Na scénu přichází rootkit

12. 4. 2006

Sdílet

Rootkit - slovíčko, které ještě nedávno znali jen zasvěcení specialisté. Dnes představuje noční můru bezpečnostních firem, správců sítí i uživatelů. V roce 2005 zaznamenala tato technologie v rukou útočníků nebývalý rozkvět...

Rootkit - slovíčko, které ještě nedávno znali jen zasvěcení specialisté. Dnes představuje noční můru bezpečnostních firem, správců sítí i uživatelů. V roce 2005 zaznamenala tato technologie v rukou útočníků nebývalý rozkvět...
Upozorňujeme přitom, že se jedná právě o technologii - nikoliv o nebezpečný kód sám o sobě. Nicméně rootkit je technologií nesmírně silnou, takže v rukou útočníků se může změnit ve smrtonosnou zbraň.
Co tedy onen tajuplný a všemocný rootkit je? Operační systém zajišťuje pro počítač řadu základních úkonů, počínaje otevíráním souborů až třeba po síťová připojení. Jedná se o rozhraní API (Application Programmer Interface). Rootkit je přitom aplikace, která nekompromisně zasahuje do této vlastnosti operačního systému a nahrazuje specifické API funkce, takže jejich volání je modifikováno. Jinými slovy: rootkit mění způsob, jak operační systém pracuje.
Jeho síla spočívá v tom, že je schopen diktovat jednotlivým aplikacím, co mají vidět. A tak třeba při volání internetového prohlížeče je zároveň aktivovaný i spyware, ale rootkit tento spyware skryje před ostatními (tedy i před antivirovými a antispywarovými aplikacemi), takže tyto jej nedetekují. I když slovíčko "skryje" není použito úplně nejšťastněji: rootkit prostě existenci dalšího navázaného programu před bezpečnostním programem zatají či neoznámí. V podstatě je rootkit aplikace, která může na základě modifikace způsobu práce operačního systému ostatním aplikacím (včetně vlastního operačního systému!) podsouvat informace, které uzná za vhodné. Ty přitom nemají žádnou možnost, jak si poskytované informace ověřit. Mohou tak učinit jedním způsobem - dotazem, který jde přes rootkit... Samozřejmě, že ten zapře i sám sebe.
Dnešní bezpečnostní aplikace jsou prostě založeny na tom, že informace podávané na úrovni operačního systému jsou důvěryhodné. Znovu ovšem opakujeme: rootkit zcela mění způsob, jak celý operační systém pracuje.
Z výše uvedeného tedy vyplývá, že rootkity jsou sice silné, ale samy o sobě nejsou nebezpečné. Skutečné nebezpečí mohou znamenat až škodlivé aplikace, které rootkit skrývá. Nicméně snem každého hackera je do nějakého počítače dostat rootkit - když do něj totiž v následném kroku dostane škodlivý kód (což se mu dříve či později podaří), je prakticky neodhalitelný.
Rootkity mají přitom nejen tu vlastnost, že se velmi špatně detekují, ale také nesmírně těžce odstraňují. A to právě pro svoji provázanost s operačním systémem: při odstraňování je nutné postupovat velice obezřetně, jinak je systém nenávratně poškozen (často včetně dat na disku apod.). Rootkity není možné odstraňovat jen pomocí nějakého softwaru nebo jednoduchého návodu: uživatel musí v každém okamžiku přesně vědět, co dělá. Jediný krok "vedle" znamená katastrofu a nesmírně drahou i nepříjemnou zkušenost.
Vody kolem rootkitů rozvířila v roce 2005 velmi svérázným způsobem společnost Sony BMG, která začala chránit několik milionů svých CD proti neoprávněnému kopírování tím, že na ně přidala instalační soubory s rootkity. Když pak uživatel vložil CD do počítače, musel souhlasit s podmínkami EULA (End User Licence Agreement) - a poté se mu instaloval do počítače rootkit, který skryl v počítači (kromě sebe sama) další instalované prvky (třeba kontrolu počtu vytvářených kopií z jednoho copyrightem chráněného CD). Zkrátka rootkit z těchto CD skrýval veškeré soubory, jejichž název začínal znakovým řetězcem $sys$. Největším problémem přitom byla skutečnost, že se o instalaci rootkitů do počítače v licenci EULA vůbec nepsalo! Dalo by se tedy říci, že firma Sony BMG do počítačů svých zákazníků instalovala bez jejich vědomí programy, které představovaly velké ohrožení bezpečnosti.
Aféra kolem rootkitů byla spuštěna 31. října 2005, kdy Mark Russinovich ze společnosti Winternals Software Inc. zveřejnil ve svém blogu (http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html) informaci o tom, že pomocí nástroje RootkitRevealer odhalil rootkity právě na CD od Sony BMG. Toto odhalení nebylo tak jednoduché: sám Russinovich přiznává, že k vyšetření celého případu musel použít sedm různých programů a aplikací!
Džin byl ale z lahve venku a na více než dvou milionech počítačů na celém světě byl po zakoupení legální hudby instalován rootkit (paradoxně se tedy stalo, že obětí protipirátských praktik se stali legální uživatelé). Útočníci nad touto informací zaplesali a postupně se objevilo několik škodlivých kódů, které využily rootkit "Made in Sony BMG". Byl to třeba trojský kůň Stinx.E, který do počítače přišel e-mailem s žádostí o "autorizaci" přiložené fotografie. Kdo se nechal napálit a přílohu spustil, infikoval svůj počítač. Škodlivý kód se zapsal na pevný disk pod názvem $sys$drv.exe, takže se díky rootkitu stal pro všechny aplikace neviditelným.
Podtrženo, sečteno - rootkity (nejen díky Sony BMG - tento případ byl pouze ten nejkřiklavější a mediálně nejvíce rozmáznutý) zažívají zlaté období, což pro nás představuje skutečnou výzvu...
Rozsáhlý materiál o rootkitech, případu Sony BMG a souvisejících aspektech najdete v měsíčníku PC WORLD 3/2006.

Autor článku