एक चुस्त सुरक्षा समस्या, बुरे लोगों द्वारा अनदेखा

फ्रैंक बोल्डविन ने अपने समय में बहुत से दुर्भावनापूर्ण सॉफ़्टवेयर को देखा था, लेकिन कभी भी Rustock.C जैसे कुछ भी नहीं।

विंडोज पीसी को संक्रमित करने के लिए प्रयुक्त होता है और उन्हें अवांछित स्पैम सर्वर में बदल देता है, Rustock.C एक रूटकिट है जो विंडोज ऑपरेटिंग सिस्टम पर खुद को स्थापित करता है और फिर विभिन्न परिष्कृत तकनीकों का उपयोग करता है जो इसे पहचानने या विश्लेषण करने के लिए लगभग असंभव बना देता है।

जब उन्होंने पहली बार इस साल की शुरुआत में कोड को देखना शुरू किया, तो यह बस अपने कंप्यूटर को दुर्घटनाग्रस्त कर देगा । ड्राइवर स्तर एन्क्रिप्शन था, जिसे डिक्रिप्ट किया जाना था, और इसे "स्पेगेटी कोड स्ट्रक्चर" का उपयोग करके असेंबली भाषा में लिखा गया था, जिसने बोल्डविन को यह पता लगाने के लिए बेहद मुश्किल बना दिया कि सॉफ्टवेयर वास्तव में क्या कर रहा था।

[आगे पढ़ने: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

रूटकिट का विश्लेषण आमतौर पर बोल्डविन के तकनीकी कौशल वाले किसी के लिए शाम का काम होता है। हालांकि, Rustock.C के साथ, यह पता चला कि सॉफ्टवेयर ने कैसे काम किया।

क्योंकि यह स्पॉट करना मुश्किल है, बोल्डविन, जर्मन आईटी सेवा प्रदाता जीएडी के साथ एक सुरक्षा शोधकर्ता का मानना ​​है कि रुस्टॉक.सी आसपास था लगभग एक साल पहले एंटीवायरस उत्पादों ने इसे पहचानना शुरू कर दिया था।

यह रूटकिट्स की कहानी है। वे चुस्त हैं। लेकिन क्या वे एक बड़ा खतरा हैं?

2005 के अंत में, मार्क रसेलिनोविच ने सबसे प्रसिद्ध रूटकिट की खोज की। एक विंडोज़ सुरक्षा विशेषज्ञ, रसेलिनोविच एक दिन परेशान था जब उसने अपने पीसी पर रूटकिट की खोज की थी। कुछ सुस्त होने के बाद, उन्होंने अंततः सोनी बीएमजी म्यूजिक एंटरटेनमेंट द्वारा उपयोग किए गए प्रतिलिपि सुरक्षा सॉफ्टवेयर को कंप्यूटर पर खुद को छिपाने के लिए रूटकिट तकनीकों का उपयोग किया। सोनी के सॉफ़्टवेयर को कुछ भी दुर्भावनापूर्ण करने के लिए डिज़ाइन नहीं किया गया था, लेकिन यह लगभग ज्ञानी नहीं था और इसे हटाने में बेहद मुश्किल था।

सोनी की रूटकिट कंपनी के लिए एक प्रमुख पीआर आपदा बन गई, जिसने सॉफ़्टवेयर द्वारा प्रभावित उपयोगकर्ताओं के साथ कानूनी बस्तियों में लाखों खर्च किए ।

तीन साल बाद, माइक्रोसॉफ्ट के साथ एक तकनीकी साथी रसेलिनोविच, अभी भी रूटकिट मानता है जिसने कंप्यूटर उपयोगकर्ताओं के लिए सबसे अधिक परेशानी पैदा की।

लेकिन सोनी रूटकिट ने एंटीवायरस विक्रेताओं के लिए भी समस्याओं का सामना किया। तथ्य यह है कि उनमें से किसी ने भी इस सॉफ्टवेयर को लगभग एक साल तक नहीं देखा था, सुरक्षा उद्योग के लिए एक गंभीर ब्लैक आंख थी।

हालांकि सोनी फियास्को के समय पहले यूनिक्स मशीनों पर उनकी शुरुआत हुई थी, रूटकिट्स पर विचार किया गया था एंटीवायरस विक्रेताओं के लिए अगला बड़ा खतरा। सुरक्षा शोधकर्ताओं ने रूटकिट्स को छिपाने के लिए वर्चुअलाइजेशन तकनीक के उपयोग की खोज की और बहस की कि क्या पूरी तरह से ज्ञात रूटकिट किसी दिन बनाया जा सकता है।

लेकिन रसेलिनोविच अब कहता है कि रूटकिट अपने प्रचार के लिए जीने में नाकाम रहे हैं। उन्होंने कहा, "वे उतने प्रचलित नहीं हैं जितना कि सभी ने उन्हें होने की उम्मीद की थी।"

"मैलवेयर आज रूटकिट सनक चलने पर बहुत अलग तरीके से काम करता है।" "फिर … मैलवेयर आपके डेस्कटॉप पर पॉपअप फेंक देगा और आपके ब्राउज़र को ले जाएगा। आज हम एक बिल्कुल अलग प्रकार के मैलवेयर देख रहे हैं।"

आज का मैलवेयर पृष्ठभूमि में चुपचाप चलता है, बिना स्पैमिंग या अपनी ग़लत वेबसाइटों को होस्ट करता है पीड़ित कभी भी देख रहा है कि क्या हो रहा है। विडंबना यह है कि, हालांकि वे पहचान का बचने के लिए बनाए गए हैं, लेकिन सबसे परिष्कृत कर्नेल-स्तरीय रूटकिट अक्सर इतनी अविश्वसनीय रूप से घुसपैठ कर रहे हैं कि वे स्वयं पर ध्यान आकर्षित करते हैं, सुरक्षा विशेषज्ञों का कहना है।

"आपके कर्नेल के लिए कोड लिखना बेहद मुश्किल है सिमांटेक की सुरक्षा प्रतिक्रिया टीम के उपाध्यक्ष अल्फ्रेड हूगर ने कहा, "अपने कंप्यूटर को दुर्घटनाग्रस्त करें।" "आपका सॉफ़्टवेयर किसी और के लिए आसानी से कदम उठा सकता है।"

हूगर इस बात से सहमत हैं कि रूटकिट अभी भी यूनिक्स उपयोगकर्ताओं के लिए एक समस्या है, लेकिन वे विंडोज पीसी पर व्यापक नहीं हैं।

रूटकिट्स सभी में से 1 प्रतिशत से भी कम बनाते हैं सिमेंटेक इन दिनों ट्रैक करता है कि प्रयास में संक्रमण। Rustock.C के लिए, अपने सभी तकनीकी परिष्कार के बावजूद, सिमेंटेक ने इसे केवल 300 बार जंगली में देखा है।

हूगर ने कहा, "पूरे मैलवेयर स्पेक्ट्रम पर, यह एक बहुत छोटा टुकड़ा है और यह आज सीमित जोखिम का है।" 99

हालांकि सभी सिमेंटेक के निष्कर्षों से सहमत नहीं हैं। N.runs के साथ उत्पाद सुरक्षा के निदेशक थियरी ज़ोलर का कहना है कि रूस्टॉक.सी को कुख्यात रूसी बिजनेस नेटवर्क के माध्यम से व्यापक रूप से वितरित किया गया था और यह संक्रमण हजारों में सबसे ज्यादा होने की संभावना है।

"रूटकिट्स का उपयोग करने के लिए उपयोग किया जाता था। तत्काल संदेश के दौरान किए गए एक साक्षात्कार में उन्होंने कहा, "जितना संभव हो सके समझौता किया गया लक्ष्य और कभी भी व्यापक रूप से फैलाने का लक्ष्य नहीं था।" 99

अंत में, अपराधी एक बहुत ही सरल कारण के लिए रूटकिट से परहेज कर सकते हैं: वे सिर्फ उन्हें चाहिए।

स्नीकी रूटकिट तकनीकों का उपयोग करने के बजाय, हैकर्स ने एंटीवायरस विक्रेताओं के लिए अपने सॉफ्टवेयर और वैध कार्यक्रमों के बीच अंतर बताने के लिए कठिन बनाने के लिए नई तकनीकों का विकास किया है। उदाहरण के लिए, वे एक दुर्भावनापूर्ण प्रोग्राम के हजारों अलग-अलग संस्करण बनाते हैं, हर बार कोड को झुकाते हैं ताकि एंटीवायरस उत्पादों को इसे ढूंढने में कठिनाई हो।

2007 के दूसरे छमाही में, उदाहरण के लिए, सिमेंटेक ने लगभग आधा मिलियन ट्रैक किया नए प्रकार के दुर्भावनापूर्ण कोड, साल के पहले छमाही से 136 प्रतिशत ऊपर। सुरक्षा विशेषज्ञों का कहना है कि 2008 में यह स्थिति और भी बदतर है।

"जो सामान हम पार करते हैं वह जटिल नहीं है," एचबीजीरी के सीईओ ग्रेग होग्लुंड ने कहा कि एक कंपनी जो ग्राहकों को कंप्यूटर घुसपैठ का जवाब देने में मदद करने के लिए सॉफ्टवेयर बेचती है। "आजकल मौजूद अधिकांश मैलवेयर … छुपाने का भी प्रयास नहीं करते हैं।"

उदाहरण के लिए, एचबी गैरी के ग्राहकों में से एक को हाल ही में एक लक्षित हमले से मारा गया था। बुजुर्ग लोग जानते थे कि वे क्या चाहते थे और नेटवर्क में तोड़ने के बाद, कंपनी की घटना प्रतिक्रिया टीम से पहले भी जानकारी प्राप्त कर दी गई, होग्लुंड ने कहा। "यह बहुत स्पष्ट था कि हमलावरों को पता था कि वे इतनी जल्दी डेटा से दूर हो जाएंगे कि उन्हें छिपाने की भी आवश्यकता नहीं थी।"