Rootkiti se mogu nazvati najsvestranijim tehnički najsitnijim oblikom (malware) i jednim od najtežih za otkrivanje i uklanjanje. Od svih vrsta zlonamjernog softvera, vjerovatno virusi i crvi dobivaju najviše publiciteta jer su općenito rašireni. Poznato je da su mnogi ljudi bili pogođeni virusom ili crvima, ali to definitivno ne znači da su virusi i crvi najrazornija vrsta zlonamjernog softvera. Postoje opasnije vrste zlonamjernog softvera jer ih u pravilu rade u prikrivenom načinu, teško ih je otkriti i ukloniti i mogu proći neopaženo tijekom dugog razdoblja, tiho dobivajući pristup, krađu podataka i mijenjajući datoteke na stroju žrtve,
Primjer takvog prikrivenog neprijatelja su rootkiti - zbirka alata koji mogu zamijeniti ili promijeniti izvršne programe, ili čak i kernel samog operativnog sustava, kako bi se dobio pristup na razini administratora, koji se može koristiti za instaliranje špijunski softver, keyloggere i druge zlonamjerne alate. U osnovi, rootkit omogućava napadaču pristup potpunog pristupa preko žrtve žrtve (i možda cijeloj mreži kojoj stroj pripada). Jedna od poznatih upotreba rootkita koja je prouzročila značajne gubitke / oštećenja bila je krađa izvornog koda Valveova pogona Half-Life 2: Source game.
Rootkiti nisu nešto novo - postoje već godinama, a poznato je da su utjecali na razne operativne sustave (Windows, UNIX, Linux, Solaris itd.). Da nije jedne ili dvije masovne pojave rootkit incidenata (vidi odjeljak Poznati primjeri), koji su na njih privukli pažnju javnosti, možda bi opet izbjegli svijest, osim malog kruga sigurnosnih stručnjaka. Do danas, rootkiti nisu otvorili svoj puni destruktivni potencijal jer nisu toliko široko rasprostranjeni kao drugi oblici zlonamjernog softvera. Međutim, to može biti malo utjehe.
Izloženi korijenski mehanizmi
Slično kao trojanski konji, virusi i crvi, rootkiti se instaliraju iskorištavajući nedostatke u mrežnoj sigurnosti i operativnom sustavu, često bez korisničke interakcije. Iako postoje rootkiti koji mogu doći kao privitak e-pošti ili u paketu s legitimnim softverskim programima, oni su bezopasni dok korisnik ne otvori privitak ili ne instalira program. Ali za razliku od manje sofisticiranih oblika zlonamjernog softvera, rootkiti se infiltriraju vrlo duboko u operativni sustav i ulažu posebne napore kako bi prikrili svoju prisutnost - na primjer, mijenjanjem sistemskih datoteka.
U osnovi postoje dvije vrste rootkita: rootkiti na razini kernela i rootkiti na razini aplikacije. Rootkiti na razini kernela dodaju kôd ili mijenjaju kernel operativnog sustava. To se postiže instaliranjem upravljačkog programa uređaja ili modula za učitavanje, koji mijenja sistemske pozive kako bi se sakrio prisustvo napadača. Dakle, ako pogledate u svoje zapisnike, nećete vidjeti nikakve sumnjive aktivnosti u sustavu. Rootkiti na razini aplikacije manje su sofisticirani i općenito ih je lakše detektirati jer mijenjaju izvršne aplikacije, a ne sam operativni sustav. Budući da Windows 2000 prijavljuje korisniku svaku promjenu izvršne datoteke, napadaču otežava prolazak nezapaženo.
Zašto korijenski kompleti predstavljaju rizik
Rootkiti mogu djelovati kao stražnja vrata i obično nisu sami u svojoj misiji - često ih prate špijunski softver, trojanski konji ili virusi. Ciljevi rootkita mogu se razlikovati od jednostavne zlonamjerne radosti prodora u tuđe računalo (i skrivanja tragova strane prisutnosti), do izgradnje čitavog sustava za ilegalno dobivanje povjerljivih podataka (brojevi kreditnih kartica ili izvorni kod kao u slučaju Polovine -Život 2).
Općenito, rootkiti na razini aplikacije manje su opasni i lakše ih je otkriti. Ali ako program koji koristite za praćenje svojih financija dobije „zakrpljen“ rootkitom, novčani gubitak može biti značajan - tj. Napadač može upotrijebiti podatke vaše kreditne kartice za kupnju nekoliko predmeta i ako to ne učinite ' primijetite sumnjive aktivnosti na svom saldu na kreditnoj kartici, najvjerojatnije je da novac više nikad nećete vidjeti.
U usporedbi s rootkitima na razini kernela, rootkiti na razini aplikacije izgledaju slatko i bezopasno. Zašto? Jer teoretski, rootkit na razini jezgre otvara sva vrata u sustav. Nakon što se otvore vrata, drugi oblici zlonamjernog softvera mogu tada kliznuti u sustav. Imati infekciju rootkitom na razini kernela i ne moći je lako otkriti i ukloniti (ili uopće, kao što ćemo vidjeti sljedeće) znači da netko drugi može imati potpunu kontrolu nad vašim računalom i može ga koristiti na bilo koji način koji želi - na primjer, da se pokrene napad na druge strojeve, stvarajući dojam da napad potječe s vašeg računala, a ne s nekog drugog mjesta.
Otkrivanje i uklanjanje korijena
Nije da je druge vrste zlonamjernog softvera lako otkriti i ukloniti, ali rootkiti na razini kernela su posebna katastrofa. U određenom smislu, to je Catch 22 - ako imate rootkit, vjerovatno je da će sistemske datoteke potrebne za anti-rootkit softver biti izmijenjene i stoga se rezultatima provjere ne može vjerovati. Nadalje, ako se pokreće rootkit, on može uspješno izmijeniti popis datoteka ili popis pokrenutih procesa na koje se oslanjaju antivirusni programi, osiguravajući tako lažne podatke. Također, pokrenuti rootkit može jednostavno ukloniti antivirusne programske procese iz memorije, uzrokujući da se aplikacija neočekivano zatvori ili prekine. Međutim, čineći to posredno pokazuje svoju prisutnost, pa se može dogoditi sumnja kada nešto pođe po zlu, posebno kod softvera koji održava sigurnost sustava.
Preporučeni način otkrivanja prisutnosti rootkita je podizanje sustava s nekog drugog medija, za koji se zna da je čist (tj. Sigurnosna kopija ili CD-ROM za spašavanje) i provjeravanje sumnjivog sustava. Prednost ove metode je u tome što rootkit neće biti pokrenut (stoga se neće moći sakriti) i sistemske datoteke neće biti aktivno priređene.
Postoje načini otkrivanja i pokušaja uklanjanja rootkita. Jedan je način da imate čiste MD5 otiske prstiju izvornih sistemskih datoteka kako biste usporedili otiske otisaka trenutnih sistemskih datoteka. Ova metoda nije baš pouzdana, ali je bolja nego ništa. Upotreba programa za uklanjanje pogrešaka kernela pouzdanija je, ali zahtijeva dubinsko poznavanje operativnog sustava. Čak će i većina administratora sustava rijetko pribjeći tome, pogotovo kada postoje besplatni dobri programi za otkrivanje rootkita, poput Marc Russinovich's RootkitRevealer. Ako odete na njegovu stranicu, naći ćete detaljne upute kako koristiti program.
Ako na računalu prepoznate rootkit, sljedeći korak je da biste ga se riješili (lakše rečeno nego učiniti). Uklanjanje nije s mogućnošću, osim ako ne želite ukloniti i cijeli operativni sustav! Najočiglednije rješenje - brisanje zaraženih datoteka (pod uvjetom da znate koje su to točno skrivene) apsolutno je neprimjenjivo kada su u pitanju vitalne sistemske datoteke. Ako izbrišete te datoteke, vjerojatno je da više nikad nećete moći ponovno pokrenuti Windows. Možete isprobati nekoliko aplikacija za uklanjanje rootkita, poput UnHackMe ili F-Secure BlackLight Beta, ali ne računajte na njih previše da bi mogli sigurno ukloniti štetočine.
Možda zvuči kao šok terapija, ali jedini dokazani način uklanjanja rootkita je formatiranje tvrdog diska i ponovna instalacija operativnog sustava (naravno, iz čistog instalacijskog medija!). Ako imate pojma odakle ste dobili rootkit (je li on skupljen u drugom programu ili vam ga je netko poslao putem e-maila?), Nemojte ni pomišljati ponovno pokrenuti ili istrošiti izvor zaraze!
Poznati primjeri korijena
Rootkiti se u nedogled koriste već godinama, ali tek sve do prošle godine kada su se pojavili u naslovima vijesti. Slučaj Sony-BMG s njihovom tehnologijom Digital Right Management (DRM) koja je štitila neovlašteno kopiranje s CD-a instaliranjem rootkita na korisnikov stroj izazvao je oštre kritike. Bilo je tužbi i kriminalističke istrage. Sony-BMG je morao povući svoje CD-ove iz dućana i zamijenjene kupljene primjerke čistim, prema nagodbi slučaja. Sony-BMG optužen je za tajno skrivanje sistemskih datoteka u pokušaju da sakrije prisutnost programa zaštite od kopiranja koji je također koristio slanje privatnih podataka na web mjesto tvrtke Sony. Ako je korisnik deinstalirao program, CD pogon prestaje raditi. U stvari, ovaj program zaštite autorskih prava kršio je sva prava na privatnost, koristio je ilegalne tehnike koje su tipične za tu vrstu zlonamjernog softvera i, iznad svega, ostavljao je žrtvovo računalo ranjivim na različite vrste napada. Bilo je tipično za veliku korporaciju, poput Sony-BMG-a, najprije prijeći arogantan put izjavljujući da, ako većina ljudi ne zna što je rootkit, i zašto bi im bilo stalo da ga imaju. Pa, da nije bilo momaka poput Marka Roussinovicha, koji je prvi zazvonio zvonom o Sonyjevom rootkitu, trik bi mogao funkcionirati i milijuni računala bili bi zaraženi - prilično globalni prijestup u navodnoj obrani intelektualca tvrtke nekretnine!
Slično je i u slučaju Sonyja, ali kad nije bilo potrebno spajanje na Internet, slučaj je Norton SystemWorks. Istina je da se oba slučaja ne mogu usporediti s etičkog ili tehničkog stajališta, jer iako Nortonov rootkit (ili tehnologija slična rootkitu) modificira sistemske datoteke sustava Windows kako bi se smjestio u Norton zaštićeni koš za smeće, Norton se teško može optužiti za zlonamjerne namjere ograničavanja. korisnička prava ili korist od rootkita, kao što je slučaj sa Sonyjem. Svrha skrivanja bila je sakriti od svih (korisnika, administratora itd.) I svega (drugi programi, sam Windows) sigurnosnu kopiju datoteka koje su korisnici izbrisali, a to se kasnije može vratiti iz ovog sigurnosnog spremnika. Funkcija Zaštićenog koš za smeće bila je dodavanje još jedne sigurnosne mreže protiv brzih prstiju koji se prvo izbrišu, a zatim misle jesu li izbrisali pravu datoteku (e), što je dodatni način za vraćanje datoteka koje su izbrisane iz korpe za otpatke ( ili koji su zaobišli koš za smeće).
Ova dva primjera teško su najteži slučajevi rootkit aktivnosti, ali ih je vrijedno spomenuti jer su privlačenjem pozornosti na ove konkretne slučajeve javni interesi privukli rootkitima u cjelini. Nadamo se da sada više ljudi ne samo da zna što je rootkit, nego ih brine ako ga imaju i moći će ih otkriti i ukloniti!