Ang mga Rootkits ay maaaring pinangalanan ang pinaka-teknolohiyang sopistikadong anyo ng malisyosong code (malware) at isa sa pinakamahirap na matuklasan at alisin. Sa lahat ng mga uri ng malware, marahil ang mga virus at bulate ang nakakakuha ng pinaka-publisidad dahil sa pangkalahatan ay laganap ang mga ito. Maraming mga tao ang kilala na naapektuhan ng isang virus o isang bulate, ngunit ito ay tiyak na hindi nangangahulugang ang mga virus at bulate ang pinaka mapanirang iba't ibang mga virus ng. Mayroong mas mapanganib na mga uri ng malware, dahil bilang isang patakaran na nagpapatakbo sila sa mode ng stealth, mahirap makita at alisin at maipapansin nang napakahabang panahon, tahimik na nakakuha ng access, pagnanakaw ng data, at pagbabago ng mga file sa makina ng biktima. .
Ang isang halimbawa ng tulad ng isang stealthly na kaaway ay mga rootkits - isang koleksyon ng mga tool na maaaring palitan o baguhin ang mga maipapatupad na programa, o kahit na ang kernel ng operating system mismo, upang makakuha ng access sa antas ng administrator sa system, na maaaring magamit para sa pag-install spyware, keylogger at iba pang mga nakahahamak na tool. Mahalaga, pinapayagan ng isang rootkit ang isang umaatake na makakuha ng kumpletong pag-access sa makina ng biktima (at marahil sa buong network ng pagmamay-ari ng makina). Ang isa sa mga kilalang gamit ng isang rootkit na nagdulot ng makabuluhang pagkawala / pinsala ay ang pagnanakaw ng source code ng Half-Life 2 ng Valve: Source engine engine.
Ang mga Rootkits ay hindi isang bago - sila ay nasa loob ng maraming taon, at kilala na nakapagpapatupad ng iba't ibang mga operating system (Windows, UNIX, Linux, Solaris, atbp.). Kung hindi para sa isa o dalawang mga paglitaw ng masa sa mga insidente ng rootkit (Tingnan ang seksyon ng Sikat na Mga Halimbawa), na nakakuha ng pansin sa publiko, maaaring muli silang nakaligtas, maliban sa isang maliit na bilog ng mga propesyonal sa seguridad. Tulad ng ngayon, ang mga rootkits ay hindi nagpakawala ng kanilang buong potensyal na mapanirang dahil hindi sila malawak na kumakalat tulad ng iba pang mga anyo ng malware. Gayunpaman, maaari itong maging kaunting aliw.
Inihayag ang Mga Mekanismo ng Rootkit
Katulad sa mga kabayo ng Trojan, virus at bulate, na-install ng mga rootkits ang kanilang sarili sa pamamagitan ng pagsasamantala sa mga bahid sa seguridad ng network at operating system, madalas na walang pakikipag-ugnayan ng gumagamit. Bagaman mayroong mga rootkit na maaaring dumating bilang isang kalakip sa e-mail o sa isang bungkos na may isang lehitimong programa ng software, hindi sila nakakapinsala hanggang sa bubuksan ng gumagamit ang attachment o mai-install ang programa. Ngunit hindi tulad ng hindi gaanong sopistikadong mga form ng malware, ang mga rootkits ay lumusot nang napakalalim sa operating system at gumawa ng mga espesyal na pagsisikap na magkaila ang kanilang presensya - halimbawa, sa pamamagitan ng pagbabago ng mga file system.
Karaniwan, mayroong dalawang uri ng mga rootkits: mga rootkit ng antas ng kernel at mga rootkits ng antas ng aplikasyon. Ang mga rootkit ng antas ng kernel ay nagdaragdag ng code upang o baguhin ang kernel ng operating system. Nakamit ito sa pamamagitan ng pag-install ng driver ng aparato o isang module na maaaring mai-load, na binabago ng system ang pagtago sa pagkakaroon ng isang attacker. Kaya, kung titingnan mo ang iyong mga file ng log, hindi mo makikita ang walang kahina-hinalang aktibidad sa system. Ang mga rootlink ng antas ng aplikasyon ay hindi gaanong sopistikado at sa pangkalahatan ay mas madaling makita dahil binabago nila ang mga executive ng mga aplikasyon, sa halip na ang operating system mismo. Yamang iniulat ng Windows 2000 ang bawat pagbabago ng isang maipapatupad na file sa gumagamit, lalo itong nahihirapan para sa taga-atake na hindi napansin.
Bakit Ang Rootkits ay Nagpapalagay ng Panganib
Ang mga Rootkits ay maaaring kumilos bilang isang backdoor at karaniwang hindi nag-iisa sa kanilang misyon - sila ay madalas na sinamahan ng spyware, mga Trojan na kabayo o mga virus. Ang mga layunin ng isang rootkit ay maaaring mag-iba mula sa simpleng nakakahamak na kagalakan ng pagtagos sa computer ng ibang tao (at itinago ang mga bakas ng pagkakaroon ng dayuhan), upang magtayo ng isang buong sistema para sa iligal na pagkuha ng kumpidensyal na data (mga numero ng credit card, o source code tulad ng kaso ng Half -Life 2).
Kadalasan, ang mga antas ng aplikasyon ng mga rootkits ay hindi gaanong mapanganib at mas madaling tuklasin. Ngunit kung ang programa na iyong ginagamit upang subaybayan ang iyong mga pananalapi, ay makakakuha ng "patched" sa pamamagitan ng isang rootkit, kung gayon ang pagkawala ng pananalapi ay maaaring maging makabuluhan - ibig sabihin, ang isang nagsasalakay ay maaaring gumamit ng iyong data sa credit card upang bumili ng isang pares ng mga item at kung hindi mo t napansin ang kahina-hinalang aktibidad sa iyong balanse ng credit card sa takdang oras, malamang na hindi mo na makikita ulit ang pera.
Kumpara sa mga rootkit ng antas ng kernel, ang mga antas ng application ng mga rootkits ay mukhang matamis at hindi nakakapinsala. Bakit? Dahil sa teorya, ang isang rootkit ng antas ng kernel ay nagbubukas ng lahat ng mga pintuan sa isang sistema. Kapag nakabukas ang mga pintuan, ang iba pang mga anyo ng malware ay maaaring maka-slip sa system. Ang pagkakaroon ng impeksyon sa rootkit ng kernel level at hindi magagawang makita at maalis ito nang madali (o sa lahat, tulad ng makikita natin sa susunod) ay nangangahulugan na ang ibang tao ay maaaring magkaroon ng kabuuang kontrol sa iyong computer at maaaring magamit ito sa anumang paraan na gusto niya - halimbawa, upang simulan ang isang pag-atake sa iba pang mga makina, na gawin ang impression na ang pag-atake ay nagmula sa iyong computer, at hindi mula sa ibang lugar.
Detection at Pag-alis ng Rootkits
Hindi ang iba pang mga uri ng malware ay madaling makita at alisin, ngunit ang mga rootkit ng antas ng kernel ay isang partikular na kalamidad. Sa isang kahulugan, ito ay isang Catch 22 - kung mayroon kang isang rootkit, kung gayon ang mga file ng system na kinakailangan ng anti-rootkit software ay malamang na mabago at samakatuwid ang mga resulta ng tseke ay hindi mapagkakatiwalaan. Ano pa, kung ang isang rootkit ay tumatakbo, maaari itong matagumpay na baguhin ang listahan ng mga file o listahan ng mga tumatakbo na proseso na umaasa sa mga programa ng anti-virus, kaya nagbibigay ng pekeng data. Gayundin, ang isang tumatakbo na rootkit ay maaari lamang mag-alis ng mga proseso ng programa ng anti-virus mula sa memorya, na nagiging sanhi ng pag-shutdown o wakasan ang application nang hindi inaasahan. Gayunpaman, sa pamamagitan ng paggawa nito hindi ito tuwirang ipinapakita ang pagkakaroon nito, kaya ang isa ay maaaring makakuha ng kahina-hinala kapag may mali, lalo na sa software na nagpapanatili ng seguridad ng system.
Ang isang inirekumendang paraan para sa pagtuklas ng pagkakaroon ng isang rootkit ay upang mag-boot mula sa isang alternatibong media, na kilala na malinis (ibig sabihin, isang backup, o pagligtas CD-ROM) at suriin ang kahina-hinalang sistema. Ang bentahe ng pamamaraang ito ay ang rootkit ay hindi tatakbo (samakatuwid hindi nito maitago ang sarili) at ang mga file ng system ay hindi magiging aktibong mai-tampil.
Mayroong mga paraan upang makita at (pagtatangka) alisin ang mga rootkits. Ang isang paraan ay ang pagkakaroon ng malinis na mga fingerprint ng MD5 ng mga orihinal na file ng system upang maihambing ang kasalukuyang mga file ng mga fingerprint ng file. Ang pamamaraang ito ay hindi masyadong maaasahan, ngunit mas mahusay kaysa sa wala. Ang paggamit ng isang debotong kernel ay mas maaasahan, ngunit nangangailangan ito ng malalim na kaalaman sa operating system. Kahit na ang karamihan sa mga tagapangasiwa ng system ay bihirang gagamitin ito, lalo na kung mayroong mga libreng mabubuting programa para sa pagtuklas ng rootkit, tulad ng RootkitRevealer ni Marc Russinovich. Kung pupunta ka sa kanyang site, makakahanap ka ng detalyadong mga tagubilin kung paano gamitin ang programa.
Kung napansin mo ang isang rootkit sa iyong computer, ang susunod na hakbang ay mapupuksa ito (mas madaling sinabi kaysa tapos na). Sa ilang mga rootkit, ang pag-alis ay hindi isang pagpipilian, maliban kung nais mong alisin din ang buong operating system! Ang pinaka-halatang solusyon - upang tanggalin ang mga nahawaang file (kung alam mo kung alin mismo ang mga na-rosas) ay ganap na hindi magagawang, kapag ang mga mahahalagang file ng system ay nababahala. Kung tinanggal mo ang mga file na ito, ang mga posibilidad na hindi mo na mai-boot muli ang Windows. Maaari mong subukan ang isang pares ng mga aplikasyon ng pag-alis ng rootkit, tulad ng UnHackMe o F-Secure BlackLight Beta, ngunit huwag kaagad na mabigyan ng ligtas ang pag-alis ng peste.
Ito ay maaaring tunog tulad ng shock therapy, ngunit ang tanging napatunayan na paraan upang maalis ang isang rootkit ay sa pamamagitan ng pag-format ng hard drive at muling mai-install muli ang operating system (mula sa isang malinis na pag-install ng media, siyempre!). Kung mayroon kang isang palatandaan kung saan nakuha mo ang rootkit mula sa (ito ay na-bundle sa ibang programa, o may nagpadala nito sa iyo sa pamamagitan ng e-mail?), Huwag mong isipin pa ring tumakbo o isntalling ang pinagmulan ng impeksyon!
Mga Sikat na Halimbawa ng Rootkits
Ang mga Rootkits ay ginamit sa stealthy na paggamit ng maraming taon, ngunit hanggang sa nakaraang taon lamang na ginawa nila ang kanilang hitsura sa mga pamagat ng balita. Ang kaso ng Sony-BMG kasama ang kanilang Digital Right Management (DRM) na teknolohiya na nagpoprotekta sa hindi awtorisadong CD pagkopya sa pamamagitan ng pag-install ng isang rootkit sa makina ng gumagamit ay nagdulot ng matalim na pintas. May mga demanda at isang kriminal na pagsisiyasat. Kailangang bawiin ng Sony-BMG ang kanilang mga CD mula sa mga tindahan at palitan ang mga binili na kopya ng malinis, ayon sa pag-areglo ng kaso. Inakusahan ang Sony-BMG ng lihim na mga file ng system ng cloaking sa isang pagtatangka upang maitago ang pagkakaroon ng programa ng proteksyon ng kopya na ginamit din upang magpadala ng pribadong data sa site ng Sony. Kung ang programa ay hindi mai-uninstall ng gumagamit, ang CD drive ay hindi gumana. Sa katunayan, nilabag ng programang ito ng proteksyon sa copyright ang lahat ng mga karapatan sa pagkapribado, gumamit ng mga iligal na pamamaraan na karaniwang para sa ganitong uri ng malware, at higit sa lahat, iniwan ang computer ng biktima ng mahina sa iba't ibang mga pag-atake. Ito ay karaniwang para sa isang malaking korporasyon, tulad ng Sony-BMG, na puntahan muna ang mapagmataas na paraan sa pamamagitan ng pagsasabi na kung ang karamihan sa mga tao ay hindi alam kung ano ang isang rootkit, at bakit nila aalagaan na mayroon sila. Buweno, kung walang mga tulad ni mark Roussinovich, na siyang unang nag-singsing sa kampanilya tungkol sa rootkit ng Sony, ang lansihin ay maaaring nagtrabaho at milyun-milyong mga computer ang mahawahan - medyo isang pandaigdigang pagkakasala sa di-umano’y pagtatanggol ng intelektwal ng isang kumpanya pag-aari!
Katulad sa kaso sa Sony, ngunit kapag hindi kinakailangan na konektado sa Internet, ay ang kaso ng Norton SystemWorks. Totoo na ang parehong mga kaso ay hindi maihahambing mula sa isang etikal o teknikal na pananaw sapagkat habang ang rootkit (tulad ng teknolohiya ng rootkit na Norton) ay nagbabago ng mga file ng Windows system upang mapaunlakan ang Norton Protected Recycle Bin, si Norton ay hindi maaaring maakusahan ng mga nakakahamak na intensyon na higpitan karapatan ng gumagamit o upang makinabang mula sa rootkit, tulad ng sa Sony. Ang layunin ng cloaking ay upang itago mula sa lahat (mga gumagamit, tagapangasiwa, atbp.) At lahat (iba pang mga programa, Windows mismo) ang isang backup na direktoryo ng mga file na tinanggal ng mga gumagamit, at maaari itong maibalik sa ibang direktoryo ng backup na ito. Ang pag-andar ng Protected Recycle Bin ay upang magdagdag ng isang higit pang kaligtasan net laban sa mabilis na mga daliri na unang tinanggal at pagkatapos isipin kung tinanggal na nila ang tamang (mga) file, na nagbibigay ng karagdagang paraan upang maibalik ang mga file na tinanggal mula sa Recycle Bin ( o na lumampas sa Recycle Bin).
Ang dalawang halimbawa na ito ay hindi gaanong pinakamahirap na mga kaso ng aktibidad ng rootkit, ngunit ang mga ito ay nagkakahalaga ng pagbanggit dahil sa pamamagitan ng pag-akit ng pansin sa mga partikular na kaso, ang interes ng publiko ay iginuhit sa mga rootkits sa kabuuan. Sana, ngayon mas maraming mga tao ang hindi lamang alam kung ano ang isang rootkit, ngunit pag-aalaga kung mayroon silang isa, at magagawang makita at alisin ang mga ito!
