Masalah Keamanan Sneaky, Diabaikan oleh Orang Jahat

Frank Boldewin telah melihat banyak perangkat lunak berbahaya pada masanya, tetapi tidak pernah ada yang seperti Rustock.C.

Digunakan untuk menginfeksi PC Windows dan mengubahnya menjadi server spam tanpa disadari, Rustock.C adalah rootkit yang menginstal sendiri pada sistem operasi Windows dan kemudian menggunakan berbagai teknik canggih yang membuatnya hampir mustahil untuk dideteksi atau bahkan dianalisis.

Ketika dia pertama kali mulai melihat kode awal tahun ini, itu hanya akan menyebabkan komputernya mogok. Ada enkripsi level driver, yang harus didekripsi, dan itu ditulis dalam bahasa assembly, menggunakan "struktur kode spaghetti" yang membuatnya sangat sulit bagi Boldewin untuk mencari tahu apa yang sebenarnya dilakukan perangkat lunak.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Menganalisis rootkit biasanya merupakan pekerjaan malam hari bagi seseorang yang memiliki keahlian teknis Boldewin. Dengan Rustock.C, bagaimanapun, ia butuh beberapa hari untuk mencari tahu bagaimana perangkat lunak itu bekerja.

Karena sangat sulit untuk dikenali, Boldewin, seorang peneliti keamanan dengan penyedia layanan TI Jerman GAD, percaya bahwa Rustock.C telah ada selama hampir satu tahun sebelum produk antivirus mulai mendeteksi.

Ini adalah kisah dengan rootkit. Mereka licik. Tapi apakah itu ancaman besar?

Pada akhir 2005, Mark Russinovich menemukan rootkit yang paling terkenal. Seorang ahli keamanan windows, Russinovich bingung suatu hari ketika ia menemukan rootkit di PC-nya. Setelah beberapa sleuthing, ia akhirnya menemukan bahwa perangkat lunak perlindungan salinan yang digunakan oleh Sony BMG Music Entertainment benar-benar menggunakan teknik rootkit untuk menyembunyikan dirinya di komputer. Perangkat lunak Sony tidak dirancang untuk melakukan sesuatu yang berbahaya, tetapi itu hampir tidak dapat dideteksi dan sangat sulit untuk dihapus.

Rootkit Sony menjadi bencana PR besar bagi perusahaan, yang menghabiskan jutaan di pemukiman hukum dengan pengguna yang terpengaruh oleh perangkat lunak.

Tiga tahun kemudian, Russinovich, rekan teknis Microsoft, masih menganggapnya sebagai rootkit yang menyebabkan masalah terbesar bagi pengguna komputer.

Tapi rootkit Sony juga menjadi masalah bagi vendor antivirus. Fakta bahwa tidak satupun dari mereka yang pernah memperhatikan perangkat lunak ini selama sekitar setahun adalah mata hitam yang serius bagi industri keamanan.

Meskipun mereka memulai dengan mesin Unix beberapa tahun sebelumnya, pada saat Sony fiasco, rootkit dianggap ancaman besar berikutnya untuk vendor antivirus. Para peneliti keamanan mengeksplorasi penggunaan teknologi virtualisasi untuk menyembunyikan rootkit dan memperdebatkan apakah rootkit yang benar-benar tidak terdeteksi suatu hari nanti dapat dibuat.

Tetapi Russinovich sekarang mengatakan bahwa rootkit telah gagal memenuhi hype mereka. "Mereka tidak lazim seperti yang diharapkan semua orang," katanya dalam sebuah wawancara.

"Malware saat ini beroperasi sangat berbeda dari ketika rootkit menggila sedang berlangsung," katanya. "Lalu … malware akan melemparkan popup ke seluruh desktop Anda dan mengambil alih browser Anda. Hari ini kita melihat jenis malware yang sama sekali berbeda."

Malware saat ini berjalan dengan tenang di latar belakang, mengirim spam atau menghosting situs web jahatnya tanpa korban pernah memperhatikan apa yang sedang terjadi. Ironisnya, meskipun mereka dibangun untuk menghindari deteksi, rootkit tingkat kernel yang paling canggih sering sangat mengganggu sehingga mereka menarik perhatian pada diri mereka sendiri, kata pakar keamanan.

"Sangat sulit untuk menulis kode untuk kernel Anda yang tidak crash komputer Anda, "kata Alfred Huger, wakil presiden tim Respons Keamanan Symantec. "Perangkat lunak Anda dapat dengan mudah menginjak orang lain."

Huger setuju bahwa walaupun rootkit masih menjadi masalah bagi pengguna Unix, mereka tidak tersebar luas di PC Windows.

Rootkit mencapai jauh kurang dari 1 persen dari semua percobaan infeksi yang dilacak Symantec hari ini. Adapun Rustock.C, terlepas dari semua kecanggihan teknisnya, Symantec hanya melihatnya di alam liar sekitar 300 kali.

"Di seluruh spektrum malware, itu adalah bagian yang sangat kecil dan itu berisiko terbatas hari ini," kata Huger.

Namun, tidak semua orang setuju dengan temuan Symantec. Thierry Zoller, direktur keamanan produk dengan n.run, mengatakan bahwa Rustock.C secara luas didistribusikan melalui Jaringan Bisnis Rusia yang terkenal buruk dan bahwa infeksi kemungkinan besar ada dalam puluhan ribu.

"Rootkits digunakan untuk menahan akses ke target kompromi selama mungkin dan tidak pernah memiliki tujuan untuk menyebar luas, "katanya dalam sebuah wawancara yang dilakukan melalui pesan instan.

Pada akhirnya, para penjahat mungkin menghindari rootkit karena alasan yang sangat sederhana: Mereka hanya tidak membutuhkannya.

Alih-alih menggunakan teknik rootkit yang licik, para peretas malah mengembangkan teknik baru untuk menyulitkan vendor antivirus untuk mengetahui perbedaan antara perangkat lunak mereka dan program yang sah. Sebagai contoh, mereka membuat ribuan versi yang berbeda dari satu program jahat, mengacak kode setiap kali sehingga produk antivirus kesulitan melihatnya.

Pada paruh kedua tahun 2007, misalnya, Symantec melacak hampir setengah juta jenis baru kode berbahaya, naik 136 persen dari paruh pertama tahun ini. Pakar keamanan mengatakan bahwa situasi ini bahkan lebih buruk pada tahun 2008.

"Hal-hal yang kami temui memang tidak rumit," kata Greg Hoglund, CEO HBGary, perusahaan yang menjual perangkat lunak untuk membantu pelanggan menanggapi gangguan komputer. "Sebagian besar malware yang ada di luar sana saat ini … bahkan tidak berusaha untuk bersembunyi."

Misalnya, salah satu pelanggan HB Gary baru-baru ini terkena serangan yang ditargetkan. Orang-orang jahat tahu persis apa yang mereka inginkan dan, setelah membobol jaringan, menggesek informasi sebelum tim respon insiden perusahaan bahkan bisa sampai di sana, kata Hoglund. "Sangat jelas bahwa para penyerang tahu bahwa mereka akan lolos dengan data begitu cepat sehingga mereka bahkan tidak harus bersembunyi."