Рооткити се могу назвати најсавременијим обликом злонамерног кода (малваре-а) и једним од најтежих за откривање и уклањање. Од свих врста злонамјерног софтвера, вероватно вируси и црви добијају највише јавности јер су углавном распрострањени. Познато је да су многи људи били погођени вирусом или црвима, али то дефинитивно не значи да су вируси и црви најразорнија врста злонамерног софтвера. Постоје опасније врсте злонамјерног софтвера, јер је у правилу раде у прикривеном начину рада, тешко их је открити и уклонити и могу проћи неопажено током дугог периода, тихо добијајући приступ, крађу података и модификујући датотеке на машини жртве .
Пример таквог прикривеног непријатеља су рооткити - збирка алата који могу заменити или променити извршне програме, или чак језгро самог оперативног система, како би се добио приступ на нивоу администратора систему, који се може користити за инсталирање шпијунски софтвер, кеилоггер-ове и друге злонамерне алате. У суштини, рооткит омогућава нападачу да добије потпун приступ преко машине жртве (и вероватно целој мрежи којој та машина припада). Једна од познатих употреба рооткита која је проузроковала значајне губитке / оштећења била је крађа изворног кода Валве-овог Халф-Лифе 2: Соурце гаме енгине-а.
Рооткити нису нешто ново - постоје већ годинама, а познато је да делују на различитим оперативним системима (Виндовс, УНИКС, Линук, Соларис, итд.). Да није једне или двије масовне појаве рооткит инцидената (види одјељак Познати примјери), који су на њих скренули пажњу јавности, можда би поново избјегли свијест, осим малог круга сигурносних стручњака. Од данас, рооткити нису ослободили свој пуни деструктивни потенцијал јер нису толико раширени као други облици злонамерног софтвера. Међутим, ово може бити мало лагодно.
Изложени коријенски механизми
Слично као тројански коњи, вируси и црви, рооткити се инсталирају тако што користе недостатке у мрежној сигурности и оперативном систему, често без корисничке интеракције. Иако постоје рооткити који могу доћи као прилог е-пошти или у пакету са легитимним софтверским програмима, они су безопасни док корисник не отвори привитак или не инсталира програм. Али за разлику од мање софистицираних облика злонамерног софтвера, рооткити се инфилтрирају веома дубоко у оперативни систем и улажу посебне напоре како би прикрили своје присуство - на пример, модификујући системске датотеке.
У основи постоје две врсте рооткита: рооткити на нивоу кернела и рооткити на нивоу апликације. Рооткити на нивоу кернела додају код или мењају кернел оперативног система. То се постиже инсталирањем управљачког програма уређаја или модула за учитавање, који мења системске позиве како би сакрио присуство нападача. Стога, ако погледате у своје датотеке дневника, нећете видјети никакве сумњиве активности на систему. Рооткити на нивоу апликације су мање софистицирани и опћенито их је лакше открити јер модифицирају извршне апликације, а не сам оперативни систем. Будући да Виндовс 2000 пријављује кориснику сваку промену извршне датотеке, нападачу је отежано да прође неопажено.
Зашто коријенски комплети представљају ризик
Рооткити могу деловати као стражња врата и обично нису сами у својој мисији - често их прате шпијунски софтвер, тројански коњи или вируси. Циљеви рооткита могу се разликовати од једноставне злонамјерне радости продора у туђи рачунар (и скривања трагова страног присуства), до изградње читавог система за илегално добијање поверљивих података (бројеви кредитних картица или изворног кода као у случају Половине -Живот 2).
Генерално, рооткити на нивоу апликације су мање опасни и лакше их је открити. Али ако програм који користите за праћење ваших финансија буде „закрпљен“ рооткитом, онда би монетарни губитак могао да буде значајан - тј. Нападач може да користи податке ваше кредитне картице за куповину неколико предмета и ако то не учините „ приметите сумњиве активности на свом салду на кредитној картици, највероватније је да новац више никада нећете видети.
У поређењу са рооткитима на нивоу кернела, рооткити на нивоу апликације изгледају слатко и безопасно. Зашто? Јер у теорији, рооткит на нивоу кернела отвара сва врата у систему. Једном када се врата отворе, други облици злонамерног софтвера могу затим клизнути у систем. Имати инфекцију рооткитом на нивоу кернела и не бити у стању да га лако открије и уклони (или уопште, као што ћемо видети следеће) значи да неко други може имати потпуну контролу над рачунаром и може га користити на било који начин на који жели - на пример, да покренете напад на друге машине, стварајући утисак да напад потиче са вашег рачунара, а не негде другде.
Откривање и уклањање рооткита
Није да је друге врсте злонамјерног софтвера лако открити и уклонити, али рооткити на нивоу кернела су посебна катастрофа. У одређеном смислу, ријеч је о Цатцх 22 - ако имате рооткит, вјероватно је да ће системске датотеке потребне за анти-рооткит софтвер бити измијењене и стога се резултатима провјере не може вјеровати. Шта више, ако се покреће рооткит, он може успешно изменити списак датотека или листу покренутих процеса на које се ослањају антивирусни програми, пружајући тако лажне податке. Такође, покренути рооткит може једноставно испразнити процесе антивирусних програма из меморије, узрокујући да се апликација неочекивано искључи или прекине. Међутим, радећи то индиректно показује своју присутност, па човек може постати сумњичав када нешто пође по злу, посебно у вези са софтвером који одржава безбедност система.
Препоручени начин откривања присутности рооткита је покретање са алтернативног медија, за који се зна да је чист (тј. Резервну копију или ЦД-РОМ за спасавање) и провери сумњиви систем. Предност ове методе је у томе што рооткит неће бити покренут (стога се неће моћи сакрити) и системске датотеке неће бити активно измењене.
Постоје начини за откривање и (покушај) уклањања рооткита. Један од начина је да се очисте отисци прстију МД5 изворних системских датотека како би се упоредили отисци отисака тренутних системских датотека. Ова метода није баш поуздана, али је боља него ништа. Употреба исправљача кернел-а је поузданија, али захтева дубинско познавање оперативног система. Чак ће и већина системских администратора ретко прибећи томе, посебно када постоје бесплатни добри програми за откривање рооткита, попут РооткитРевеалера Марца Руссиновицха. Ако одете на његову страницу, пронаћи ћете детаљна упутства како користити програм.
Ако на рачунару откријете рооткит, следећи корак је да бисте се решили (лакше речено него урадити). Са неким рооткитима уклањање није опција, осим ако такође не желите уклонити цео оперативни систем! Најочигледније решење - брисање заражених датотека (под условом да знате које су тачно скривене) је апсолутно непримењиво, када су у питању виталне системске датотеке. Ако избришете ове датотеке, вероватноћа је да више никада нећете моћи да покренете Виндовс. Можете испробати неколико апликација за уклањање рооткита, попут УнХацкМе или Ф-Сецуре БлацкЛигхт Бета, али не рачунајте на њих превише да бисте могли безбедно уклонити штеточине.
Можда звучи као шок терапија, али једини доказани начин уклањања рооткита је форматирање тврдог диска и поновна инсталација оперативног система (из чистог инсталационог медија, наравно!). Ако имате појма одакле сте добили рооткит (да ли је био у пакету са неким другим програмом или вам га је неко послао путем е-маила?), Немојте ни помишљати да покренете или истанлирате извор заразе!
Познати примери коријена
Рооткити су у сталној употреби већ годинама, али тек све до прошле године када су се појавили у насловима вести. Случај Сони-БМГ са њиховом технологијом Дигитал Ригхт Манагемент (ДРМ) која је штитила неовлашћено копирање са ЦД-а инсталирањем рооткита на корисникову машину изазвао је оштре критике. Било је тужби и кривичне истраге. Сони-БМГ је морао да повуче своје ЦД-ове из продавница и замене купљене копије чистим, у складу са решењем случаја. Сони-БМГ је оптужен да је потајно скривао системске датотеке у покушају да сакрије присуство програма за заштиту од копирања који је такође користио за слање приватних података на Сони-ову локацију. Ако је корисник деинсталирао програм, ЦД погон ће се зауставити. У ствари, овај програм заштите ауторских права прекршио је сва права на приватност, користио је илегалне технике које су типичне за ту врсту злонамјерног софтвера и, пре свега, оставио је рачунар жртве рањивим на разне нападе. Било је типично за велику корпорацију, попут Сони-БМГ-а, да прво иде арогантан пут изјављујући да, ако већина људи не зна шта је рооткит, и зашто би их било брига да га имају. Па, да није било момака попут Марка Роуссиновицха, који је први зазвонио звоном о Сонијевом рооткиту, трик би могао да функционише и милиони рачунара били би инфицирани - прилично глобални преступ у наводној одбрани интелектуалца компаније својство!
Слично је са случајем Сони, али када није било потребно повезивати се на Интернет, случај је и са Нортон СистемВоркс. Тачно је да се оба случаја не могу упоредити са етичког или техничког становишта, јер иако Нортонов рооткит (или рооткит технологија) модификује системске датотеке система Виндовс како би се прилагодио Нортоновим заштићеним корпама, Нортон се тешко може оптужити за злонамјерне намере да их ограниче. корисничка права или корист од рооткита, као што је случај са Сони-ом. Сврха прикривања била је сакривање од свих (корисника, администратора итд.) И свега (други програми, сам Виндовс) резервни директоријум датотека које су корисници избрисали и које се касније могу вратити из овог директорија сигурносних копија. Функција Заштићеног корпе за смеће била је додавање још једне сигурносне мреже против брзих прстију који се прво избришу, а затим мисле да ли су избрисали праве датотеке (датотеке), што би омогућило додатни начин за враћање датотека које су избрисане из корпе ( или који су заобишли кош за смеће).
Ова два примера су најтежи случајеви рооткит активности, али их је вредно поменути јер су привлачењем пажње на ове конкретне случајеве јавни интереси привучени рооткитима у целини. Надамо се да сада више људи не само да зна шта је рооткит, него их брине ако га имају и моћи ће их открити и уклонити!
