Rootkite lahko poimenujemo najbolj tehnično izpopolnjena oblika zlonamerne kode (zlonamerna programska oprema) in ena najtežjih za odkrivanje in odpravljanje. Od vseh vrst zlonamerne programske opreme verjetno najbolj virusi in črvi dobijo največ javnosti, ker so na splošno razširjeni. Številni ljudje so znani, da jih je prizadel virus ali črv, vendar to vsekakor ne pomeni, da so virusi in črvi najbolj uničujoča zlonamerna programska oprema. Obstajajo bolj nevarne vrste zlonamerne programske opreme, saj jih praviloma deluje v prikritem načinu, jih je težko zaznati in odstraniti in lahko zelo dolgo ostanejo neopaženi, tiho pridobijo dostop, kradejo podatke in spreminjajo datoteke na računalniku žrtve .
Primer takšnega sovražnega sovražnika so rootkiti - zbirka orodij, ki lahko nadomestijo ali spremenijo izvedljive programe ali celo jedro samega operacijskega sistema, da dobijo skrbniški dostop do sistema, ki ga je mogoče uporabiti za namestitev vohunsko programsko opremo, keyloggerje in druga zlonamerna orodja. V bistvu rootkit omogoča napadalcu popoln dostop do žrtve žrtve (in po možnosti do celotnega omrežja, ki mu pripada stroj). Ena izmed znanih uporab rootkitov, ki je povzročila znatno izgubo / škodo, je bila tatvina izvorne kode Valvejevega Half-Life 2: Source game engine-ja.
Rootkiti niso nekaj novega - obstajajo že več let in znano je, da delujejo v različnih operacijskih sistemih (Windows, UNIX, Linux, Solaris itd.). Če ne bi prišlo do enega ali dveh množičnih dogodkov incidentov rootkitov (glej poglavje Znani primeri), ki so na njih opozorili javnost, bi se jim morda znova izognili, razen majhnega kroga varnostnih strokovnjakov. Od danes rootkiti niso sprostili svojega celotnega uničevalnega potenciala, saj niso tako razširjeni kot druge oblike zlonamerne programske opreme. Vendar je to lahko malo udobja.
Izpostavljeni Rootkit mehanizmi
Podobno kot trojanski konji, virusi in črvi se tudi rootkiti namestijo z izkoriščanjem napak v omrežni varnosti in operacijskem sistemu, pogosto brez interakcije uporabnika. Čeprav obstajajo rootkiti, ki lahko prihajajo kot priloga e-pošte ali v paketu z zakonitimi programskimi programi, so neškodljivi, dokler uporabnik ne odpre priloge ali namesti programa. Toda za razliko od manj zapletenih oblik zlonamerne programske opreme se rootkiti prebijejo zelo globoko v operacijski sistem in si posebno prizadevajo, da prikrijejo svojo prisotnost - na primer s spreminjanjem sistemskih datotek.
V bistvu obstajata dve vrsti rootkitov: rootkiti na ravni jedra in rootkiti na ravni aplikacije. Rootkiti na ravni jedra dodajo kodo ali spremenijo jedro operacijskega sistema. To dosežemo z namestitvijo gonilnika naprave ali modula za nalaganje, ki spremeni sistemske klice, da skrije prisotnost napadalca. Če torej pogledate v svoje dnevniške datoteke, v sistemu ne boste videli nobenih sumljivih dejavnosti. Rootkiti na ravni aplikacij so manj zapleteni in jih je na splošno lažje zaznati, ker spreminjajo izvršljive aplikacije, ne pa operacijski sistem. Ker Windows 2000 poroča uporabniku o vsaki spremembi izvršljive datoteke, je napadalcu težje, da ostane neopaženo.
Zakaj korenine predstavljajo tveganje
Rootkiti lahko delujejo kot zakulisje in v svojem poslanstvu ponavadi niso sami - pogosto jih spremljajo vohunska programska oprema, trojanski konji ali virusi. Cilji rootkita se lahko razlikujejo od preprostega zlonamernega veselja do prodiranja v nekdo drug računalnik (in skrivanja sledi tuje prisotnosti), do izdelave celotnega sistema za nezakonito pridobivanje zaupnih podatkov (številke kreditnih kartic ali izvorne kode, kot je v primeru polovice Življenje 2).
Na splošno so rootkiti na ravni aplikacije manj nevarni in jih je lažje zaznati. Če pa program, ki ga uporabljate za spremljanje vaših financ, postane "zakrpan" z rootkitom, bi bila denarna izguba lahko pomembna - tj. Napadalec lahko uporabi podatke vaše kreditne kartice za nakup nekaj predmetov in če ne " pravočasno opazite sumljive aktivnosti na stanju na svoji kreditni kartici, najverjetneje denarja ne boste nikoli več videli.
V primerjavi z rootkiti na ravni jedra so rootkiti na ravni aplikacije videti sladki in neškodljivi. Zakaj? Ker teoretično rootkit na ravni jedra odpira vsa vrata v sistem. Ko so vrata odprta, lahko v sistem nato zdrsnejo druge oblike zlonamerne programske opreme. Če okužite rootkit na ravni jedra in ga ne morete zaznati in odstraniti enostavno (ali sploh, kot bomo videli naprej), pomeni, da ima nekdo drug popoln nadzor nad vašim računalnikom in ga lahko uporablja na poljuben način - na primer za začetek napada na druge stroje, s čimer naredite vtis, da napad izvira iz vašega računalnika in ne od drugod.
Zaznavanje in odstranjevanje korenovk
Ne da je druge vrste zlonamerne programske opreme enostavno zaznati in odstraniti, vendar so rootkiti na ravni jedra posebna katastrofa. V nekem smislu gre za Catch 22 - če imate rootkit, bodo verjetno sistemske datoteke, ki jih potrebuje programska oprema anti-rootkit, spremenjene, zato rezultatom preverjanja ni mogoče zaupati. Še več, če se izvaja rootkit, lahko uspešno spremeni seznam datotek ali seznam izvajanih procesov, na katere se zanašajo protivirusni programi, in tako zagotavlja ponarejene podatke. Tudi tekoči rootkit lahko preprosto odstrani procese protivirusnih programov iz pomnilnika, kar povzroči, da se aplikacija nenadoma ustavi ali ustavi. Vendar s tem posredno pokaže svojo prisotnost, zato lahko postanemo sumljivi, ko gre kaj narobe, zlasti s programsko opremo, ki vzdržuje varnost sistema.
Priporočen način za odkrivanje prisotnosti rootkita je zagon z alternativnega medija, za katerega je znano, da je čist (tj. Varnostna kopija ali reševalni CD-ROM) in preverite sumljiv sistem. Prednost te metode je, da rootkit ne bo zagnan (zato se ne bo mogel skriti) in sistemske datoteke ne bodo aktivno posežene.
Obstajajo načini zaznavanja in (poskusa) odstranitve rootkitov. Eden od načinov je imeti čiste prstne odtise MD5 izvirnih sistemskih datotek za primerjavo prstnih odtisov trenutnih sistemskih datotek. Ta metoda ni zelo zanesljiva, vendar je boljša kot nič. Uporaba razhroščevalca jedra je bolj zanesljiva, vendar zahteva poglobljeno znanje operacijskega sistema. Tudi večina sistemskih skrbnikov se le redko zateče k njim, še posebej, če obstajajo brezplačni dobri programi za odkrivanje rootkitov, kot je Marc Russinovich's RootkitRevealer. Če greste na njegovo spletno mesto, boste našli podrobna navodila za uporabo programa.
Če v računalniku zaznate rootkit, je naslednji korak, da se ga znebite (lažje rečeno kot storiti). Odstranjevanje z nekaterimi rootkiti ni možno, razen če želite odstraniti celoten operacijski sistem! Najbolj očitna rešitev - izbrisati okužene datoteke (pod pogojem, da veste, katere so točno prikrite), kadar gre za vitalne sistemske datoteke, je popolnoma neprimerno. Če izbrišete te datoteke, obstaja velika verjetnost, da ne boste mogli več zagnati sistema Windows. Poskusite lahko nekaj aplikacij za odstranjevanje rootkitov, kot sta UnHackMe ali F-Secure BlackLight Beta, vendar ne računajte, da bodo na njih preveč, da bi lahko škodljivo odstranili škodljivca.
Morda se sliši kot šok terapija, vendar je edini preizkušen način odstranitve rootkita s formatiranjem trdega diska in znova namestitvijo operacijskega sistema (seveda s čistega namestitvenega medija!). Če imate pojma, od kod ste dobili rootkit (ali je bil v paketu v drugem programu ali vam ga je kdo poslal po e-pošti?), Niti ne pomislite, da bi ponovno okužil ali izničil vir okužbe!
Znani primeri Rootkitov
Rootkiti so že nekaj let v pridi, vendar le do lanskega leta, ko so se pojavili v naslovih novic. Primer Sony-BMG s tehnologijo Digital Right Management (DRM), ki je zaščitil pred nepooblaščenim kopiranjem CD-jev z namestitvijo rootkita na uporabnikov stroj, je sprožil ostre kritike. Sledile so tožbe in kazenska preiskava. Sony-BMG je moral v skladu s poravnavo primera umakniti svoje CD-je iz trgovin in kupljene kopije zamenjati s čistimi. Sony-BMG je bil obtožen skrivnega prikrivanja sistemskih datotek v poskusu skrivanja prisotnosti programa za zaščito pred kopiranjem, ki je uporabljal tudi za pošiljanje zasebnih podatkov na Sonyjevo spletno mesto. Če je uporabnik program odstranil, pogon CD ni uspel. Pravzaprav je ta program za zaščito avtorskih pravic kršil vse pravice do zasebnosti, uporabljal je nezakonite tehnike, ki so značilne za tovrstno zlonamerno programsko opremo, predvsem pa je računalnik žrtve pustil ranljiv za različne napade. Za veliko korporacijo, kot je Sony-BMG, je bilo značilno, da gre najprej na aroganten način, ko izjavi, da če večina ljudi ne ve, kaj je rootkit, in zakaj bi jim bilo mar, da bi ga imeli. No, če ne bi bilo fantov, kot je bil Mark Roussinovich, ki je prvi pozvonil o Sonyjevem rootkitu, bi trik lahko deloval in milijoni računalnikov bi bili okuženi - kar je svetovni prestop v domnevni obrambi intelektualca podjetja lastnina!
Podobno kot pri Sonyju, vendar ko ni bilo treba povezati z internetom, je to primer Norton SystemWorks. Res je, da obeh primerov z etičnega ali tehničnega vidika ni mogoče primerjati, ker čeprav Nortonov rootkit (ali rootkit podobna tehnologija) spreminja sistemske datoteke sistema Windows, da se prilagajo Norton zaščitenemu košu za smeti, Nortona skorajda ne moremo obtožiti zlonamernih namenov omejevanja uporabniške pravice ali koristi rootkita, kot je to primer pri Sonyju. Namen skrivanja je bil skriti pred vsemi (uporabniki, skrbniki itd.) In vsem (drugim programom, samim Windowsom) varnostno kopijo datotek, ki so jih uporabniki izbrisali, in jih je mogoče kasneje obnoviti iz tega varnostnega arhiva. Funkcija zaščitenega koša je bila dodati še eno varnostno mrežo pred hitrimi prsti, ki jih najprej izbrišejo, nato pa pomislijo, ali so izbrisali prave datoteke (datoteke), kar je dodaten način za obnovitev datotek, ki so bile izbrisane iz koša ( ali ki so zaobšli koš za smeti).
Ta dva primera skorajda nista najhujša primera rootkit dejavnosti, vendar jih je vredno omeniti, ker je s privlačenjem pozornosti na te posebne primere javni interes pritegnil rootkite kot celoto. Upajmo, da zdaj več ljudi ne le ve, kaj je rootkit, ampak skrbi, če ga imajo, in jih bo znalo zaznati in odstraniti!
