Um problema de segurança sorrateiro, ignorado pelos bandidos

Frank Boldewin tinha visto muitos softwares maliciosos em seu tempo, mas nunca algo como o Rustock.C.

Usado para infectar PCs com Windows e transformá-los em servidores de spam involuntários, o Rustock.C é um rootkit que se instala no sistema operacional Windows e usa uma variedade de técnicas sofisticadas que tornam quase impossível detectar ou até mesmo analisar.

Quando ele começou a olhar para o código no começo deste ano, ele simplesmente causaria um crash no computador.. Houve criptografia em nível de driver, que teve que ser descriptografada, e foi escrita em linguagem assembly, usando "estrutura de código de espaguete" que tornou extremamente difícil para Boldewin descobrir o que o software estava realmente fazendo.

[Mais leitura: Como remover malware do seu PC com Windows]

Analisar um rootkit geralmente é trabalho de uma noite para alguém com as habilidades técnicas da Boldewin. Com o Rustock.C, no entanto, levou dias para descobrir como o software funcionava.

Por ser tão difícil de detectar, Boldewin, um pesquisador de segurança do GAD, acredita que o Rustock.C estava por aí. por quase um ano antes de os produtos antivírus começarem a detectá-lo.

Esta é a história com rootkits. Eles são sorrateiros. Mas eles são uma grande ameaça?

No final de 2005, Mark Russinovich descobriu o rootkit mais famoso. Um especialista em segurança do Windows, Russinovich ficou perplexo um dia quando descobriu um rootkit em seu PC. Após algumas investigações, ele finalmente descobriu que o software de proteção contra cópia usado pela Sony BMG Music Entertainment realmente usava técnicas de rootkit para se esconder em computadores. O software da Sony não foi projetado para fazer algo malicioso, mas era virtualmente indetectável e extremamente difícil de remover. O rootkit da Sony se tornou um grande desastre de relações públicas para a empresa, que gastou milhões em assentamentos legais com usuários afetados pelo software.

Três anos depois, Russinovich, um colega técnico da Microsoft, ainda considera o rootkit o que causou mais problemas para usuários de computador.

Mas o rootkit da Sony previa problemas para os fornecedores de antivírus também. O fato de que nenhum deles sequer notou este software por cerca de um ano foi um sério ponto negativo para o setor de segurança. Embora eles tivessem começado em máquinas Unix anos antes, na época do fiasco da Sony, os rootkits foram considerados. a próxima grande ameaça para os fornecedores de antivírus. Pesquisadores de segurança exploraram o uso da tecnologia de virtualização para esconder rootkits e debateram se um rootkit completamente indetectável poderia algum dia ser criado.

Mas Russinovich agora diz que os rootkits não conseguiram cumprir sua expectativa. "Eles não são tão comuns quanto todos esperavam que fossem", disse ele em uma entrevista. "O malware hoje funciona de forma muito diferente de quando a mania dos rootkits estava acontecendo", disse ele. "Então … malware lançaria popups por toda a sua área de trabalho e controlaria seu navegador. Hoje, estamos vendo um tipo totalmente diferente de malware."

O malware de hoje é executado silenciosamente em segundo plano, spam ou hospedando seus sites desagradáveis ​​sem o vítima alguma vez percebendo o que está acontecendo. Ironicamente, apesar de serem feitos para evitar a detecção, os rootkits mais sofisticados do kernel são tão incrivelmente intrusivos que chamam a atenção para eles mesmos, dizem os especialistas em segurança.

"É extremamente difícil escrever código para o kernel que não trava o seu computador ", disse Alfred Huger, vice-presidente da equipe de Resposta de Segurança da Symantec. "O seu software pode interferir facilmente em outras pessoas."

Huger concorda que, embora os rootkits ainda sejam um problema para usuários Unix, eles não são muito difundidos em PCs com Windows.

Os rootkits representam menos de 1% de todos as infecções tentadas que a Symantec rastreia nos dias de hoje. Quanto ao Rustock.C, apesar de toda a sua sofisticação técnica, a Symantec detectou apenas 300 vezes na natureza.

"Em todo o espectro de malware, é uma parte muito pequena e é de risco limitado hoje", disse Huger.

Nem todos concordam com as descobertas da Symantec, no entanto. Thierry Zoller, diretor de segurança de produto da n.runs, diz que o Rustock.C foi amplamente distribuído através da famosa Rede de Negócios Russos e que as infecções são mais prováveis ​​em dezenas de milhares.

"Os rootkits foram usados ​​para manter o acesso a meta comprometida o maior tempo possível e nunca teve a meta de se espalhar amplamente ", disse ele em uma entrevista realizada via mensagem instantânea.

No final, os criminosos podem estar evitando rootkits por uma razão muito simples: eles simplesmente não

Em vez de usar técnicas de rootkits furtivos, os hackers desenvolveram novas técnicas para tornar difícil para os fornecedores de antivírus diferenciar seus softwares e programas legítimos. Por exemplo, eles criam milhares de versões diferentes de um programa malicioso, misturando o código a cada vez para que os produtos antivírus tenham dificuldade em identificá-lo.

No segundo semestre de 2007, por exemplo, a Symantec rastreou quase meio milhão novos tipos de código malicioso, um aumento de 136% em relação ao primeiro semestre do ano. Especialistas em segurança dizem que esta situação é ainda pior em 2008. "As coisas que encontramos não são tão complicadas", disse Greg Hoglund, CEO da HBGary, uma empresa que vende software para ajudar os clientes a responder a intrusões em computadores. "A maioria dos malwares que estão por aí hoje em dia … nem sequer tentam se esconder".

Por exemplo, um dos clientes da HB Gary foi recentemente atingido por um ataque direcionado. Os bandidos sabiam exatamente o que queriam e, depois de invadir a rede, roubaram as informações antes que a equipe de resposta a incidentes da empresa pudesse chegar lá, disse Hoglund. "Ficou muito claro que os atacantes sabiam que iriam fugir com os dados tão rapidamente que nem precisaram se esconder".