W ciągu ostatnich kilku lat firmy z branży bezpieczeństwa internetowego zaobserwowały znaczny wzrost liczby ataków internetowych zarówno na użytkowników korporacyjnych, jak i domowych. Kaspersky Lab opracowała specjalny raport: Ataki internetowe 2005.Od lipca 2001 roku, za pomocą specjalnej technologii Smallpot, witryna zdołał zebrać dane o milionach sond i ataków internetowych. Na podstawie tych informacji powstały dokładne statystyki na temat występowania w Internecie różnych rodzajów złośliwego oprogramowania oraz ataków hakerów. Co więcej, umożliwiły one firmie Kaspersky Lab stworzenie rozwiązań charakteryzujących się najwyższymi współczynnikami wykrywalności oraz najszybszą reakcją na nowe, nieznane zagrożenia.
Źródłem większości danych statystycznych dostępnych w Internecie są raporty programów typu firewall zawierające numery zablokowanych portów TCP/IP. Raporty te dają dość dobre wyobrażenie na temat możliwej liczby komputerów, które zostały zainfekowane określonym rodzajem złośliwego oprogramowania lub użyte przez hakerów do przeprowadzenia ataków internetowych.
Nie różnicują jednak exploitów, przy pomocy których hakerzy włamują się do systemów. Aby uzyskać tak dokładne dane, potrzebne jest specjalne oprogramowanie, które będzie gromadziło nie tylko numer portu, ale także dane przesyłane podczas ataku. Takie możliwości posiada technologia Smallpot.
Większość ataków na firmy poprzedza skanowanie portów przeprowadzane przez sondy, które zbierają informacje na temat różnych usług udostępnianych przez Internet z serwerów firmy. Sondy te same w sobie nie są inwazyjne, zwykle jednak poprzedzają precyzyjne ataki exploita, lub ich grup. Mogą one posłużyć do wczesnego rozpoznania ataku na określony serwer oraz dynamicznego zastosowania reguł, które zablokują próby uzyskania dostępu do systemu, jeszcze zanim haker będzie miał szansę wykorzystania przejętych informacji.
W niniejszym przyjrzymy się nie tylko bezpośrednim atakom internetowym, ale również różnym typom sond wykorzystywanym do zbierania informacji i poprzedzającym ataki. Tym samym ukażemy, w jaki sposób ewoluowały techniki i procedury hakerskie.
W statystyce zawsze należy uwzględnić błędy. Aby zminimalizować ich wpływ na ostateczne wyniki i przedstawić jak najbardziej realistyczny obraz zjawiska, sieć sensorów należy rozmieścić równomiernie w całej przestrzeni IP Internetu (oznacza to jak najwięcej węzłów w jak największej ilości państw). Sieć Smallpot obejmuje maszyny zlokalizowane na całym świecie, a wiele z węzłów znajduje się w Północnej Ameryce, Europie i Azji. Lata badań prowadzonych przez Kaspersky Lab wykazały, że właśnie te maszyny stają się pierwszym celem nowych ataków. Poza tym, węzły zlokalizowane w mniej zaludnionych przestrzeniach IP zapewniają uzyskanie informacji nie tylko o najbardziej rozpowszechnionych atakach, ale także exploitach, które występują lokalnie i są niebezpieczne tylko dla użytkowników danego obszaru.
