Serangan Web Asing Tukar Paradigma Keselamatan

Sistem keselamatan tradisional mungkin tidak berkesan dan menjadi usang dalam menghapuskan serangan Web yang dilancarkan oleh negara, menurut Val Smith, pengasas Penyelidikan Serangan. Trend serangan baru termasuk spam blog dan suntikan SQL dari Rusia dan China, kata Smith semasa ceramahnya di Show Boston Security Show pada hari Jumaat.

"Serangan sisi pelanggan adalah di mana paradigma akan berjalan," kata Smith. "Sistem keselamatan monolitik tidak lagi berfungsi."

Hacker menggunakan penyemak imbas Web sebagai alat eksploitasi untuk menyebarkan malware dan mengumpulkan maklumat sensitif. Smith menggunakan contoh dari klien syarikatnya, yang menganalisis dan menyelidik serangan komputer, untuk menunjukkan ancaman yang ditimbulkan oleh spam blog dan serangan SQL.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows]

Penyerang yang disasarkan tinggi -membuat laman web dengan spam blog dan menyiarkan komen di blog, katanya. Komen-komen itu kelihatan ganjil dan cenderung mempunyai frase bukan bahasa Inggeris yang ditempatkan dalam blok besar teks dengan kata-kata rawak hiperlink, katanya. Klik pada pautan tersebut membawa pengguna ke laman web yang kelihatannya seperti blog tetapi halaman yang dimuatkan dengan perisian hasad, kata Smith.

Bank China memiliki domain untuk setiap laman web malware, tetapi alamat IP (Internet Protocol) dikesan ke Jerman. Meneliti pautan itu menunjukkan bahawa setiap orang mengandungi perkataan dalam bahasa Rusia atau Romania, kata Smith. Dengan meletakkan spin antarabangsa terhadap aktiviti jahat mereka, penggodam berharap untuk mengelirukan sesiapa yang menyiasat kerja mereka, katanya. "Bagaimana anda akan mengesan kembali ini kepada orang jahat?" katanya, dengan menyatakan bahawa pengesanan itu rumit oleh halangan bahasa, bekerja dengan organisasi undang-undang asing dan berurusan dengan negara-negara "yang mungkin tidak ingin bercakap dengan kami."

Walaupun tujuan serangan spam blog masih tidak jelas, Smith mengatakan insentif kewangan berfungsi sebagai motivasi. Adware dipasang selepas pengguna melawat laman web yang dijangkiti menjatuhkan wang penggodam, seperti mengklik pada iklan di halaman. Penggodam lain sedang mencari untuk memperluaskan botnet mereka, atau rangkaian mesin dikompromi yang digunakan untuk tujuan jahat.

Siasatan Smith mengesan serangan ke akaun DSL rumah di Rusia. Sifat antarabangsa insiden itu membuat pendakwaan tidak mungkin, katanya.

Serangan suntikan SQL Smith dibahas berasal dari China dan cuba mencuri maklumat mengenai perniagaan yang melawat laman web syarikat itu, yang merupakan pelanggan Smith.

Hacker pertama melancarkan suntikan SQL dan memuat naik pintu belakang yang membolehkan mereka mengendalikan sistem.

Suntikan SQL tambahan gagal, jadi penggodam mencari sistem untuk mengeksploitasi yang lain. Mereka mendapati aplikasi perpustakaan yang membolehkan imej dimuat naik. Hacker memuat naik fail GIF dengan garis kod yang terkandung dalam imej. Sistem komputer membaca tag GIF dan memuat naik foto dan secara automatik mengeksekusi kod.

Hacker "mensasarkan aplikasi yang ditulis secara peribadi, di rumah, dan melancarkan serangan tertentu terhadap aplikasi itu," kata Smith. > Hacker akhirnya meletakkan kod HTML "iFrame" pada setiap halaman laman web syarikat. IFrames mengalihkan pelayar mangsa ke pelayan yang menjangkiti komputer menggunakan alat yang dipanggil "MPack." Alat ini memaparkan OS dan penyemak imbas mangsa dan melancarkan serangan berdasarkan maklumat itu.

Hasilnya ialah para korban mendapat kenaikan dengan banyak serangan, kata Smith.

Hari ini, serangan suntikan SQL adalah ancaman teratas terhadap keselamatan Web, kata Ryan Barnett, pengarah keselamatan aplikasi di Breach Security, dalam satu temu bual yang berasingan daripada persidangan itu.

Tahun lalu, penjenayah siber telah melepaskan serangan Web secara besar-besaran yang telah menjejaskan lebih 500,000 laman web, menurut vendor keselamatan.

"Mereka bermula pada bulan Januari dan pada dasarnya sepanjang tahun," kata Barnett. Sebelum ini, penyusunan serangan suntikan SQL mengambil masa, tetapi tahun lepas penyerang mencipta kod cacing yang secara automatik boleh mencari dan memecah masuk beratus-ratus laman web dengan cepat.

Sekarang, bukannya mencuri data dari laman web yang digodam, orang jahat semakin beralih dan menanam skrip jahat yang menyerang pelawat tapak. "Sekarang tapak menjadi depot malware," katanya.

(Bob McMillan di San Francisco menyumbangkan laporan ini.)