امنیت :

کارشناسان امنیتی شرکت مایکروسافت درباره یک نسل جدید از برنامه های مراقب سیستم ها هشدار داده اند. "روتکیتها" نامی است که برای این برنامه ها در نظر گرفته شده است که گفته می شود به آسانی با محصولات امنیتی موجود قابل شناسایی نیستند. این برنامه ها می توانند برای شرکتها و افراد دردسرهای جدی تولید نمایند.
به گزارش بخش خبر شبکه فن آوری اطلاعات ایران، از http://www.ComeToNet.com و به نقل از IDG News، محققین مایکروسافت درباره رشد تهدیدی که در قالب روتکیتهای کرنل (Kernel Root Kits) ظاهر می شوند در کنفرانس امنیتی RSA اخطار دادند. برنامه های جاسوسی مخربی که روزبروز گسترده تر می شوند امروزه به حالتی رسیده اند که بزودی تبدیل به نسل جدیدی از کرمها، ویروسها و جاسوسهای توزیع انبوه خواهند شد.
مایک دانسگلیو و کورت دیلارد دو محقق مایکروسافت در این باره گفتند که برنامه هایی با نامهایی مانند Hacker Defender و FU و Vanquish آخرین نمونه ها از نرم افزارهای مراقبت سیستم از راه دور می باشند که مدتی است دیده شده است.
اینها برنامه هایی هستند که بوسیله هکرهای مخرب برای کنترل، حمله و یا کاوش اطلاعات داخل سیستمی که برنامه درآن نصب شده است بکار می روند. این برنامه ها بدون اطلاع صاحب کامپیوتر می توانند در سیستم نصب شود. عمل نصب بوسیله ویروس و یا مستقیما بوسیله هک کردن کامپیوتر انجام می شود.
اما وقتی برنامه نصب شد، در نمونه های ساده به آرامی در پس زمینه کار عادی کامپیوتر اجرا می شود و وقتی به عملکرد حافظه کامپیوتر نگاه کنید، یا ورود و خروج اطلاعات از سیستم را کنترل کنید و یا حتی برنامه های تازه نصب شده را چک کنید، حضور آنها را تشخیص خواهید داد.
اما واقعیت اینست که کرنل روتکیتها که می توانند کرنل را بازنویسی کنند یا پردازش درخواست core را عوض کنند و کمپننت سیستم عامل را تغییر دهند روزبروز بیشتر می شوند که پیدا کردنشان ناممکن می شود. متاسفانه نویسندگان روتکیتها، قدمهای بسیار بزرگی در بالابردن تواناییهایشان برای پنهان نگهداشتن مخلوقات خود برداشته اند.
در مجموع بعضی از انواع جدید روتکیتها می توانند جلوی درخواستها یا system calls که به کرنل می روند را گرفته و حاصل را فیلتر کنند. در نتیجه علامتهای عملی و واقعی که نشان می دهد یک برنامه در حال اجراست مانند اسم فایل اجرایی، یک پروسس مشخص که بعضی از حافظه های کامپیوتر را بکار می گیرند یا تنظیمات پیکربندی رجیستری سیستم عامل، برای مدیران سیستم و ابزار شناسایی موجود، نامرعی بوده و غیرممکن خواهد شد.
طبق گفته محققیق، کرنل روتکیتها را نمی توان با ابزار شناسایی معمولی، آنتی ویروسها، سنسورهای تشخیص دخول به شبکه و هوست IDS، و نهایتا محصولات آنتی اسپای دید و پیدا کرد. در واقع ابزاری قدرتمند برای یافتن روتکیتها نیاز است که هرچند وجود دارد اما آنها را نویسندگان روتکینها تهیه کرده اند و نه شرکتهای امنیتی.
طبق مقاله مندرج در بخش تحقیقاتی مایکروسافت، برنامه ای بنام Strider Ghostbuster توسط مایکروسافت برای تشخیص روتکیتها بروش مقایسه بین نمونه های ویندوز آلوده و تمیز ایجاد شده است.
بهوش باشید که امروزه تنها راه خلاصی از دست روتکیتها آن است که هارد درایو آلوده بطور کامل پاک شود و سیستم عامل آن از ابتدا و بصورت Scratch نصب گردد.
جالب است بدانید که این نوع حمله فقط مختص ویندوز نیست و هر سیستم عاملی می تواند هدف قرار گیرد. هرچند که ابزار جدید برای تشخیص روتکیتها در راه است اما نویسندگان روتکیتها هم روزبروز برنامه های بهتری برای حمله می نویسند. کارشناسان مایکروسافت معتقد هستند که آنها باهوشند و بسیار هم باهوش هستند.

منبع: http://iritn.com

لیست کل یادداشت های وبلاگ