Rootkity je možné pomenovať ako technicky najnáročnejšiu formu škodlivého kódu (malware) a jednu z najťažšie odhaliteľných a odstrániteľných. Zo všetkých typov škodlivého softvéru majú najväčšiu publicitu pravdepodobne vírusy a červy, pretože sú všeobecne rozšírené. Mnoho ľudí je známe, že boli zasiahnutí vírusom alebo červom, ale to rozhodne neznamená, že vírusy a červy sú najničivejším škodlivým softvérom odrody. Existuje viac nebezpečných typov škodlivého softvéru, pretože spravidla fungujú v utajenom režime, je ťažké ich odhaliť a odstrániť a môžu zostať bez povšimnutia na veľmi dlhé časové obdobia, ticho získavajú prístup, kradnú údaje a upravujú súbory na počítači obete.,
Príkladom takéhoto tajne nepriateľa sú rootkity - súbor nástrojov, ktoré môžu nahradiť alebo zmeniť spustiteľné programy alebo dokonca jadro samotného operačného systému, aby sa získal prístup k systému na úrovni správcu, ktorý sa môže použiť na inštaláciu spyware, keyloggery a ďalšie škodlivé nástroje. V podstate rootkit umožňuje útočníkovi získať úplný prístup k počítaču obete (a prípadne k celej sieti, do ktorej počítač patrí). Jedným zo známych použití rootkitu, ktorý spôsobil značné straty / poškodenie, bolo krádež zdrojového kódu hry Valve's Half-Life 2: Source game engine.
Rootkity nie sú nič nové - existujú už roky a je známe, že ovplyvnili rôzne operačné systémy (Windows, UNIX, Linux, Solaris atď.). Keby to nebolo kvôli jednému alebo dvom hromadným incidentom s rootkitmi (pozri časť Slávne príklady), ktoré na ne upútali pozornosť verejnosti, mohli by sa opäť upustiť od povedomia, s výnimkou malého okruhu bezpečnostných odborníkov. K dnešnému dňu rootkity neuvoľnili svoj plný deštrukčný potenciál, pretože nie sú tak rozšírené ako iné formy škodlivého softvéru. To však môže byť len málo pohodlia.
Odhalené mechanizmy rootkitov
Podobne ako trójske kone, vírusy a červy, aj rootkity sa inštalujú využívaním nedostatkov v oblasti zabezpečenia siete a operačného systému, často bez zásahu používateľa. Aj keď existujú rootkity, ktoré môžu prísť ako príloha k e-mailu alebo vo zväzku s legitímnymi softvérovými programami, sú neškodné, kým používateľ neotvorí prílohu alebo nenainštaluje program. Na rozdiel od menej sofistikovaných foriem malwaru rootkity prenikajú veľmi hlboko do operačného systému a vynakladajú špeciálne úsilie na zamaskovanie ich prítomnosti - napríklad úpravou systémových súborov.
V zásade existujú dva typy rootkitov: rootkity na úrovni jadra a rootkity na úrovni aplikácií. Korelové rootkity na úrovni jadra pridávajú kód alebo upravujú jadro operačného systému. Dosiahne sa to inštaláciou ovládača zariadenia alebo modulu, ktorý sa dá načítať, ktorý mení systémové výzvy na skrytie prítomnosti útočníka. Ak sa teda pozriete do svojich protokolových súborov, neuvidíte v systéme žiadnu podozrivú aktivitu. Koreňové sady na aplikačnej úrovni sú menej sofistikované a vo všeobecnosti je ich ľahšie odhaliť, pretože skôr upravujú spustiteľné súbory aplikácií než samotný operačný systém. Pretože systém Windows 2000 hlási užívateľovi každú zmenu spustiteľného súboru, je pre útočníka ťažšie zostať nepovšimnutý.
Prečo Rootkits predstavujú riziko
Rootkity môžu fungovať ako backdoor a vo svojej misii zvyčajne nie sú sami - často ich sprevádza spyware, trójske kone alebo vírusy. Ciele rootkitov sa môžu líšiť od jednoduchej škodlivej radosti z prenikania do počítača niekoho iného (a skrývania stôp po cudzej prítomnosti) až po vybudovanie celého systému na nezákonné získavanie dôverných údajov (čísla kreditných kariet alebo zdrojový kód ako v prípade polovice). -Life 2).
Všeobecne sú rootkity na aplikačnej úrovni menej nebezpečné a ľahšie detekovateľné. Ak však program, ktorý používate na sledovanie svojich financií, „opraví“ rootkit, potom by mohla byť značná peňažná strata - tj útočník môže použiť údaje o vašej kreditnej karte na nákup niekoľkých položiek a ak nie, • Všimnite si podozrivú aktivitu na zostatku na kreditnej karte v pravý čas, je pravdepodobné, že už nikdy neuvidíte peniaze.
V porovnaní s rootkitmi na úrovni jadra vyzerajú rootkity na úrovni aplikácií sladké a neškodné. Prečo? Pretože teoreticky rootkit na úrovni jadra otvára všetky dvere systému. Po otvorení dverí sa môžu do systému vkĺznuť ďalšie formy škodlivého softvéru. Ak budete mať rootkitovú infekciu na úrovni jadra a nebudete ju schopní ľahko zistiť a odstrániť (alebo vôbec, ako uvidíme ďalej), znamená to, že niekto iný môže mať úplnú kontrolu nad vaším počítačom a môže ho použiť akýmkoľvek spôsobom, ktorý poteší - napríklad na iniciáciu útoku na iné počítače, čo vyvoláva dojem, že útok pochádza z vášho počítača a nie z iného miesta.
Zisťovanie a odstraňovanie rootkitov
Nie to, že iné typy škodlivého softvéru sa dajú ľahko zistiť a odstrániť, ale rootkity na úrovni jadra sú obzvlášť katastrofou. V istom zmysle je to Catch 22 - ak máte rootkit, pravdepodobne sa upravia systémové súbory potrebné pre softvér anti-rootkit, a preto výsledky kontroly nemôžu byť dôveryhodné. A čo viac, ak je rootkit spustený, môže úspešne zmeniť zoznam súborov alebo zoznam spustených procesov, na ktoré sa antivírusové programy spoliehajú, čím poskytuje falošné údaje. Bežiaci rootkit tiež môže jednoducho uvoľniť antivírusové programové procesy z pamäte, čo spôsobí, že sa aplikácia vypne alebo neočakávane ukončí. Ak to však nepriamo preukáže svoju prítomnosť, môže dôjsť k podozreniu, keď sa niečo pokazí, najmä so softvérom, ktorý udržuje bezpečnosť systému.
Odporúčaným spôsobom na zistenie prítomnosti rootkitu je zavedenie z alternatívneho média, o ktorom je známe, že je čisté (tj zo zálohy alebo záchranného CD-ROM) a skontrolovanie podozrivého systému. Výhodou tejto metódy je, že rootkit nebude spustený (preto sa nebude môcť skryť) a systémové súbory nebudú aktívne poškodené.
Existujú spôsoby, ako zistiť a (pokúsiť sa) odstrániť rootkity. Jedným zo spôsobov je mať čisté odtlačky prstov MD5 pôvodných systémových súborov na porovnanie súčasných odtlačkov prstov systémových súborov. Táto metóda nie je veľmi spoľahlivá, ale je lepšia ako nič. Používanie ladiaceho programu jadra je spoľahlivejšie, vyžaduje si však dôkladnú znalosť operačného systému. Aj väčšina správcov systému sa k tomu zriedka uchýli, najmä ak existujú bezplatné programy na detekciu rootkitov, ako napríklad RockitRevealer Marca Russinoviča. Ak pôjdete na jeho stránku, nájdete podrobné pokyny, ako program používať.
Ak v počítači zistíte rootkit, ďalším krokom je jeho odstránenie (ľahšie povedané ako urobené). U niektorých rootkitov nie je odstránenie možné, pokiaľ nechcete odstrániť aj celý operačný systém! Najviditeľnejšie riešenie - vymazanie infikovaných súborov (za predpokladu, že viete, ktoré z nich sú presne maskované) je absolútne neuplatniteľné, pokiaľ ide o dôležité systémové súbory. Ak tieto súbory odstránite, je pravdepodobné, že už nikdy nebudete môcť systém Windows zaviesť. Môžete vyskúšať niekoľko aplikácií na odstránenie rootkitov, napríklad UnHackMe alebo F-Secure BlackLight Beta, ale nespoliehajte sa na ne, že by ste mohli škodcu bezpečne odstrániť.
Môže to znieť ako šoková terapia, ale jediným osvedčeným spôsobom, ako odstrániť rootkit, je formátovanie pevného disku a opätovná inštalácia operačného systému (samozrejme z čistého inštalačného média!). Ak máte potuchy, odkiaľ ste rootkit dostali (bolo to spojené s iným programom, alebo vám ho niekto poslal e-mailom?), Nepremýšľajte o spustení alebo opätovnom zistení zdroja infekcie!
Slávne príklady rootkitov
Rootkity sa tajne používajú už roky, ale až do minulého roka, keď sa objavili v titulkoch správ. Prípad Sony-BMG s technológiou Digital Right Management (DRM), ktorá chránila neoprávnené kopírovanie CD inštaláciou rootkitu na stroj používateľa, vyvolala ostrú kritiku. Tam boli súdne spory a vyšetrovanie trestných činov. Spoločnosť Sony-BMG musela stiahnuť CD z obchodov a kúpiť zakúpené kópie za čisté, podľa urovnania prípadu. Spoločnosť Sony-BMG bola obvinená z tajného maskovania systémových súborov v snahe zakryť prítomnosť programu na ochranu proti kopírovaniu, ktorý slúžil aj na odosielanie súkromných údajov na stránky spoločnosti Sony. Ak bol program odinštalovaný používateľom, jednotka CD sa stala nefunkčnou. V skutočnosti tento program na ochranu autorských práv porušil všetky práva na súkromie, použil nezákonné techniky, ktoré sú typické pre tento druh škodlivého softvéru, a predovšetkým nechal počítač obete vystavený rôznym útokom. Pre veľkú spoločnosť, ako je napríklad Sony-BMG, bolo typické ísť najskôr arogantne a uviesť, že ak väčšina ľudí nevie, čo je rootkit, a prečo by im záležalo na tom, aby ho mali. Ak by neexistovali ľudia ako Mark Roussinovich, ktorý ako prvý zazvonil na rootkit od spoločnosti Sony, trik by mohol fungovať a nakaziť sa milióny počítačov - čo je celkom globálny trestný čin v údajnej obrane intelektuálov spoločnosti majetok!
Podobne ako v prípade spoločnosti Sony, ale keď nebolo potrebné pripojenie na internet, je to prípad Norton SystemWorks. Je pravda, že oba prípady nemožno porovnávať z etického alebo technického hľadiska, pretože zatiaľ čo rootkit spoločnosti Norton (alebo technológia typu rootkit) modifikuje systémové súbory systému Windows tak, aby vyhovovali chránenému kôšu Norton, Nortonovi sa ťažko dá obviniť zo škodlivých úmyslov obmedziť užívateľské práva alebo ťažiť z rootkitu, ako je to v prípade spoločnosti Sony. Účelom maskovania bolo skryť pred všetkými (používateľmi, správcami atď.) A všetkým (iné programy, samotný Windows) záložný adresár súborov, ktoré používatelia odstránili, a ktoré je možné neskôr z tohto záložného adresára obnoviť. Funkciou chráneného koša bolo pridať ďalšiu bezpečnostnú sieť proti rýchlym prstom, ktoré sa najskôr vymažú, a potom sa zamyslieť, či odstránili správny súbor (súbory), čo poskytuje ďalší spôsob obnovenia súborov, ktoré boli odstránené z koša ( alebo ktoré obchádzali Kôš).
Tieto dva príklady sú sotva najzávažnejšími prípadmi činnosti rootkitov, ale stojí za zmienku, pretože pritiahnutím pozornosti na tieto konkrétne prípady sa rootkity ako celok pritiahli. Dúfajme, že teraz viac ľudí nielen vie, čo je rootkit, ale záleží na tom, či ho majú, a bude ich schopný zistiť a odstrániť!
