O problemă de securitate mascată, ignorată de băieții răi

Frank Boldewin a văzut o mulțime de programe rău intenționate în timpul său, dar niciodată ceva asemănător cu Rustock C.

Folosit pentru a infecta PC-urile Windows și a le transforma în servere spam nedorite, Rustock.C este un rootkit care se instalează pe sistemul de operare Windows și apoi folosește o varietate de tehnici sofisticate care fac aproape imposibil să detecteze sau chiar să analizeze.

Când a început să privească codul la începutul acestui an, ar cauza pur și simplu computerul său să se prăbușească. A existat o criptare la nivel de șofer, care trebuia să fie decriptată și a fost scrisă în limbajul de asamblare, folosind "structura de cod spaghete", care a făcut extrem de greu pentru Boldewin să afle ce făcea software-ul. Cum să eliminați programele malware de pe computerul dvs. Windows

Analizând un rootkit este de obicei o operă de seară pentru cineva cu abilități tehnice de la Boldewin. Cu Rustock.C, totuși, a fost nevoie de zile pentru a afla cum a funcționat software-ul.

Pentru că este atât de greu de observat, Boldewin, cercetător în domeniul securității cu furnizorul german de servicii IT GAD, crede că Rustock.C timp de aproape un an înainte ca produsele antivirus să o detecteze.

Aceasta este povestea cu rootkit-urile. Sunt ascunși. Dar sunt o amenințare majoră?

La sfârșitul anului 2005, Mark Russinovich a descoperit cel mai renumit rootkit. Un expert în securitatea ferestrelor, Russinovich a fost încurcat într-o zi când a descoperit un rootkit pe PC-ul său. După ce a murit, în cele din urmă a descoperit că software-ul de protecție împotriva copierii folosit de Sony BMG Music Entertainment a folosit efectiv tehnici de rootkit pentru a se ascunde pe calculatoare. Software-ul Sony nu a fost conceput pentru a face nimic rău intenționat, dar a fost practic nedetectabil și extrem de dificil de înlăturat.

Rădăcina Sony a devenit un dezastru PR important pentru compania care a cheltuit milioane în așezări legale cu utilizatorii afectați de software.

Trei ani mai tarziu, Russinovich, un tehnician cu Microsoft, considera totusi rootkit-ul care a cauzat cele mai multe probleme utilizatorilor de calculatoare.

Totusi, problemele cu rootkit ale Sony au avut probleme si pentru furnizorii de antivirus. Faptul că niciunul dintre ei nu a observat nici măcar acest software timp de un an a fost un ochi negru serios pentru industria de securitate.

Deși au început să funcționeze pe mașinile Unix cu ani mai devreme, la momentul fiasco-ului Sony, au fost considerate rootkit-uri următoarea amenințare majoră pentru furnizorii de antivirus. Cercetătorii în domeniul securității au explorat utilizarea tehnologiei de virtualizare pentru a ascunde rootkit-urile și au dezbătut dacă un rootkit complet nedetectabil ar putea fi creat într-o zi. Dar Russinovich spune acum că rootkit-urile nu au reușit să-și facă viața. "Nu sunt la fel de răspândite cum se așteptau toți", a spus el într-un interviu.

"Malware astăzi funcționează foarte diferit de momentul în care se petrecea nebunia rădăcină", ​​a spus el. "Apoi … malware-ul va arunca ferestre pop-up pe desktop-ul dvs. și va prelua browser-ul dvs. Astăzi vedem un tip complet diferit de malware."

Malware-ul de astăzi rulează liniștit în fundal, victima observând vreodată ce se întâmplă. În mod ironic, deși sunt construite pentru a evita detectarea, cele mai sofisticate rootkit-uri de nivel kernel sunt adesea atât de incredibil de invazive încât le atrage atenția asupra lor, spun experții în securitate.

"Este extrem de dificil să scrieți codul pentru kernelul care nu accidentați computerul ", a declarat Alfred Huger, vicepreședinte al echipei Symantec Security Response. "Software-ul dvs. poate pasi pe altcineva destul de ușor".

Huger este de acord că în timp ce rootkit-urile sunt încă o problemă pentru utilizatorii Unix, nu sunt răspândite pe PC-urile Windows.

Rootkits reprezintă mai puțin de 1% infecțiile pe care Symantec le-a încercat în aceste zile. În ceea ce privește Rustock.C, în ciuda complexității sale tehnice, Symantec a văzut-o în sălbăticie de aproximativ 300 de ori.

"Pe întregul spectru malware, este o piesă foarte mică și este de risc limitat astăzi", a spus Huger.

Cu toate acestea, nu toți sunt de acord cu constatările Symantec. Thierry Zoller, director de securitate a produselor cu n.runs, spune că Rustock.C a fost distribuit pe scară largă prin renumita rețea de afaceri rusească și că infecțiile sunt cel mai probabil în zeci de mii.

"Rootkits au fost folosite pentru a avea acces la un a compromis țintă cât mai mult posibil și nu a avut niciodată obiectivul de a fi răspândit pe scară largă ", a spus el într-un interviu realizat prin mesaj instant.

În cele din urmă, criminali pot evita rootkit-urile pentru un motiv foarte simplu: nevoie de ele.

În loc să utilizeze tehnici de rootkit mascate, hackerii au dezvoltat tehnici noi pentru a face greu vânzătorilor de antivirus să spună diferența dintre software-ul lor și programele legitime. De exemplu, ei fac mii de versiuni diferite ale unui program rău intenționat, jumbling codul de fiecare dată, astfel încât produsele antivirus au un timp greu de observat.

În a doua jumătate a anului 2007, de exemplu, Symantec a urmărit aproape o jumătate de milion noi tipuri de cod rău intenționat, în creștere cu 136% față de prima jumătate a anului. Experții în domeniul securității spun că această situație este și mai gravă în 2008.

"Lucrurile pe care le depășim nu sunt atât de complicate", a declarat Greg Hoglund, CEO al HBGary, o companie care vinde software pentru a ajuta clienții să răspundă la intruziunile computerului. "Cea mai mare parte a malware-ului care se află în zilele noastre … nici măcar nu încearcă să se ascundă." De exemplu, unul dintre clienții HB Gary a fost recent lovit de un atac țintit. Băieții răi știau exact ce vroiau și, după ce au intrat în rețea, au scuturat informațiile, înainte ca echipa de răspuns a incidentelor companiei să ajungă chiar acolo, a spus Hoglund. "A fost foarte clar că atacatorii știau că vor scăpa cu datele atât de repede încât nici măcar nu au trebuit să se ascundă."