Isang Sneaky Security Problem, Binalewala ng Bad Guys

Frank Boldewin ay nakakita ng maraming malisyosong software sa kanyang panahon, ngunit hindi kailanman anumang bagay tulad ng Rustock.C.

Ginagamit upang makahawa Windows PCs at i-on ang mga ito sa mga hindi kinakailangang spam server, Rustock.C ay isang rootkit na nag-i-install mismo sa operating system ng Windows at pagkatapos ay gumagamit ng iba't ibang sopistikadong mga diskarte na ginagawang halos imposible na tuklasin o kahit na pag-aralan.

Kapag siya ay unang nagsimula na tumitingin sa code nang mas maaga sa taong ito,. Mayroong antas ng pag-encrypt ng driver, na dapat na decrypted, at ito ay nakasulat sa wika ng pagpupulong, gamit ang "spaghetti code structure" na naging napakahirap para sa Boldewin upang malaman kung ano talaga ang ginagawa ng software.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC.

Ang pag-aaral ng rootkit ay kadalasang gawain ng isang gabi para sa isang taong may mga kasanayan sa teknikal na Boldewin. Sa Rustock.C, gayunpaman, kinuha siya ng mga araw upang malaman kung paano ang software ay nagtrabaho.

Dahil napakahirap itong makita, si Boldewin, isang security researcher na may German IT service provider na GAD, ay naniniwala na ang Rustock.C ay nasa paligid para sa halos isang taon bago magsimula ang mga produkto ng antivirus sa pagtuklas nito.

Ito ang kuwento sa mga rootkit. Malaswa sila. Ngunit sila ba ay isang pangunahing banta?

Noong huling bahagi ng 2005, natuklasan ni Mark Russinovich ang pinakasikat na rootkit. Isang eksperto sa seguridad sa bintana, si Russinovich ay nalilito isang araw nang natuklasan niya ang isang rootkit sa kanyang PC. Matapos ang ilang mga sleuthing, sa huli siya natuklasan na kopya ng software na proteksyon na ginamit ng Sony BMG Music Entertainment talagang ginagamit rootkit diskarte upang itago ang sarili sa mga computer. Ang software ng Sony ay hindi idinisenyo upang gumawa ng anumang bagay na nakahahamak, ngunit ito ay halos hindi maitatala at napakahirap na alisin.

Ang rootkit ng Sony ay naging isang pangunahing kalamidad sa PR para sa kumpanya, na gumugol ng milyun-milyon sa mga legal na pakikipag-ayos sa mga gumagamit na apektado ng software.

Tatlong taon na ang lumipas, si Russinovich, isang teknikal na kapwa na may Microsoft, ay isinasaalang-alang pa rin ito ang rootkit na naging sanhi ng pinaka-problema para sa mga gumagamit ng computer.

Ngunit ang Sony rootkit ay naghahatid ng mga problema para sa mga vendor ng antivirus din. Ang katotohanan na wala sa kanila ang napansin ang software na ito sa loob ng isang taon ay isang malubhang itim na mata para sa industriya ng seguridad.

Kahit na nakuha nila ang kanilang pagsisimula sa Unix machine taon na ang nakakaraan, sa oras ng kabiguan ng Sony, ang mga rootkit ay itinuturing na ang susunod na malaking banta para sa mga antivirus vendor. Sinaliksik ng mga mananaliksik sa seguridad ang paggamit ng teknolohiya ng virtualization upang itago ang mga rootkit at pinagtatalunan kung ang isang ganap na undetectable rootkit ay maaaring malikha sa ibang araw.

Ngunit ngayon Russinovich nagsabi na ang mga rootkit ay nabigo upang mabuhay hanggang sa kanilang hype. "Ang mga ito ay hindi karaniwan habang inaasahan ng lahat ng mga ito," sabi niya sa isang pakikipanayam.

"Ang Malware ngayon ay kumikilos nang di naiiba mula nang maganap ang rootkit craze," sabi niya. "Pagkatapos … malware ay magtapon ng mga popup sa lahat ng iyong desktop at sakupin ang iyong browser. Ngayon ay nakakakita kami ng isang ganap na iba't ibang uri ng malware."

Malware ngayong araw ay tumatakbo nang tahimik sa background, spamming o nagho-host ng mga pangit na Web site na walang ang biktima ay nakakaalam ng kung ano ang nangyayari. Gayunpaman, kahit na sila ay binuo upang maiwasan ang pagtuklas, ang pinaka-sopistikadong mga rootkit na kernel-level ay kadalasang napakadaling mapanghimasok na nakuha nila ang pansin sa kanilang sarili, sinasabi ng mga eksperto sa seguridad.

"Mahirap na isulat ang code para sa iyong kernel na hindi pag-crash ng iyong computer, "sabi ni Alfred Huger, vice president ng Symantec's Security Response team. "Ang iyong software ay maaaring lumipat sa ibang tao medyo madali."

Huger sumang-ayon na habang rootkits ay pa rin ng isang problema para sa mga gumagamit ng Unix, hindi sila kalat na kalat sa Windows PCs

Rootkits gumawa ng mas mababa sa 1 porsiyento ng lahat ang tinangkang mga impeksiyon na sinusubaybayan ni Symantec sa mga araw na ito. Para sa Rustock.C, sa kabila ng lahat ng teknikal na pagiging sopistikado nito, nakita lamang ni Symantec sa ligaw ang tungkol sa 300 ulit.

"Sa buong spectrum ng malware, ito ay isang maliit na piraso at ito ay may limitadong panganib ngayon," sinabi ni Huger.

Gayunpaman, hindi lahat ay sumasang-ayon sa mga natuklasan ni Symantec. Sinabi ni Thierry Zoller, direktor ng seguridad ng produkto sa n.runs, na ang Rustock.C ay malawak na ipinamamahagi sa pamamagitan ng kilalang Russian Business Network at ang mga impeksiyon ay malamang sa sampu-sampung libo.

"Ang mga Rootkit ay ginagamit upang magkaroon ng access sa isang nakompromiso ang target hangga't maaari at hindi kailanman nagkaroon ng layuning kumalat nang malawakan, "sinabi niya sa isang pakikipanayam na isinasagawa sa pamamagitan ng instant message.

Sa katapusan, ang mga kriminal ay maaaring iwasan ang mga rootkit para sa isang simpleng dahilan: Hindi lang nila kailangan nila.

Sa halip na gumamit ng mga diskarteng rootkit na pamamaraan, ang mga hacker ay nakalikha sa halip ng mga bagong diskarte sa paggawa ng mahirap para sa mga antivirus vendor upang sabihin ang pagkakaiba sa pagitan ng kanilang software at mga lehitimong programa. Halimbawa, gumawa sila ng libu-libong iba't ibang mga bersyon ng isang malisyosong programa, nakakakalat ang code sa bawat oras upang ang mga produkto ng antivirus ay may mahirap na pagtukoy nito.

Sa ikalawang kalahati ng 2007, halimbawa, sinusubaybayan ng Symantec ang halos kalahating milyong bagong uri ng malisyosong code, hanggang 136 porsiyento mula sa unang kalahati ng taon. Sinabi ng mga eksperto sa seguridad na ang sitwasyong ito ay mas masahol pa noong 2008. "Ang mga bagay na pinapatakbo namin sa kabuuan ay hindi na kumplikado," sabi ni Greg Hoglund, CEO ng HBGary, isang kumpanya na nagbebenta ng software upang matulungan ang mga customer na tumugon sa mga intrusyong computer. "Karamihan sa mga malware na wala sa ngayon … ay hindi nagtatangkang itago."

Halimbawa, ang isa sa mga customer ng HB Gary ay kamakailang na-hit ng isang naka-target na atake. Alam ng mga masasamang tao kung ano talaga ang gusto nila at, pagkatapos na masira ang network, pinalitan ang impormasyon bago ang koponan ng tugon ng insidente ng kumpanya ay maaaring makarating doon, sinabi ni Hoglund. "Napakalinaw na alam ng mga pag-atake na mabilis silang lumayo sa datos na hindi nila kailangang itago."