Insajderska priča o Google-ovoj borbi protiv malicioznog softvera

Vesti, 01.11.2010, 23:30 PM

Insajderska priča o Google-ovoj borbi protiv malicioznog softvera

Istraživač malicioznih programa u kompaniji Google je na konfereniciji SecTor u Torontu prisutnima pružio priliku koja se retko pruža - da zavire sa druge strane funcionisanja kompanijske borbe protiv malicioznog softvera i phishing-a (vidi u Rečniku: phishing), kao i u podatke koje kompanija prikuplja a koji pokazuju kako napadači koji su razvili profitabilan biznis od inficiranja sajtova i iskorišćavanja korisnika svoje taktike prilagođavaju veoma brzo i kako se, na veoma kreativne načine, suprotstavljaju Google-u i ostalima.

Iako je Google novajlija na sceni okupljenoj oko bezbednosti, kompanija je u poslednje vreme razvila brojne servise i tehnologije čija je svrha otkrivanje phishing sajtova, kao i sajtova koji hostuju maliciozni softver i sprečavaju korisnike da pronalaze ovakve sajtove. Alatke uključuju Google SafeBrowsing API i pregršt servisa koji omogućavaju vlasnicima sajtova i administratorima mreža pronalaženje i uklanjanje malicioznih programa i pratećih bagova na svojim sajtovima.

Sve ovo je povezano sa Google-ovim kontinuiranim pretraživanjem web-a, koje, između ostalog, omogućavaju kompaniji da otkrije sajtove koji distribuiraju maliciozne programe kao i legitimne sajtove koji su kompromitovani ubacivanjem malicioznog koda. Napadači inficiraju legitimne sajtove iz brojnih razloga, a jedan od njih je što će ti sajtovi biti vidljiviji u rezultatima Google pretrage.

Kako bi pronašli sajtove koji distribuiraju maliciozni softver, Google koristi veliki broj virtualnih kompjutera koji rade sa potpuno nezakrpljenim verzijama Windows-a i Internet Explorer-a koji ukazuju na potencijalno maliciozne URL-ove. Kompanija potom ovo povezuje sa podacima koje prikuplja od svojih automatskih crawler-a kojima je zadatak traganje za malicioznim kodom na legitimnim web sajtovima.

Fabris Jaubert, iz tima za borbu protiv malware-a kompanije Google, rekao je da je kompanija imala dosta sreće sa otkrivanjem i uništavanjem malicioznih sajtova u poslednje vreme. Ipak, čak 1,5 % svih stranica iz rezultata pretrage uključuju linkove ka najmanje jednom sajtu za distribuciju malicioznog softvera, kaže on.

"Ima mnogo kolebanja u tom pogledu tokom vremena, a to može biti zbog više faktora. To može biti zbog promene tih stranica, zbog promene u našoj stopi detekcije i takođe zbog popularnosti zaraženih strana," kaže Jaubert. "

"Najznačajniji faktor je taj što smo otkrili da je značajan broj malicioznih stranica spamerski i bez sadržaja. Međutim, to je igra mačke i miša, kao i u slučaju virusa i antivirusa. Mi tražimo i nalazimo loše stranice, a oni ih sve bolje sakrivaju."

Najveći deo ovog sistema infekcije i distribucije je ogromna populacija web servera sa nezakrpljenim ranjivostima, koje napadači iskorisćavaju kako bi ubacili maliciozni kod. Taj kod, često sakriven u iFrame-ovima, obično preusmerava korisnike ka drugom sajtu gde se maliciozni program instalira na kompjuteru korisnika putem drive-by download (vidi u Rečniku: drive-by download).

To je suptilan pomak, ali on iz jednačine uklanja web stranice čija je namena distribucija malware-a, čineći da cela operacija bude mnogo delotvornija i sa više šansi da bude uspešna na duge staze.

Međutim, Jaubert je rekao da su u poslednje vreme napadači promenili svoje metode kada su Google i ostali koji su uključeni u borbu protiv exploit-a (vidi u Rečniku: exploit) na web-u postali sve bolji u identifikovanju i uklanjanju sajtova sa kojih se preuzimaju maliciozni programi. Sada su neke grupe započele da izbegavaju dodatni korak preusmeravanja korisnika ka third-party sajtu i počele da postavljaju maliciozni softver na kompromitovani legitimni sajt, koristeći taj sajt i za distribuciju malicioznog programa.

Ipak, uprkos ogromnoj količini podataka koje Google prikuplja i analizira, postoji još mnogo toga u načinu na koji maliciozni ekosistem funkcioniše što kompanijski tim za bezbednost još uvek nije u potpunosti shvatio.

"Ne razumemo sve pojedinosti. Usresređeni smo na tehničke detalje," rekao je Jaubert. "Postoji i aspekt profitabilnosti u koji još uvek nemamo uvid."

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kabl za punjenje iPhonea može se koristiti za hakovanje i infekciju računara

Kabl za punjenje iPhonea može se koristiti za hakovanje i infekciju računara

Kada kupite iPhone dobijate i jedan standardni kabl za punjenje. Mnogi ljudi posežu za alternativama dostupnim na tržištu kada izgube ili oštete o... Dalje

Zbog ove četiri ranjivosti u Windowsu, odmah preuzmite zakrpe

Zbog ove četiri ranjivosti u Windowsu, odmah preuzmite zakrpe

Ako koristite bilo koju podržanu verziju Windowsa odmah instalirajte najnovije sigurnosne ispravke. Windows ima četiri do sada nepoznate kritične r... Dalje

Evropska centralna banka potvrdila hakovanje sajta i kompromitovanje podataka

Evropska centralna banka potvrdila hakovanje sajta i kompromitovanje podataka

Evropska centralna banka (ECB), centralna banka 19 evropskih zemalja koje su prihvatile evro, ugasila je svoj kompromitovani web sajt pošto je otkril... Dalje

Uprkos kritikama, Microsoft kaže da će ljudi i dalje preslušavati snimke korisnika Skypea i Cortane

Uprkos kritikama, Microsoft kaže da će ljudi i dalje preslušavati snimke korisnika Skypea i Cortane

Kao i sve druge velike tehnološke kompanije koje imaju digitalne pomoćnike ili koje korisnicima nude uslugu razgovora, ispostavilo se da i Microsoft... Dalje

Canon DSLR fotoaparati mogu daljinski biti zaraženi ransomwareom

Canon DSLR fotoaparati mogu daljinski biti zaraženi ransomwareom

Ransomware postaje sve raširenija i ozbiljnija pretnja, a fokus napadača prelazi sa računara na pametne telefone i druge pametne uređaje povezane ... Dalje