Záhadný bezpečnostní problém, Ignorovaný Bad Guys

Frank Boldewin viděl spoustu škodlivého softwaru ve své době, ale nikdy nic jako Rustock C.

Používá se k infikování počítačů Windows a jejich přeměně na nevědomé nevyžádané servery, Rustock.C je rootkit který se sám nainstaluje do operačního systému Windows a poté používá řadu sofistikovaných technik, díky nimž je téměř nemožné detekovat nebo dokonce analyzovat.

Když se poprvé začal zabývat kódem v tomto roce,. Tam bylo šifrování úrovně řidiče, který musel být dešifrován, a to bylo psáno v assembleru, používat "spaghetti strukturu kódu", který dělal to extrémně těžké pro Boldewin zjistit, co software skutečně dělá.

[Další čtení: Jak odstranit malware z počítače se systémem Windows]

Analýza rootkitu je typicky večerní práce pro někoho s technickými dovednostmi společnosti Boldewin. S Rustockem C, nicméně trvalo několik dní, než se zjistilo, jak software funguje.

Protože je tak těžké zjistit, Boldewin, bezpečnostní badatel s německým poskytovatelem IT služeb GAD, věří, že Rustock.C téměř rok předtím, než začaly detekovat antivirové produkty.

Toto je příběh s rootkity. Jsou záludní. Ale jsou to hlavní hrozba?

V pozdní 2005 Mark Russinovich objevil nejslavnější rootkit. Expert na zabezpečení oken, Russinovich byl jeden den zmatený, když objevil na svém PC rootkit. Po nějakém sleuthingu nakonec zjistil, že software na ochranu proti kopírování, který používá společnost Sony BMG Music Entertainment, skutečně používal techniky rootkitu, aby se skryl v počítačích. Software společnosti Sony nebyl navržen tak, aby činil něco škodlivého, ale byl prakticky nedetekovatelný a velmi obtížně odstranitelný.

Rootkit společnosti Sony se stal pro společnost velkou PR katastrofou, která strávila milióny v právním uspořádání s uživateli, kteří byli postiženi tímto softwarem. O tři roky později se Russinovič, technický pracovník společnosti Microsoft, stále domnívá, že je to rootkit, který způsobil největší potíže pro uživatele počítačů.

Ale rootkit Sony předvídal problémy s dodavateli antivirových programů. Skutečnost, že ani jeden z nich ani neviděl tento software už asi rok, byl pro bezpečnostní odvětví vážným problémem.

Ačkoli oni začali na strojích Unix let dříve, v době fiasku Sony, byly považovány rootkity další velkou hrozbu pro dodavatele antivirových programů. Vědci v oblasti bezpečnosti prozkoumali využívání virtualizačních technologií ke skrytí rootkitů a diskutovali o tom, zda by někdy mohl vzniknout zcela nedetekovatelný rootkit.

Ale Russinovich nyní říká, že rootkity selhaly v jejich humbukování. "Neexistují tak převládající, jak by se dalo očekávat všichni," řekl v rozhovoru. "Malware dnes funguje velmi odlišně od toho, co se děje," řekl. "Pak … malware by házel vyskakovací okny po celé ploše a převzal váš prohlížeč. Dnes se setkáme s úplně jiným typem malwaru."

Dnešní malware běží tiše na pozadí, spamuje nebo hostuje své ošklivé webové stránky bez oběť si všimla, co se děje. Je ironií, že i když jsou postaveny tak, aby se vyhnuli detekci, nejsložitější rootkity na úrovni jádra jsou často tak neuvěřitelně rušivé, že upoutávají pozornost na sebe, tvrdí bezpečnostní experti.

"Je extrémně obtížné napsat kód pro vaše jádro, "řekl Alfred Huger, viceprezident společnosti Symantec Security Response. "Váš software může udělat krok na někoho jiný docela snadno."

Huger souhlasí, že zatímco rootkity jsou stále problém pro uživatele Unixu, nejsou rozšířené na počítačích se systémem Windows.

Rootkity tvoří mnohem méně než 1% všech pokusy o infekce, které Symantec zaznamenává v těchto dnech. Co se týče Rustock.C, navzdory všem jeho technickému sofistikovanosti, Symantec ji zaznamenal asi 300 krát v divočině

"Na celém spektru škodlivého softwaru je to velmi malý kus a dnes je to omezené riziko," uvedl Huger.

Ne všichni souhlasí se zjištěními společnosti Symantec. Thierry Zoller, ředitel bezpečnosti produktů s n.runs, říká, že Rustock.C byl široce distribuován prostřednictvím proslulé ruské obchodní sítě a že infekce jsou s největší pravděpodobností v desítkách tisíc.

"Rootkity byly používány k udržení přístupu k jakmile to bude možné, a nikdy neměli cíl šířit se široce, "řekl v rozhovoru proběhl pomocí okamžité zprávy.

Nakonec se zločinci mohou vyhnout rootkitům z velmi jednoduchého důvodu: prostě nemají potřebují je.

Místo toho, aby používali zákeřné techniky rootkitu, hackeři místo toho vyvinuli nové techniky, díky nimž mohou antiviroví dodavatelé tvrdit rozdíl mezi jejich softwarem a legitimními programy. Například dělají tisíce různých verzí jednoho škodlivého programu, které se pokoušejí pokaždé manipulovat s kódem, takže se antivirové produkty potíže dočkaly.

Například v druhé polovině roku 2007 Symantec sledoval téměř půl milionu nové typy škodlivého kódu, což je o 136 procent více než v první polovině roku. Bezpečnostní experti tvrdí, že tato situace je ještě horší v roce 2008.

"Věci, které narazíme, nejsou tak komplikované," řekl Greg Hoglund, generální ředitel společnosti HBGary, která prodává software, který pomáhá zákazníkům reagovat na počítačové útoky. "Většina škodlivého softwaru, který je tam dnes … se ani nesnaží skrývat."

Například jeden z klientů HB Gary byl nedávno zasažen cílovým útokem. Zločinci věděli přesně, co chtějí, a poté, co se rozběhli do sítě, předali informace předtím, než se tam dostal tým reakce na incidenty společnosti, řekl Hoglund. "Bylo velice jasné, že útočníci věděli, že s údaji tak rychle utečou, že se ani nemuseli skrývat."