Rootkits могат да бъдат наречени най-сложната технически форма на злонамерен код (зловреден софтуер) и една от най-трудните за откриване и премахване. От всички видове злонамерен софтуер вероятно вирусите и червеите получават най-голяма публичност, тъй като обикновено са широко разпространени. За много хора е известно, че са били засегнати от вирус или червей, но това определено не означава, че вирусите и червеите са най-разрушителното разнообразие от зловреден софтуер. Има по-опасни видове злонамерен софтуер, тъй като по правило те работят в режим „скрит“, трудно се откриват и премахват и могат да останат незабелязани за много дълги периоди от време, безшумно получават достъп, крадат данни и променят файловете на машината на жертвата,
Пример за такъв крадлив враг са руткитите - колекция от инструменти, които могат да заменят или променят изпълними програми или дори ядрото на самата операционна система, за да получат достъп на администраторско ниво до системата, която може да се използва за инсталиране шпионски софтуер, keylogger и други злонамерени инструменти. По същество rootkit позволява на нападателя да получи пълен достъп до машината на жертвата (и евентуално до цялата мрежа, към която принадлежи машината). Едно от известните приложения на руткит, което причини значителни загуби / щети, е кражбата на изходния код на Halve-Life 2: Източник на играта на Valve.
Rootkits не са нещо ново - те съществуват от години и се знае, че са повлияли на различни операционни системи (Windows, UNIX, Linux, Solaris и др.). Ако не бяха една или две масови събития на руткитни инциденти (вж. Раздел „Известни примери“), които привлечеха общественото внимание към тях, те може би отново ще избягат от осведомеността, освен от малък кръг специалисти по сигурността. Към днешна дата руткитите не са разгърнали пълния си разрушителен потенциал, тъй като не са толкова широко разпространени, колкото другите форми на зловреден софтуер. Това обаче може да бъде малко удобно.
Разкрити механизми Rootkit
Подобно на троянските коне, вируси и червеи, руткитите се инсталират, като използват недостатъци в мрежовата сигурност и операционната система, често без взаимодействие с потребителя. Въпреки че има руткити, които могат да бъдат като прикачен файл към електронна поща или в пакет с легитимни софтуерни програми, те са безобидни, докато потребителят не отвори прикачения файл или инсталира програмата. Но за разлика от по-малко сложните форми на злонамерен софтуер, руткитите проникват много дълбоко в операционната система и полагат специални усилия, за да прикрият присъствието си - например чрез промяна на системните файлове.
По принцип има два типа руткити: rootkits на ниво ядро и rootkits на ниво приложение. Руткитите на ниво ядро добавят код за или променят ядрото на операционната система. Това се постига чрез инсталиране на драйвер на устройство или зареждащ се модул, който променя системните повиквания, за да скрие присъствието на атакуващ. По този начин, ако погледнете в лог файловете си, няма да видите подозрителна активност в системата. Руткитите на ниво приложение са по-малко усъвършенствани и като цяло са по-лесни за откриване, защото променят изпълними файлове на приложенията, а не самата операционна система. Тъй като Windows 2000 отчита всяка промяна на изпълним файл на потребителя, той затруднява нападателя да остане незабелязан.
Защо Rootkits създават риск
Rootkits могат да действат като бекдорд и обикновено не са сами в мисията си - често са придружени от шпионски софтуер, троянски коне или вируси. Целите на руткит могат да варират от обикновена злонамерена радост от проникване в компютъра на някой друг (и скриване на следите от чуждо присъствие), до изграждане на цяла система за незаконно получаване на поверителни данни (номера на кредитни карти или изходен код, както в случая на половината -Life 2).
По принцип руткитите на ниво приложение са по-малко опасни и по-лесни за откриване. Но ако програмата, която използвате, за да следите финансите си, бъде „закърпена“ от руткит, тогава паричната загуба може да бъде значителна - т.е. нападателят може да използва данните от кредитната ви карта, за да закупи няколко артикула и ако не го направите “ не забележите подозрителна активност в баланса на кредитната си карта навреме, най-вероятно е никога повече да не видите парите.
В сравнение с rootkits на ниво ядро, rootkits на ниво приложение изглеждат сладки и безобидни. Защо? Защото на теория rootkit на ниво ядро отваря всички врати към система. След като вратите са отворени, други форми на зловреден софтуер могат да се промъкнат в системата. Наличието на инфекция с rootkit на ниво ядро и невъзможността да го открием и премахнем лесно (или изобщо, както ще видим по-нататък) означава, че някой друг може да има пълен контрол над вашия компютър и да го използва по какъвто и да е начин - той или тя желае - например да инициирате атака срещу други машини, създавайки впечатление, че атаката произхожда от вашия компютър, а не от някъде другаде.
Откриване и премахване на корени
Не че другите видове злонамерен софтуер са лесни за откриване и премахване, но руткитите на ниво ядро са особена катастрофа. В известен смисъл това е Catch 22 - ако имате rootkit, тогава системните файлове, необходими от софтуера anti-rootkit, вероятно ще бъдат модифицирани и следователно резултатите от проверката не могат да се доверят. Нещо повече, ако rootkit работи, той може успешно да променя списъка с файлове или списъка с изпълнявани процеси, на които разчитат антивирусните програми, като по този начин предоставя фалшиви данни. Също така, работещият rootkit може просто да разтовари процесите на антивирусна програма от паметта, което води до изключване на приложението или прекратяване. Въпреки това, правейки това, индиректно показва присъствието си, така че човек може да стане подозрителен, когато нещо се обърка, особено със софтуер, който поддържа сигурността на системата.
Препоръчителен начин за откриване на наличието на руткит е да се стартира от алтернативен носител, за който се знае, че е чист (т.е. резервно копие или спасителен CD-ROM) и проверка на подозрителната система. Предимството на този метод е, че руткитът няма да работи (следователно той няма да може да се скрие) и системните файлове няма да бъдат подправени активно.
Има начини за откриване и (опит за) премахване на rootkits. Един от начините е да имате чисти отпечатъци на MD5 от оригиналните системни файлове, за да сравните отпечатъците на текущите системни файлове. Този метод не е много надежден, но е по-добър от нищо. Използването на отстраняване на грешки в ядрото е по-надеждно, но изисква задълбочени познания на операционната система. Дори по-голямата част от системните администратори рядко прибягват до него, особено когато има безплатни добри програми за откриване на rootkit, като например RootkitRevealer на Марк Русинович. Ако отидете на неговия сайт, ще намерите подробни инструкции как да използвате програмата.
Ако откриете rootkit на вашия компютър, следващата стъпка е да се отървете от него (по-лесно казано, отколкото направено). При някои руткити премахването не е опция, освен ако не искате да премахнете и цялата операционна система! Най-очевидното решение - да изтриете заразените файлове (при условие че знаете кои точно са скрити) е абсолютно неприложимо, когато става въпрос за жизненоважни системни файлове. Ако изтриете тези файлове, има вероятност никога повече да не можете да стартирате Windows. Можете да опитате няколко приложения за премахване на rootkit, като UnHackMe или F-Secure BlackLight Beta, но не разчитайте на тях твърде много, че да могат да премахнат вредителя безопасно.
Може да звучи като шокова терапия, но единственият доказан начин за премахване на rootkit е чрез форматиране на твърдия диск и отново инсталиране на операционната система (от чист инсталационен носител, разбира се!). Ако имате представа откъде сте взели руткита (той е бил свързан в друга програма или някой ви го е изпратил по електронната поща?), Дори не мислете отново да стартирате или да изоставяте източника на инфекция!
Известни примери за корени
Rootkits са в кражба в продължение на години, но само до миналата година, когато те се появиха в новините заглавия. Случаят на Sony-BMG с тяхната технология за управление на цифрови права (DRM), която защитава неоторизирано копиране на CD чрез инсталиране на руткит на машината на потребителя, предизвика остри критики. Имаше съдебни дела и криминално разследване. Sony-BMG трябваше да изтегли своите компактдискове от магазините и да замени закупените копия с чисти, според уреждането на случая. Sony-BMG беше обвинен в тайно прикриване на системни файлове в опит да скрие присъствието на програмата за защита от копиране, която също използва за изпращане на лични данни на сайта на Sony. Ако програмата е била деинсталирана от потребителя, CD устройството става неработещо. Всъщност тази програма за защита на авторските права наруши всички права за поверителност, използва незаконни техники, характерни за този вид злонамерен софтуер, и най-вече, остави компютъра на жертвата уязвим за различни атаки. Беше типично за голяма корпорация, като Sony-BMG, първо да тръгне по арогантния начин, като заяви, че ако повечето хора не знаят какво представлява rootkit и защо биха се интересували, че имат такъв. Е, ако нямаше момчета като Марк Русинович, който пръв позвъни на звънеца за руткита на Sony, трикът можеше да проработи и милиони компютри щяха да бъдат заразени - доста глобално престъпление в предполагаемата защита на интелектуалец на компанията Имот!
Подобно е на случая със Sony, но когато не е необходимо да се свързва към Интернет, случаят е с Norton SystemWorks. Вярно е, че и двата случая не могат да бъдат сравнявани от етична или техническа гледна точка, тъй като докато руткитът на Нортън (или като подобна на rootkit технология) модифицира системните файлове на Windows, за да приспособи защитения от Нортън кош за отпадъци, Нортън трудно може да бъде обвинен в злонамерени намерения за ограничаване права на потребителя или да се възползват от руткита, както е при Sony. Целта на прикриването беше да се скрие от всички (потребители, администратори и т.н.) и всичко (други програми, самия Windows) резервна директория на файловете, които потребителите са изтрили и които по-късно могат да бъдат възстановени от тази резервна директория. Функцията на Защитения кош е била да добави още една предпазна мрежа срещу бързи пръсти, които първо изтриват и след това мислят дали са изтрили правилните файлове (и), осигурявайки допълнителен начин за възстановяване на файлове, които са били изтрити от кошчето ( или които са заобиколили кошчето).
Тези два примера едва ли са най-тежките случаи на руткит дейност, но си струва да бъдат споменати, тъй като привличайки вниманието към тези конкретни случаи, общественият интерес беше привлечен към руткитите като цяло. Да се надяваме, че сега повече хора не само знаят какво представлява rootkit, но се интересуват дали имат такъв и ще могат да ги открият и премахнат!
