misbruik van maken. Ook SCADA-aanvallen om data te stelen zullen blijven voorkomen. Daarbij zal het wellicht eerder gaan om spear-phishing en social engineering dan 0-dag aanvallen, en misschien meer om Trojaanse paarden dan om malware die zichzelf verspreidt als Win32/Stuxnet. Het belangrijkste doel van Stuxnet lijkt sabotage geweest te zijn. Veronderstellingen dat de code van Stuxnet makkelijk aangepast kan worden om alle diverse soorten andere installaties aan te vallen, mogen vooral hype genoemd worden. Toch zal malware die gericht is op sabotage de komende tijd veel speculatie en onderzoek aantrekken. Bovendien zullen datalekken en tools die gegevens afhalen van sociale netwerken de kosten verlagen om spear-phishing aanvallen op te zetten. Dat zal leiden tot een aantal bijzonder zichtbare aanvallen.

Beveiligingsleveranciers die met malware bezig zijn, zullen in toenemende mate terugvallen op metingen in de ‘cloud’ voor de analyse van reputaties en het plannen van malwareverwerking door reverse engineers. Op de CARO workshop in Helsinki in mei 2010 werd algemeen aangenomen dat er meer dan 40 miljoen unieke stukken malware-code bekend zijn. We gaan er van uit dat dit aantal in 2011 zal oplopen tot 50 miljoen. Dat cijfer is misschien zelfs redelijk voorzichtig, maar het is bijzonder moeilijk om een exacte telling te krijgen. Ieder bedrijf telt immers op een andere manier, terwijl het ook niet eenvoudig is om dubbels te ontdekken. Meer op;www.eset.com