ปัญหาด้านความปลอดภัยที่เกิดจากการแอบอ่อนใจ, ไม่สนใจคนเลว

Frank Boldewin เคยเห็นซอฟต์แวร์ที่เป็นอันตรายจำนวนมากในช่วงเวลาของเขา แต่ไม่เคยมีอะไรเหมือน Rustock.C

เคยชินกับการติดไวรัสพีซี Windows และเปลี่ยนให้เป็นเซิร์ฟเวอร์สแปมโดยไม่ได้ตั้งใจ Rustock.C เป็น rootkit ที่ติดตั้งตัวเองบนระบบปฏิบัติการวินโดวส์แล้วใช้ความหลากหลายของเทคนิคที่ซับซ้อนซึ่งทำให้แทบจะเป็นไปไม่ได้ในการตรวจจับหรือแม้แต่การวิเคราะห์

เมื่อเขาเริ่มมองหารหัสต้นปีนี้ก็ทำให้คอมพิวเตอร์ของเขาพัง. มีการเข้ารหัสระดับผู้ขับขี่ซึ่งจะต้องมีการถอดรหัสและเขียนเป็นภาษาแอสเซมบลีโดยใช้ "โครงสร้างรหัสสปาเก็ตตี้" ซึ่งทำให้ Boldewin ยากที่จะคิดออกว่าซอฟท์แวร์ทำอะไรอยู่จริง

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากพีซีที่ใช้ Windows ของคุณ]

การวิเคราะห์ rootkit โดยทั่วไปคืองานตอนเย็นสำหรับคนที่มีทักษะด้านเทคนิคของ Boldewin กับ Rustock.C อย่างไรก็ตามเขาต้องใช้เวลาหลายวันในการคำนวณว่าซอฟท์แวร์ทำงานได้อย่างไร

เพราะเป็นเรื่องที่ยากมากที่จะค้นพบ Boldewin นักวิจัยด้านความปลอดภัยจาก GAD ของเยอรมันผู้ให้บริการด้านไอทีเชื่อว่า Rustock.C เคยอยู่ใกล้ ๆ เป็นเวลาเกือบหนึ่งปีก่อนที่ผลิตภัณฑ์แอนตี้ไวรัสจะเริ่มตรวจพบ

นี่เป็นเรื่องราวที่มี rootkits พวกเขาส่อเสียด แต่เป็นภัยคุกคามที่สำคัญหรือไม่?

ปลายปีพศ. 2548 Mark Russinovich ค้นพบ rootkit ที่มีชื่อเสียงมากที่สุด ผู้เชี่ยวชาญด้านความปลอดภัยของ Windows, Russinovich งงงันวันหนึ่งเมื่อเขาค้นพบ rootkit ในเครื่องคอมพิวเตอร์ของเขา หลังจากบางครั้งเขาค้นพบว่าซอฟต์แวร์ป้องกันการคัดลอกที่ Sony BMG Music Entertainment ใช้เทคนิค rootkit เพื่อซ่อนตัวเองบนคอมพิวเตอร์จริงๆ ซอฟต์แวร์ของโซนี่ไม่ได้ออกแบบมาเพื่อทำอะไรที่เป็นอันตราย แต่แทบจะไม่สามารถตรวจพบได้และยากที่จะลบออกได้

rootkit ของ Sony กลายเป็นภัยพิบัติด้านพีอาร์ที่สำคัญสำหรับ บริษัท ซึ่งใช้จ่ายเงินหลายล้านครั้งในการชำระบัญชีตามกฎหมายกับผู้ใช้ที่ได้รับผลกระทบจากซอฟต์แวร์

สามปีต่อมา Russinovich ซึ่งเป็นเพื่อนร่วมทางด้านเทคนิคกับไมโครซอฟท์ยังคงคิดว่า rootkit นั้นสร้างปัญหาให้กับผู้ใช้คอมพิวเตอร์มากที่สุด

แต่ rootkit ของ Sony ยังเป็นปัญหาสำหรับผู้ขายโปรแกรมป้องกันไวรัสเช่นกัน ความจริงที่ว่าไม่มีใครสังเกตเห็นซอฟต์แวร์นี้มาประมาณหนึ่งปีเป็นนัยน์ตาสีดำอย่างร้ายแรงต่ออุตสาหกรรมความปลอดภัย

แม้ว่าพวกเขาจะเริ่มต้นใช้งานเครื่อง Unix เมื่อหลายปีก่อนในขณะที่ความผิดพลาดของ Sony ถือว่า rootkits ภัยคุกคามใหญ่ต่อไปสำหรับผู้ขายโปรแกรมป้องกันไวรัส นักวิจัยด้านความปลอดภัยได้สำรวจการใช้เทคโนโลยีเวอร์ช่วลไลเซชั่นเพื่อซ่อน rootkits และถกเถียงกันว่าราก rootkit อาจไม่สามารถตรวจพบได้ถูกสร้างขึ้นในอีกสักครู่หรือไม่

แต่ตอนนี้ Russinovich กล่าวว่า rootkit ไม่สามารถตอบสนองความต้องการของพวกเขาได้ เขากล่าวในการให้สัมภาษณ์ว่า "มัลแวร์ในปัจจุบันแตกต่างจากเมื่อความบ้าคลั่งของ rootkit กำลังเกิดขึ้น" "แล้ว … มัลแวร์จะโยนป๊อปอัปทั่วเดสก์ท็อปและใช้เบราว์เซอร์ของคุณวันนี้เราเห็นมัลแวร์ประเภทต่างๆกันหมด"

มัลแวร์ในปัจจุบันทำงานเงียบ ๆ อยู่เบื้องหลังสแปมหรือโฮสติ้งเว็บไซต์ที่น่ารังเกียจของ เหยื่อที่เคยสังเกตเห็นสิ่งที่เกิดขึ้น แดกดันแม้ว่าพวกเขาจะถูกสร้างขึ้นเพื่อหลบเลี่ยงการตรวจจับ rootkits ระดับเคอร์เนลที่ซับซ้อนมากที่สุดมักจะล่วงล้ำเหลือเกินที่พวกเขาดึงดูดความสนใจให้กับตัวเองผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่า "เป็นเรื่องยากมากที่จะเขียนโค้ดสำหรับเคอร์เนลของคุณที่ไม่ ขัดข้องกับคอมพิวเตอร์ของคุณ "Alfred Huger รองประธานฝ่ายการรักษาความปลอดภัยของ Symantec กล่าว Huger ยอมรับว่าในขณะที่ rootkit ยังคงเป็นปัญหาสำหรับผู้ใช้ยูนิกซ์พวกเขาไม่ได้แพร่หลายใน Windows PC

Rootkits สร้างรายได้ให้น้อยกว่า 1% ของทั้งหมด ความพยายามในการติดเชื้อที่ Symantec ติดตามวันนี้ Symantec ได้ค้นพบเฉพาะในพื้นที่ป่าประมาณ 300 ครั้งเท่านั้น

Huger กล่าวว่า "ในส่วนของมัลแวร์มัลแวร์นั้นเป็นชิ้นเล็ก ๆ และมีความเสี่ยง จำกัด "

ไม่ทุกคนเห็นด้วยกับผลการวิจัยของไซแมนเทคอย่างไรก็ตาม Thierry Zoller ผู้อำนวยการฝ่ายรักษาความปลอดภัยผลิตภัณฑ์ของ n.runs กล่าวว่า Rustock.C ได้รับการเผยแพร่อย่างกว้างขวางผ่านทางเครือข่ายธุรกิจรัสเซียที่มีชื่อเสียงและการติดเชื้อส่วนใหญ่น่าจะนับหมื่น ๆ ๆ ๆ

"Rootkits ใช้เพื่อเข้าถึง เป้าหมายที่ถูกบุกรุกให้นานที่สุดเท่าที่จะเป็นไปได้และไม่เคยมีเป้าหมายที่จะแพร่ระบาดอย่างกว้างขวาง "เขากล่าวในการสัมภาษณ์ที่ดำเนินการผ่านทางข้อความโต้ตอบแบบทันที

ในตอนท้ายอาชญากรอาจหลีกเลี่ยง rootkit ด้วยเหตุผลง่ายๆ จำเป็นต้องใช้

แทนการใช้เทคนิค rootkit ส่อเสียดแฮกเกอร์ได้พัฒนาเทคนิคใหม่ ๆ แทนเพื่อทำให้ผู้ขายโปรแกรมป้องกันไวรัสสามารถระบุความแตกต่างระหว่างซอฟต์แวร์กับโปรแกรมที่ถูกต้องได้ ตัวอย่างเช่นพวกเขาสร้างโปรแกรมที่เป็นอันตรายหลายรูปแบบไว้หลายชั่วอายุคราวละตัวรหัสละครั้งเพื่อให้ผลิตภัณฑ์แอนตี้ไวรัสมีช่วงเวลาที่ยากลำบาก

ในช่วงครึ่งหลังของปี 2550 Symantec ติดตามเกือบครึ่งล้าน มัลแวร์ชนิดใหม่เพิ่มขึ้น 136 เปอร์เซ็นต์จากครึ่งปีแรก ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าสถานการณ์นี้ยิ่งแย่ลงในปีพ. ศ. 2551

"สิ่งที่เราดำเนินการไม่ซับซ้อน" Greg Hoglund ซีอีโอของ HBGary ซึ่งเป็น บริษัท ที่จำหน่ายซอฟต์แวร์เพื่อช่วยลูกค้าตอบโต้การบุกรุกคอมพิวเตอร์ "มัลแวร์ส่วนใหญ่ที่มีอยู่ในปัจจุบัน … ไม่ได้พยายามที่จะซ่อนตัวอยู่"

ตัวอย่างเช่นลูกค้าของ HB Gary คนหนึ่งเพิ่งโดนโจมตีเป้าหมาย คนเลวรู้ดีว่าสิ่งที่พวกเขาต้องการและหลังจากบุกเข้าสู่เครือข่ายแล้วก็กวาดข้อมูลก่อนที่ทีมตอบสนองต่อเหตุร้ายของ บริษัท จะได้ไปถึงที่นั่น Hoglund กล่าว "เห็นได้ชัดว่าผู้บุกรุกรู้ดีว่าพวกเขาจะได้รับข้อมูลอย่างรวดเร็วจนไม่ต้องปิดบังเลยแม้แต่น้อย"