Et sneaky sikkerhedsproblem, ignoreret af de dårlige drenge

Frank Boldewin havde set meget ondsindet software i sin tid, men aldrig noget som Rustock.C.

Bruges til at inficere Windows-pc'er og gøre dem til uvidende spam-servere, er Rustock.C en rootkit der installerer sig selv på Windows-operativsystemet og bruger derefter en række avancerede teknikker, der gør det næsten umuligt at opdage eller endda analysere.

Da han først begyndte at se koden tidligere i år, ville det simpelthen få sin computer til at gå ned. Der var kryptering på chaufførniveau, som skulle dekrypteres, og den blev skrevet på samlingssprog ved hjælp af "spaghetti kode struktur", der gjorde det ekstremt svært for Boldewin at finde ud af, hvad softwaren egentlig gjorde.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Analyse af en rootkit er typisk en aftens arbejde for en person med Boldewins tekniske færdigheder. Med Rustock.C tog det dog ham dage at finde ud af, hvordan softwaren arbejdede.

Da det er så svært at se, mener Boldewin, en sikkerhedsforsker hos den tyske IT-udbyder GAD, at Rustock.C havde eksisteret i næsten et år før antivirusprodukter begyndte at opdage det.

Dette er historien med rootkits. De er sneaky. Men er de en stor trussel?

I slutningen af ​​2005 opdagede Mark Russinovich den mest berømte rootkit. En windows sikkerhedsekspert, Russinovich, var forbløffet en dag da han opdagede en rootkit på sin pc. Efter en del dræbende opdagede han til sidst, at kopibeskyttelsessoftware fra Sony BMG Music Entertainment faktisk anvendte rootkit-teknikker til at skjule sig på computere. Sony's software var ikke designet til at gøre noget ondsindet, men det var næsten uopdageligt og ekstremt svært at fjerne.

Sonys rootkit blev en stor PR-katastrofe for virksomheden, som brugte millioner i lovlige bosættelser med brugere, der var berørt af softwaren.

Tre år senere anser Russinovich, en teknisk stipendiat med Microsoft, det stadig rootkit, der forårsagede de fleste problemer for computerbrugere.

Men Sony rootkit forudstillede problemer for antivirusleverandørerne. Den kendsgerning, at ingen af ​​dem selv havde bemærket denne software i omkring et år var et seriøst sort øje for sikkerhedsbranchen. Selvom de startede på Unix-maskinerne tidligere, da Sony-fiaskoen var, blev rootkits betragtet den næste store trussel for antivirusleverandører. Sikkerhedsforskere undersøgte brugen af ​​virtualiseringsteknologi til at skjule rootkits og diskuterede, om en helt uopdagelig rootkit kunne blive oprettet.

Men Russinovich siger nu, at rootkits ikke har levet op til deres hype. "De er ikke så udbredt, som alle havde forventet, at de skulle være", sagde han i et interview.

"Malware virker i dag meget forskelligt fra hvornår rootkit mani'en foregik," sagde han. "Derefter vil malware smide popups over hele skrivebordet og overtage din browser. I dag ser vi en helt anden type malware."

Dagens malware kører stille i baggrunden, spamming eller hosting af sine ubehagelige websteder uden offer opdager nogensinde, hvad der foregår. Ironisk nok, selv om de er bygget for at undgå detektion, er de mest sofistikerede kerne-niveau rootkits ofte så utroligt påtrængende, at de gør opmærksom på sig selv, siger sikkerhedseksperter.

"Det er ekstremt svært at skrive kode til din kerne, der ikke crash din computer, "siger Alfred Huger, vicepræsident for Symantec's Security Response team. "Din software kan træde på andres ret nemt."

Huger er enig i, at mens rootkits stadig er et problem for Unix-brugere, er de ikke udbredt på Windows-pc'er.

Rootkits udgør langt mindre end 1 procent af alle de forsøg på infektioner, som Symantec sporer i disse dage. Hvad angår Rustock.C, har Symantec trods al sin tekniske sofistikation kun set det i naturen omkring 300 gange.

"På hele malware-spektret er det et meget lille stykke, og det er af begrænset risiko i dag," sagde Huger.

Ikke alle er enige om Symantecs resultater. Thierry Zoller, direktør for produktsikkerhed med n.runs, siger, at Rustock.C var bredt distribueret via det berygtede russiske forretningsnetværk, og at infektioner sandsynligvis er i titusinder.

"Rootkits blev brugt til at holde adgang til en kompromitteret mål så længe som muligt og aldrig haft målet om at blive spredt bredt, "sagde han i et interview gennem instant messaging.

Til sidst kan forbrydere undga rootkits af en meget simpel grund: De gør bare ikke har brug for dem.

I stedet for at bruge snigende rootkit-teknikker har hackere i stedet udviklet nye teknikker til at gøre det svært for antivirusleverandører at fortælle forskellen mellem deres software og legitime programmer. For eksempel laver de tusindvis af forskellige versioner af et ondskabsfuldt program, som hver gang kolliderer koden, så antivirusprodukter har svært ved at spotte det.

I anden halvdel af 2007 spore Symantec for eksempel næsten en halv million nye typer af ondsindet kode, en stigning på 136 procent fra første halvår. Sikkerhedseksperter siger, at denne situation er endnu værre i 2008.

"De ting, vi løber på tværs af, er ikke så komplicerede", siger Greg Hoglund, CEO for HBGary, et firma, som sælger software til at hjælpe kunder med at reagere på computerintrusioner. "Det meste af malware, der er derude i dag, forsøger ikke engang at skjule."

For eksempel blev en af ​​HB Garys kunder for nylig ramt af et målrettet angreb. De onde fyre vidste præcis, hvad de ønskede, og efter at have slået sig ind i netværket, swiped oplysningerne, før virksomhedens hændelsesreaktionslag kunne komme derhen, sagde Hoglund. "Det var meget klart, at angriberne vidste, at de ville komme væk med dataene så hurtigt, at de ikke engang skulle skjule."