Masalah Keamanan yang Sneaky, Diabaikan oleh Guys Bad

Frank Boldewin telah melihat banyak perisian jahat pada waktunya, tetapi tidak pernah ada apa-apa seperti Rustock.C.

Digunakan untuk menjangkiti Windows PC dan mengubahnya menjadi pelayan spam yang tidak disengajakan, Rustock.C adalah rootkit yang memasang dirinya pada sistem pengendalian Windows dan kemudian menggunakan pelbagai teknik canggih yang menjadikannya hampir mustahil untuk mengesan atau menganalisis.

Ketika ia mula-mula melihat kode itu pada awal tahun ini, itu akan menyebabkan komputernya crash. Terdapat penyulitan tahap pemandu, yang perlu disahsulit, dan ditulis dalam bahasa perhimpunan, menggunakan "struktur kod spaghetti" yang membuatnya sangat sukar untuk Boldewin untuk mengetahui apa yang sebenarnya dilakukan perisian itu.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows Anda]

Menganalisis rootkit biasanya kerja malam untuk seseorang yang mempunyai kemahiran teknikal Boldewin. Tetapi dengan Rustock.C, ia mengambil masa beberapa hari untuk memikirkan bagaimana perisian itu berfungsi.

Oleh kerana begitu sukar untuk ditemui, Boldewin, penyelidik keselamatan dengan penyedia perkhidmatan IT Jerman, GAD, percaya bahawa Rustock.C telah berada di sekitar selama hampir setahun sebelum produk antivirus mula mengesannya.

Ini adalah cerita dengan rootkit. Mereka licik. Tetapi apakah mereka ancaman utama?

Pada akhir 2005, Mark Russinovich menemui rootkit yang paling terkenal. Seorang pakar keselamatan tingkap, Russinovich terkesima suatu hari ketika dia menemui rootkit di PCnya. Selepas berlengah-lengah, akhirnya dia mendapati bahawa perisian perlindungan salinan yang digunakan oleh Sony BMG Music Entertainment sebenarnya menggunakan teknik rootkit untuk menyembunyikan dirinya pada komputer. Perisian Sony tidak dirancang untuk berbuat sesuatu yang berniat jahat, tetapi ia tidak dapat dikesan dan sangat sukar untuk dialihkan.

Rootkit Sony menjadi bencana PR utama bagi syarikat itu, yang menghabiskan berjuta-juta dalam penyelesaian hukum dengan pengguna yang terpengaruh oleh perangkat lunak.

Tiga tahun kemudian, Russinovich, seorang rakan teknis dengan Microsoft, masih menganggapnya sebagai rootkit yang menyebabkan masalah yang paling banyak untuk pengguna komputer.

Tetapi masalah rootkit Sony juga memperlihatkan masalah untuk vendor antivirus. Hakikat bahawa tidak ada seorang pun yang menyedari perisian ini selama setahun adalah mata hitam yang serius bagi industri keselamatan.

Walaupun mereka memulakan permulaan pada mesin Unix tahun lalu, pada masa kegagalan Sony, rootkit telah dipertimbangkan ancaman besar seterusnya untuk vendor antivirus. Penyelidik keselamatan menerokai penggunaan teknologi virtualisasi untuk menyembunyikan rootkit dan membahaskan sama ada rootkit sepenuhnya tidak dapat dikesan suatu hari nanti.

Tetapi Russinovich kini mengatakan bahawa rootkit telah gagal untuk hidup sehingga gembar-gembur mereka. "Mereka tidak lazim kerana semua orang mengharapkan mereka," katanya dalam temu bual.

"Malware hari ini beroperasi dengan sangat berbeza dari ketika penggambaran rootkit sedang berlaku," katanya. "Kemudian … malware akan membuang popup di seluruh desktop anda dan mengambil alih pelayar anda. Hari ini kita melihat jenis malware yang sama sekali berbeza."

Malware hari ini berjalan secara senyap-senyap di latar belakang, spamming atau hosting laman web jahatnya tanpa mangsa pernah melihat apa yang berlaku. Ironinya, walaupun mereka dibina untuk mengelakkan pengesanan, rootkit peringkat kernel yang paling canggih sering sangat mengganggu supaya mereka menarik perhatian kepada diri mereka, kata pakar keselamatan.

"Sangat sukar untuk menulis kod untuk kernel anda yang tidak nahas komputer anda, "kata Alfred Huger, naib presiden pasukan Respon Keselamatan Symantec. "Perisian anda dapat mengatasi orang lain dengan mudah."

Huger setuju bahawa walaupun rootkit masih menjadi masalah bagi pengguna Unix, mereka tidak meluas pada PC Windows.

Rootkit membuat jauh kurang dari 1 peratus dari semua jangkitan percubaan yang Symantec menjejaki hari ini. Bagi Rustock.C, walaupun semua kecanggihan teknikalnya, Symantec hanya melihatnya di alam liar kira-kira 300 kali.

"Pada keseluruhan spektrum malware, ia adalah sekeping yang sangat kecil dan ia mempunyai risiko yang terhad pada hari ini," kata Huger.

Namun, tidak semua orang bersetuju dengan penemuan Symantec. Thierry Zoller, pengarah keselamatan produk dengan n.runs, mengatakan bahawa Rustock.C telah diedarkan secara meluas melalui Rangkaian Perniagaan Rusia yang terkenal dan jangkitan itu kemungkinan besar pada puluhan ribu.

"Rootkit digunakan untuk memegang akses kepada sasaran yang telah dikompromikan selagi mungkin dan tidak pernah menjadi matlamat untuk tersebar secara meluas, "katanya dalam wawancara yang dilakukan melalui mesej segera.

Pada akhirnya, penjenayah mungkin mengelakkan rootkit untuk alasan yang sangat mudah: Mereka hanya tidak memerlukannya.

Alih-alih menggunakan teknik rootkit yang licik, peretas sebaliknya telah membangunkan teknik baru untuk menjadikannya sukar bagi vendor antivirus untuk memberitahu perbezaan antara perisian mereka dan program yang sah. Sebagai contoh, mereka membuat beribu-ribu versi yang berlainan dalam satu program yang berniat jahat, menggemparkan kod setiap kali supaya produk antivirus mempunyai masa yang sukar.

Pada separuh kedua tahun 2007, sebagai contoh, Symantec mengesan hampir setengah juta kod baru yang berniat jahat, naik 136 peratus dari separuh pertama tahun ini. Pakar keselamatan mengatakan bahawa keadaan ini lebih buruk lagi pada tahun 2008.

"Barang-barang yang kami jalankan tidak begitu rumit," kata Greg Hoglund, Ketua Pegawai Eksekutif HBGary, sebuah syarikat yang menjual perisian untuk membantu pelanggan bertindak balas terhadap pencerobohan komputer. "Kebanyakan malware yang keluar dari sana pada masa ini … tidak cuba menyembunyikannya."

Sebagai contoh, salah seorang pelanggan HB Gary baru-baru ini terkena serangan yang disasarkan. Orang jahat mengetahui dengan tepat apa yang mereka mahu dan, selepas melanggar rangkaian, mengalihkan maklumat sebelum pasukan tindak balas insiden syarikat itu dapat sampai ke sana, kata Hoglund. "Sangat jelas bahawa penyerang tahu bahawa mereka akan melepaskan data dengan begitu pantas sehingga mereka tidak perlu bersembunyi."