Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Felhőbe költöznek a spam- és vírusterjesztők

2017. május 05. - ITsec

Szerző: Biztonságportál | Utolsó módosítás: 2017.05.04.

https://biztonsagportal.hu/felhobe-koltoznek-a-spam-es-virusterjesztok.html

A fertőzött számítógépekből felépített hálózatokat vezérlő szerverek egyre gyakrabban kapnak helyet olyan felhőszolgáltatóknál, mint amilyen például az Amazon vagy a Google.

A botnetek évek óta jelentős fejtörést okoznak mind a hatóságoknak, mind a biztonsági cégeknek. Többször bizonyosodott már be, hogy a kiterjedt, fertőzött számítógépek ezreit magukban foglaló hálózatoknak csak nemzetközi szintű összefogással lehet némiképp gátat szabni. Ebbe a küzdelembe biztonsági cégek és különféle védelmi szervezetek is bekapcsolódtak, amelyek folyamatosan figyelemmel kísérik az aktuális trendeket, és jelzik a veszélyeket. Többek között ezt teszi a Spamhaus is. Célja, hogy segítse a levélszemét mennyiségének visszaszorítását, illetve növelje a védelem szintjét az olyan spameléshez is kötődő alvilági tevékenységekkel szemben, mint amilyen például az adathalászat vagy a vírusterjesztés.


Mivel a spamelésben a legtöbb esetben botnetek is szerephez jutnak, ezért a Spamhaus is kiemelt figyelmet fordít a kártékony hálózatok elemzésére. E tevékenyége során lett figyelmes arra, hogy egyes botnetek mögött meghúzódó kiberbűnözői csoportok is megpróbálják kihasználni a felhőben rejlő lehetőségeket, és a vezérlőszervereiket különféle adatközpontokba telepítik. Ezáltal olyan környezetet teremthetnek maguk számára, amelyben a hálózataikat alacsony költségek mellett tudják irányítani, felügyelni. Ami pedig még ennél is fontosabb számukra, hogy mindezt jól skálázható módon, legális szerverek, szolgáltatások közé bújtatva tudják megtenni.
 
A Spamhaus felmérése szerint a neves szolgáltatók erőforrásainak botnetek üzemeltetésébe történő bevonása tavaly kezdett észrevehető mértékben megjelenni. Kezdetben elsősorban az Amazon AWS (Amazon Web Services) került a csalók figyelmének középpontjába. Az AWS kihasználása idén januárban ért el egy csúcspontot, azóta csökkenő tendencia figyelhető meg. Sajnos azonban közben a Google felhős megoldásai is felkeltették a kiberbűnözők figyelmét, így a keresőóriás újabb fronton kényszerül óvintézkedések meghozatalára.



Forrás: SpamHaus

 
Kritikus hangok
 
A Spamhaus szerint egyelőre sem az Amazon, sem a Google nem áll a helyzet magaslatán, és sokkal hathatósabb közbeavatkozásra lenne szükség. Ezt mutatja például az is, hogy jelenleg a Spamhaus feketelistáin 159 olyan cím szerepel, amelyek az Amazon AWS-hez köthetők, míg a Google felhős infrastruktúrájában további 59 nemkívánatos vezérlőszerver üzemel. És ezek a számok csak a botnetek irányítását segítő kiszolgálókra vonatkoznak, nem tartalmazzák az adathalászathoz, zsaroló programok terjesztéséhez és működéséhez szükséges szervereket. A biztonsági szervezet szakértői azonban leginkább azt kifogásolták, hogy egyik vállalat sem reagál időben.
 
"Sem az Amazon, sem a Google nem kezeli megfelelően a botneteket vezérlő szerverekre vonatkozó bejelentéseket. Mindkét vállalat esetében elképzelhető, hogy egy-egy vezérlőszerver akár több hétig is működőképes marad" - nyilatkozta Thomas Morrison, a Spamhaus szakértője, aki szerint ennek hátterében több tényező húzódhat meg. Elképzelhető, hogy nem elég alapos az ügyfélregisztrációkor végzett ellenőrzés, nem kellően szigorúak a felhasználási feltételek, vagy nincs kellő nyomás vezetői szintről e problémák megoldásához.
 
A Google másként látja
 
A hírek hallatán a Google úgy nyilatkozott, hogy a Google Cloud Platform kapcsán számos óvintézkedést vezetett be annak érdekében, hogy a visszaélések detektálhatók, megállíthatók, vagy még inkább megelőzhetők legyenek. Mérnökök egy csoportja kifejezetten csak azzal foglalkozik, hogy a potenciális biztonsági problémákat és visszaélési lehetőségeket feltárja, illetve kezelje. Amennyiben felhasználási feltételeket megszegő tevékenységet észlel, akkor rögtön felfüggeszti az adott műveletet. A Google szerint a biztonsági csoportja a visszaélések egy jelentős részét még azelőtt azonosítja, mielőtt külső szervezetek jeleznék felé a problémákat. Amikor azonban kívülről érkezik a bejelentés, akkor fokozottabb ellenőrzésekre van szükség, mielőtt a szakemberek megteszik a szükséges intézkedéseket, és adott esetben leállítanak egy-egy rendszert, vagy letiltanak egy-egy fiókot.