17 januari 2008

Duizenden kleine webwinkels zijn onbewust uitgerust met kwaadwillende code die PC's van de gebruikers van de webwinkel besmetten. Beveiligingsexperts zeggen dat de zeer goed verborgen aanval op een veel grotere schaal succes heeft gehad dan andere, gelijksoortige aanvallen. Als de malware eenmaal op een Windows-PC is geinstalleerd, wordt de code geactiveerd en steelt het wachtwoorden, browsergegevens en login-gegevens voor internetbankieren en online games. Het blijft uiterst moeilijk om tegen deze aanval te beveiligen. Beveiligingsonderzoekers van ScanSafe, Finjan en Secure Works ontdekten onafhankelijk van elkaar de 'vergiftigde websites'. Schattingen over het aantal sites dat met de malware is besmet varieren. ScanSafe stelde dat het zeker wist dat 230 sites waren besmet, maar Secure Works en Finjan geloven dat het er in totaal misschien wel 10.000 zijn. Yuval Ben-Itzhak, Chief Technology Officer van Finjan, zei dat zijn bedrijf de aanval vanaf begin december af had gevolgd toen het een toename constateerde in het aantal aanvallen dat 'vergiftigde' websites gebruikte. 'It's safe to say that there are thousands of these out there', zo zei hij. 'It is hard to get an accurate picture of just how many have been hit because security firms have limited resources to scan all potential targets'.

Op de ScanSafe blog stelde Mary Landesman dat 'many of the poisoned sites are small mom and pop web shops rather than large web retailers. Despite this', zo vervolgde ze, 'many have large numbers of visitors because they do well in web searches for particular products and services'. Sites die door de aanval aangetast raakten behoorden toe aan kranten, handelsbedrijven, advertentieverkopers, makelaars, slagers, hotelsites en autodealers. Hoewel alle 'vergiftigde' sites dezelfde server- en beheerssoftware gebruiken hebben de onderzoekers problemen met het achterhalen van de wijzen waarop de sites zijn besmet. 'We know some of the methods', zegt Ben-Itzhak. 'They are trying to exploit known vulnerabilities in open source content management software that the sites are using'. Het ontdekken van de malware-code op de sites was zeer ingewikkeld, zo gaf Itzhak toe, 'because every time a new user visited the code, he got a new, random five character name. If a visitor returned the malicious code identified them and did not launch a second attack'. Simon Heron, directeur van beveiligingsbedrijf Network Box, zei: 'It looks like the rootkit type technique that we have been worried about for the last two or three years. It's very clever'. Een rootkit verbergt zichzelf diep in het besturingssysteem om detectie te voorkomen. Heron vervolgde met de opmerking dat de code 'injected on the websites scanned the machine of any visiting Windows user to see if any one of 13 separate vulnerabilities were present'. Het kijkt naar kwetsbaarheden in browsers, instant messagingprogramma's, document viewers en mediaspelers. 'The code installs a small trojan through any one of these loopholes then lies dormant until a user types in data that it is interested in – such as login names for online banks or games such as World of Warcraft'. Het trojaanse paard wordt niet herkend door de meeste anti-virusprogramma's. Philippe Courtot, oprichter en directeur van het beveiligingsbedrijf Qualys, zei dat 'small web shops and companies were increasingly becoming a target for criminally-minded hackers. Small businesses do not have the money to protect themselves', zo zei hij. 'Hosting firms who own and run the servers on which these firms place their websites, view security as something extra they had to do rather than build it in. Hosting companies, for them today, adding security is a cost', zo legt hij uit. Het is dus een moeilijk geval….