Viitorul suna bine pentru viermi

Expertii in securitate informatica incearca sa "prevada" atacurile creatorilor de virusi. Potrivit specialistilor de la Trend Micro, printre tehnologiile de viitor pe care le vor utiliza viermii informatici se numara "RSS Feed hijacking" si exploit-uri polimorfice.

"RSS Feed hijacking", o tehnologie in curs de dezvoltare, este o metoda pentru a primi "Real Simple Syndication". Paginile web isi pot actualiza continutul, iar utilizatorii lor pot primi continutul nou de indata ce este publicat, prin intermediul unui client RSS-feed, care verifica frecvent aparitia unui continut nou. Cea mai simpla cale de a profita de popularitatea acestei tehnologii noi este deturnarea clientilor existenti pentru a descarca automat noi copii ale viermilor si ale altor programe periculoase pe computerele infestate. Acest lucru poate fi efectuat prin orientarea clientului deja configurat catre website-uri cu continut periculos, afirma David Sancho, Senior AV Research Engineer Trend Micro. Se poate verifica daca sistemul are configurate descarcari automate de continut. Daca exista astfel de configurari, se va modifica sau adauga o astfel de configurare care sa duca la un site web periculos. Acest tip de atac ar avea doua rezultate directe. Ar servi ca un punct pasiv de descarcare, pornind conexiuni dintr-un punct legitim. Din moment ce sursa conexiunii este deja "permisa", ea ar trece de orice firewall-uri personale si alte bariere de acest gen. Descarcarea de cod ar functiona chiar si daca viermele este detectat sau sters. Pentru a elimina in mod corect o astfel de amenintare, ar trebui sa existe un instrument care sterge configuratiile in feed-clientul respectiv.

ALTE "CAI". Unii cercetatori cred ca autorii botilor (programe care opereaza ca agenti pentru un utilizator sau pentru un alt program) vor putea fi capabili sa creeze un modul care schimba codul de exploatare a vulnerabilitatii, ceea ce ar face ca acesta sa varieze de fiecare data, dar sa aiba acelasi rezultat. Avand in vedere ca majoritatea sistemelor IDS si de detectare a vulnerabilitatilor se bazeaza pe faptul ca programele periculoase utilizeaza de repetate ori exact acelasi exploit, daca amprenta codului exploit-ului se va schimba de fiecare data, viermele ar putea trece de scannere, cu rezultate devastatoare.

Desi aceasta este deocamdata doar teoretic posibil, in cazul in care un astfel de modul ar fi creat, atacatorii ar trebui sa inteleaga cum functioneaza codul de exploatare si cum poate fi modificat acesta.

CU OCHII PE IE 7

Potrivit specialistilor Trend Micro, "RSS Feed hijacking" nu este deocamdata foarte periculos pentru ca nu exista un standard cunoscut de atac, aceasta metoda trebuind sa aleaga un software specific ca vector. Totusi, din momentul in care va fi lansat noul Internet Explorer 7, pericolul unui astfel de atac va creste, deoarece Microsoft a anuntat deja ca noua versiune a browser-ului sau va avea inclus suport pentru RSS. Acest lucru este benefic pentru comunitatea web, dar poate deschide unele oportunitati interesante creatorilor de viermi. Pentru a contracara acest tip de atac, companiile trebuie sa implementeze, daca n-au facut-o deja, o metoda de scanare a traficului HTTP, mai ales avand in vedere ca acest tip de atac va fi probabil cel mai popular vector in raspandirea programelor periculoase in viitor.