Hyökkäävä tietoturvaongelma, Bad Guys -tyyppinen

Frank Boldewin oli nähnyt paljon haittaohjelmia aikanaan, mutta ei koskaan mitään kuin Rustock.C.

Käytetään tartuttamaan Windows-tietokoneita ja kääntämään ne tahattomiksi roskapostipalvelimiksi, Rustock.C on rootkit joka asentaa itsensä Windows-käyttöjärjestelmään ja käyttää sitten erilaisia ​​hienostuneita tekniikoita, joiden avulla on lähes mahdotonta havaita tai jopa analysoida.

Kun hän alkoi ensin tarkastella koodia aiemmin tänä vuonna, se vain aiheuttaisi tietokoneen kaatumisen. Oli kuljettajan tason salaus, joka oli pakko purkaa ja se kirjoitettiin kokoonpanokielellä käyttäen "spagettien koodirakennetta", mikä teki Boldewinille erittäin vaikeaksi selvittää, mitä ohjelmisto todella teki.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Rootkit-analyysin analysointi on tyypillisesti iltatyöntekijä Boldewinin tekniselle taitolle. Rustock.C: llä se kuitenkin kesti päiviä selvittääkseen, miten ohjelmisto toimi.

Koska se on niin vaikea havaita, Boldewin, tietoturva-tutkija Saksan IT-palveluntarjoajan GAD kanssa, uskoo, että Rustock.C oli ollut lähes vuosi ennen kuin virustentorjuntatuotteet alkoivat havaita sen.

Tämä on rootkit-tarina. He ovat salamyhkäisiä. Mutta ne ovat suuri uhka?

Vuoden 2005 lopulla Mark Russinovich löysi tunnetuimman rootkitin. Windows Security Expert, Russinovich oli hämmentynyt eräänä päivänä, kun hän löysi rootkit hänen PC. Jonkin ajan kuluttua hän lopulta huomasi, että Sony BMG Music Entertainmentin käyttämät kopiosuojausohjelmat todella käyttävät rootkit-tekniikoita piiloutumaan tietokoneisiin. Sonyn ohjelmistoa ei ole suunniteltu tekemään mitään haitallista, mutta se oli käytännössä havaittavissa ja erittäin vaikea poistaa.

Sonyn rootkitista tuli merkittävä PR-katastrofi yritykselle, joka vietti miljoonia oikeudellisiin ratkaisuihin käyttäjien kanssa,.

Kolme vuotta myöhemmin, Microsoftin tekninen henkilö Russinovichin mielestä se on edelleen rootkit, joka aiheutti eniten ongelmia tietokoneen käyttäjille.

Mutta Sony-rootkit esitteli ongelmia myös virustorjunta-alan myyjille. Se, että kukaan heistä ei ollut edes huomannut tätä ohjelmistoa noin vuoden ajan, oli vakava musta silmä turvallisuusalalle.

Vaikka he saivat alkunsa Unix-koneilla vuotta aiemmin, Sonyn fiascon aikana rootkitit katsottiin seuraava suuri uhka virustorjunta-alan myyjille. Turvallisuustutkijat tutkivat virtualisointitekniikan käyttöä piilottaakseen rootkit-sovelluksia ja keskustelivat siitä, olisiko jonain päivänä luotu kokonaan havaitsematon rootkit.

Mutta Russinovich sanoo nyt, että rootkitit eivät ole onnistuneet hypeinsä. "Ne eivät ole niin yleisiä kuin kaikki odottivat, että he ovat", hän sanoi haastattelussa.

"Malware toimii nykyään hyvin erilaisella tavalla kuin rootkit-villitys", hän sanoi. "Sitten … haittaohjelmat heittävät ponnahdusikkunoita koko työpöydällesi ja ottavat selaimen käyttöön. Tänään näemme täysin erilaisen haittaohjelmatyypin."

Päivän haittaohjelmat toimivat taustalla hiljaa, roskasivat tai ylläpivät sen outoja verkkosivustoja ilman, että uhri koskaan huomannut, mitä tapahtuu. Ironista kyllä, vaikka ne on rakennettu välttääkseen havaitsemisen, hienostuneimmat ytimen tasolla olevat rootkitit ovat usein niin uskomattoman intuitiivisia, että he kiinnittävät huomion itselleen, tietoturva-asiantuntijat sanovat.

"On erittäin vaikeaa kirjoittaa koodia ytimelle, joka ei tietokoneesi kaatuminen ", sanoi Symantecin turvallisuusjoukon johtaja Alfred Huger. "Ohjelmistosi voi siirtyä jonkun muun helposti."

Huger on samaa mieltä siitä, että vaikka rootkitit ovat edelleen ongelma Unix-käyttäjille, ne eivät ole yleisiä Windows-tietokoneissa.

Rootkits muodostaa paljon alle 1 prosentti kaikista Symantecin yrittäneet infektiot näinä päivinä. Kuten Rustock.C, huolimatta kaikesta teknisestä hienostuneisuudestaan, Symantec on havainnut sen villinä noin 300 kertaa.

"Kaiken kaikkiaan haittaohjelmien spektri on hyvin pieni, ja se on nykyään rajallinen riski", Huger sanoi.

Kaikki eivät kuitenkaan ole yhtä mieltä Symantecin tuloksista. Therry Zoller, tuoteturvallisuuden johtaja n.runs sanoo, että Rustock.C oli laajalti levinnyt tunnetulla venäläisverkoston kautta ja että infektiot ovat todennäköisesti kymmeniä tuhansia.

"Rootkitsillä käytettiin pääsyä haavoittunut kohde niin kauan kuin mahdollista eikä koskaan ollut tavoitetta laajalle levinneelle ", hän sanoi pikaviestikeskustelun aikana.

Lopulta rikolliset voivat välttyä rootkit-alueelta hyvin yksinkertaisesta syystä: he vain eivät tarvitsevat niitä.

Käyttämättä salaisia ​​rootkit-tekniikoita, hakkerit kehittävät sen sijaan uusia tekniikoita, joiden ansiosta virustentorjunta-alan toimittajien on vaikea kertoa ohjelmistonsa ja laillisten ohjelmien välisestä erosta. Esimerkiksi he tekevät tuhansia eri versioita yhden haittaohjelmasta, joka sekoittaa koodin joka kerta, jotta virustentorjuntatuotteilla on vaikea havaita sitä.

Vuoden 2007 jälkipuoliskolla Symantec seurasi lähes puolen miljoonan uusia haittaohjelmia, jopa 136 prosenttia vuoden alkupuoliskolta. Turvallisuusasiantuntijat sanovat, että tämä tilanne on vieläkin huonompi vuonna 2008.

"Tavoitteemme, joita törmäämme, eivät ole niin monimutkaisia", sanoo HBGaryn toimitusjohtaja Greg Hoglund, joka myy ohjelmistoja, jotka auttavat asiakkaita reagoimaan tietokoneen haittoihin. "Suurin osa haittaohjelmista, jotka ovat siellä nykyään … eivät edes yrittäneet piiloutua."

Esimerkiksi HB Garyn asiakkaista hiljattain kohdistui kohdennettu hyökkäys. Huonoja tyttöjä tiesi tarkalleen, mitä he halusivat ja rikkoontuessaan verkkoon pyyhkäisi tiedot ennen kuin yhtiön onnettomuusjoukot voisivat jopa päästä sinne, Hoglund sanoi. "Oli hyvin selvää, että hyökkääjät tiesivät, että he saivat tiedon pois niin nopeasti, ettei heidän tarvitse peittää."