Sneaky sigurnosni problem, zanemaren od loše momci

Frank Boldewin je vidio mnogo zlonamjernog softvera u svoje vrijeme, ali nikad ništa poput Rustocka.

Koristi se za zarazu Windows računala i pretvoriti ih u neželjene spam poslužitelje, Rustock.C je rootkit koji se instalira na operacijski sustav Windows, a zatim koristi razne sofisticirane tehnike koje gotovo nemoguće otkriti ili čak analizirati.

Kad je prvi put počeo gledati kod početkom ove godine, to bi jednostavno uzrokovalo rušenje računala, Došlo je do enkripcije na razini vozača, koja je morala biti dešifrirana, a napisana je u sklopu jezika pomoću "strukture špageta kodova", što je Boldewinu učinilo iznimno teško shvatiti što softver zapravo radi.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Analiziranje rootkita obično je rad večeri za nekoga tko ima Boldewinove tehničke vještine. S Rustockom C, međutim, trebalo mu je dane da shvate kako je softver radio.

Budući da je tako teško uočiti, Boldewin, sigurnosni istraživač s njemačkim IT pružateljem usluga GAD, vjeruje da je Rustock.C bio oko za gotovo godinu dana prije nego što su antivirusni proizvodi počeli otkrivati.

Ovo je priča s rootkitima. Oni su sneaky. No, jesu li oni glavna prijetnja?

Krajem 2005. Mark Russinovich je otkrio najpoznatiji rootkit. Windows stručnjak za sigurnost, Russinovich je zbunjen jedan dan kada je otkrio rootkit na svom računalu. Nakon nekog vremena, otkrio je da softver za zaštitu od kopiranja koji koristi Sony BMG Music Entertainment zapravo koristi tehnike korijenja kako bi se sakrio na računalima. Sonyjev softver nije namijenjen da čini ništa zlonamjerno, ali je praktički bio nedetektabilan i izuzetno je teško ukloniti.

Korijen tvrtke Sony postao je glavna PR katastrofa za tvrtku koja je milijunima potrošila u pravnim naseljima s korisnicima na koje utječe softver

Tri godine kasnije, Russinovich, tehnički suradnik s Microsoftom, još uvijek smatra da je korijen koji je izazvao najveći problem za korisnike računala.

Ali rootkit tvrtke Sony preuzeo je probleme za dobavljače protuvirusnih usluga. Činjenica da ni jedan od njih nije ni primijetio ovaj softver za oko godinu dana bio je ozbiljan crno oko za sigurnosnu industriju.

Iako su počeli rasti na Unix strojevima nekoliko godina ranije, u vrijeme fantazije tvrtke Sony, sljedeća velika prijetnja za protuvirusne dobavljače. Sigurnosni istraživači istražili su korištenje virtualizacijske tehnologije kako bi sakrili rootkite i raspravljali o tome da li se neki dan nikada ne može otkriti.

Ali Russinovich sada kaže da rootkiti nisu uspjeli doživjeti svoj hiper. "Oni nisu tako rasprostranjeni koliko su svi očekivali od njih", izjavio je u intervjuu. "Malware danas djeluje vrlo različito od trenutka kada je korijen korijena", rekao je. "Zatim … zlonamjerni softver bi bacio skočne prozore po vašoj radnoj površini i preuzeo vaš preglednik. Danas vidimo potpuno drugačiju vrstu zlonamjernog softvera."

Današnji zlonamjerni softver radi tiho u pozadini, slanje neželjenih poruka ili hosting njegovih neugodnih web stranica bez žrtva ikada primjećuje što se događa. Ironično, iako su izgrađeni kako bi izbjegli detekciju, najsloženije rootkite na razini kernela često su tako nevjerojatno nametljive da privlače pažnju na sebe, tvrde stručnjaci za sigurnost.

"Izuzetno je teško napisati kod za kernel koji ne pada računalo ", rekao je Alfred Huger, potpredsjednik Symantecovog tima za sigurnost. "Vaš softver može koraknuti na nekom drugom prilično lako."

Huger se slaže da dok rootkiti i dalje predstavljaju problem Unix korisnicima, oni nisu rasprostranjeni na Windows računalima.

Rootkits čine puno manje od 1 posto svih pokušaja infekcija koje Symantec prati ovih dana. Kao i za Rustock.C, unatoč svim tehničkim sofisticiranosti, Symantec je samo uočio u divljini oko 300 puta.

"Na cjelokupnom malware spektru, to je vrlo mali komad i danas je ograničen rizik", rekao je Huger.

Međutim, svi se slažu s Symantecovim nalazima. Thierry Zoller, direktor za sigurnost proizvoda s n.runs, kaže da je Rustock.C široko rasprostranjen putem zloglasne ruske poslovne mreže i da su infekcije najvjerojatnije u nekoliko desetaka tisuća. "Rootkits su korišteni za održavanje pristupa ugrožena meta što je dulje moguće i nikada nije imao cilj da se širi široko ", rekao je u intervjuu putem instant poruke.

Na kraju kriminalci mogu izbjeći rootkite iz vrlo jednostavnog razloga: trebaju ih.

Umjesto da upotrebljavaju nepotrebne tehnike korijena, hakeri su umjesto toga razvili nove tehnike za otežavanje antivirusnih dobavljača da kažu razliku između njihovog softvera i legitimnih programa. Na primjer, izrađuju tisuće različitih inačica jednog zlonamjernog programa, svaki put kad se šifriraju, tako da antivirusni proizvodi teško mogu uočiti.

U drugoj polovici 2007., primjerice, Symantec je pratio gotovo pola milijuna nove vrste zlonamjernog koda, što je za 136 posto više od prve polovice godine. Sigurnosni stručnjaci kažu da je ova situacija još gore u 2008.

"Poteškoće koje se nalazimo nisu toliko složene", rekao je Greg Hoglund, predsjednik Uprave tvrtke HBGary, tvrtka koja prodaje softver kako bi korisnicima reagirao na upada računala. "Većina zlonamjernog softvera koji se danas nalazi … ne pokušava ni sakriti."

Na primjer, jedan od korisnika HB Garyja nedavno je pogođen ciljanim napadom. Loši dečki znali su upravo ono što su htjeli, a nakon što su ušli u mrežu, prekinuli su informacije prije no što se tim tvrtke za odgovore na incident mogao čak i vratiti, rekao je Hoglund. "Bilo je vrlo jasno da su napadači znali da će brže otići s podacima tako da se nisu ni morali sakriti."