Seznamte se s rootkity
V souvislosti s ochranou počítače před různými hrozbami se čím dál tím častěji hovoří o tzv. rootkitech a o antirootkitových technologiích. Co to ale vlastně rootkity jsou a čím jsou nebezpečné?
Nejprve si pojďme odpovědět na otázku, co to vlastně rootkit je. Jedná seo technologii zpravidla v podobě počítačového programu, který zásadním způsobem mění princip fungování operačního systému. Právě tato změna je nejdůležitějším projevem rootkitu. Díky změně způsobu funkce operačního systému dochází i ke změně chování programů, které nad ním běží a následně nemohou korektně pracovat. I když na první pohled to tak nevypadá…
Princip fungování rootkitu si nejlépe vysvětlíme na příkladu. Máme operační systém, antivirový program a virus. Za normálních okolností antivirový program při kontrole systému virus najde. Ovšem pokud do hry vstoupí rootkit, mohou být soubor nebo oblast s virem skryté tak, že je operační systém „nevidí“ – tudíž o nich nepředá informace antivirovému programu, ten je tudíž nemůže prohledat a detekovat. Rootkit se fakticky postaví nad operační systém a řídí jeho činnost. Dělá to tak, že v něm modifikuje určité funkce a volání.
Jinak by se také dalo říci, že rootkit změní princip fungování operačního systému tak, že tento i všechny nad ním postavené aplikace vidí jen to, co jim rootkit dovolí vidět. Na druhou stranu co jim vidět nedovolí, neuvidí.
Z tohoto by se dalo poměrně jednoduše vyvodit, že samotný rootkit nebezpečný není. A možná překvapivě dáme tomuto konstatování za pravdu. Pokud rootkit skrývá sám sebe, kromě možných problémů s kompatibilitou nepředstavuje žádné nebezpečí. Jenomže… rootkit neumí skrýt pouze sám sebe, ale i další aplikace. A právě v tom je jeho největší nebezpečí. Jaký důvod může mít korektní aplikace k tomu, aby takovýmto způsobem skrývala sebei další programy?
Rootkity představují riziko pro celou ICT bezpečnost. Dnešní svět jejího zajištění totiž mj. počítá s tím, že informace poskytované jednotlivým aplikacím operačním systémem jsou pravdivé. S možností, že by pravdivé nebyly (tedy že by některé komponenty byly „zapřeny“) prostě nepočítáme a jen pomalu se rodí mechanizmy (tzv. antirootkitové technologie), jak tyto informace od operačního systému ověřit.
Srdce hackera zaplesá
Je zcela pochopitelné, že počítač s rootkitem je snem každého hackera – protože jím vytvořené programy mohou v podstatě beze stopy zmizet, a přesto zůstat funkční.Jde-li o takto nebezpečnou technologii, která vyloženě hraje na ruku hackerům, kyberzločincům, průmyslovým špiónům a dalším živlům, proč ještě svět není rootkity doslova zaplavený? Ono to totiž zase tak jednoduché není. Jistě si dokážete představit, že naprogramovat aplikaci schopnou zásadním způsobem měnit práci jádra operačního systému vyžaduje hluboké znalosti programování, systémů, analytického myšlení atd. Jinak řečeno: rootkit nedokáže naprogramovat a odladit každý, ale je to technologie vyhrazená jen opravdovým špičkám v oboru (mezi ně v žádném případě nepočítáme tzv. script-kiddies, tedy zoufalce, kteří ze „studijních stránek“ na internetu stahují kusy programového kódu, jen minimálně (nebo vůbec) je upraví a následně pod svým jménem pouštějí do světa).
Užitečný rootkit
Jak jsme již uvedli, rootkit sám o sobě není nebezpečný – ba dokonce naopak, za určitých okolností může být užitečný! Je to zkrátka dvojsečná technologie, kterou je možné využít ke špatným, stejně jako k dobrým úmyslům.
Příkladem mohou být třeba programy pro vzdálenou správu, umožňující administrátorovi provádět zásahy bez vědomí uživatele a bez kolize s lokálními programy. V tomto případě jde jednoznačně o kladnou roli. Ale běda ve chvíli, kdy stejný nástroj pro vzdálenou správu začne používat agresor!
Rootkitů se snažil využít i hudební průmysl, a to pro zajištění ochrany svých autorských práv, ale tady se se zlou potázal. Důvodem byla skutečnost, že software byl do počítačů instalovaný bez vědomí uživatele – a tudíž ilegálně. Kromě zajištění ochrany autorských práv omezoval i legitimní práva uživatele.
Je zajímavé, že služeb rootkitů jako věrných spojenců využívají třeba různé bezpečnostní a ochranné programy. Zjednodušeně řečeno mohou pomocí neodhaleného rootkitu sledovat chod operačního systému. Když pak dojde k útoku (virus, hacker…), tak jako první na řadě „na odstřel“ bývá z mnoha důvodů právě bezpečnostní aplikace – útočník ale v tu chvíli netuší, že jí kryje záda další program, dovedně skrytý pomocí rootkitu. Stejně tak třeba jistý antivirový program využívá streamy (proudy) pod souborovým systémem NTFS. Je to speciální datová oblast na pevném disku za každým souborem pod systémem NTFS, do níž jsou zapisovány informace o těchto souborech. Při kontrolách pak může antivirový program snadno vyhledávat změny tím, že porovnává aktuální stav s informací v databázi, která je běžným způsobem neviditelná. Rootkity zkrátka mohou hrát i kladnou roli.
Základem je prevence
Předpokládejme ale, že rootkity představují bezpečnostní riziko. Pak se objevuje logická otázka: co se proti nim dá dělat? Musíme si otevřeně přiznat, že toho mnoho není. Boj s rootkity je totiž otázkou především bezpečnostního průmyslu. A ten evidentně trochu zaspal: jinak by se např. v roce 2005 nemohly rootkity bez povšimnutí objevit na milionech volně prodejných CD renomované firmy. A této vážné hrozby si za celých dlouhých sedm měsíců nikdo nevšiml. Naše obecně přijímané bezpečnostní mechanizmy mají evidentně slabá místa…
Přitom rootkity nejsou věc nová: už v osmdesátých letech útočili hackeři na unixové systémy tak, že do napadeného počítače instalovali speciální program, který jim následně umožňoval vracet se právě s rootovými právy. Rootkit je pak označení dnešních podobných programů (v této podobě se objevily v roce 2003), které slouží útočníkům k získávání nejvyšších práv v operačním systému (resp. jsou jim v mnoha případech dokonce nadřazené).
Dodáváme, že rootkity dnes existují pro operační systémy Windows, Linux, Mac OS či třeba Solaris. Problém tedy není otázkou některé z platforem, ale otázkou celkové koncepce stávajících informačních technologií.
Rootkity představují pro bezpečnostní průmysl výzvu, pro správce sítí ovšem noční můru. Nicméně zcela bezbranní nejsme, detekovat je lze. Nejlepší cestu představuje vypnutí počítače, bootování z důvěryhodného média a následné prozkoumání některou z detekčních utilit. Pro UNIX jsou to například chkrootkit a rkhunter (ty pravděpodobně fungují i pod Mac OS), pro Windows pak Blacklight od F-Secure nebo Rootkit Revealer.
Jedním z mála účinných opatření je administrativní i fyzické blokování spouštění jakýchkoliv médií, která mohou být zdrojem nákazy. Na druhé straně si ale musíme uvědomit, že toto dost dobře není možné, protože informace do systémů vkládat musíme (nemáme na mysli hudební CD, ale v podstatě jakákoliv CD, která mohou být v konečném důsledku nosičem rootkitů).
Tajemství úspěšného boje s rootkity je jednoduché: prostě se na ně dopředu připravíme. Rootkit není žádný neviditelný duch, který by o půlnoci po špičkách vstoupil, neslyšen a neviděn, do počítače – ale jedná se o určitý program, který přichází ve formě souboru. Do systému se přitom dokáže instalovat pouze tehdy, je-li mu to umožněno. V tom se neliší třeba od virů (i když ty jsou automaticky škodlivé, zatímco rootkity nikoliv) – také napadnou počítač jen v případě, že jim to umožníte.
Základem je tedy kvalitní antivirová kontrola, nasazení systému detekce a prevence průniku, vypracování a dodržování důsledné bezpečnostní politiky apod. Tedy nic nového pod sluncem. Nicméně rootkity na tyto prvky bezpečnosti kladou výrazně vyšší nároky než běžné škodlivé kódy nebo útoky. Už třeba proto, že když pronikne do PC virus nebo hacker, dá se ještě ledacos zachránit – ale v případě rootkitu může jít o navěky prohraný boj…
Co to jsou rootkity?
Rootkity jsou malé programy typu trojských koní, které je velmi složitév napadeném počítači detekovata jež umožňují útočníkovi převzít plnou kontrolu nad infikovaným osobním počítačem. Podobně jako trojské koně, i rootkity instalují sebe sama prostřednictvím zranitelností počítačů připojených k síti, či pomocí utajených doplňků zpráv elektronické pošty nebo spustitelných programů. Jejich útok je ale veden na nižší úroveň operačního systému, přičemž využívají bezpečnostní funkce OS k dokonalejšímu zakrytí vlastní přítomnosti či prováděných činností.
AVG Anti-Rootkit: Vítěz hry na schovávanou
Jak se bojuje s rootkity? Pokud jste pozorně četli doprovodný článek, pak asi nepotřebujete kdovíjak dlouhé vysvětlování, že velmi špatně. Rootkity jsou proti většině technik, které se dokáží vypořádat s běžnými škodlivými kódy, odolné.
Kromě jiného jsou k boji s rootkity nutné specializované aplikace. Standardní komplexní bezpečnostní systém může být považovaný za prevenci, ale čistě pro odhalování rootkitů nestačí. Důvodů je několik, především bychom zmínili jeden hlavní: detekce rootkitů je kromě jiného postavena na časté změně skenovacích principů kontrolního programu. Nikoliv na aktualizaci samotného programu nebo jeho databáze, ale na aktualizaci způsobu, jak tento program pracuje. A často měnit způsob práce instalovaného bezpečnostního řešení asi není to pravé, po čem firemní nebo domácí uživatelé touží.
V případě, kdy selže prevence nebo se počítač začne chovat „nějak divně“, přichází ke slovu specializované nástroje. Jedním z nich může být AVG Anti-Rootkit Free. Jak už název napovídá, jedná se o nástroj, který je k dispozici zdarma, což ale nijak nesnižuje jeho kvalitu. Každopádně nepočítejte s podporou – a počítejte s tím, že se vám Grisoft bude v několika jeho částech snažit nabízet své produkty. Je to logické, antirootkit není prevence, ale až hašení požáru.
Po instalaci aplikace je nutný restart počítače. Hledání rootkitů je tak trochu magie a taktizování v jednom – proto musí bezpečnostní nástroj při restartu obsadit určitá místa v systému pokud možno ještě před rootkitem. Co a jak je „obsazováno“, to se výrobci snaží nezveřejňovat a často měnit, aby nedali rootkitům šanci se těmto kontrolním bodům vyhnout. I z tohoto důvodu vždy používejte aktuální antirootkit. Jen trochu starší nástroj může být nástrojem beznadějně zastaralým.
Po restartu a spuštění AVG Anti-Rootkitu jste v úvodním ovládacím panelu, kde máte k dispozici tři záložky a tři tlačítka. Jsou to Search for rootkits (vyhledávání rootkitů), Perform in-depth search (provést hloubkové vyhledávání) a Remove selected item (odstranit vybrané položky). Přitom poslední jmenované je „zašedlé“ a použít jej lze jen ve chvíli, kdy program nějaké nebezpečí odhalí.
Trio záložek je následující: v první (Search for rootkits) se standardně nacházíte po startu, pak jsou k dispozici ještě Learn More a About & Update (která obsahuje veledůležité tlačítko pro kontrolu toho, zda není k dispozici nová verze programu).
Hodnotit detekční schopnosti antirootkitů je ošidné. Vzhledem k tomu, že se detekční techniky programu často mění, nemusí být minulé výsledky zárukou těch budoucích (což se může jevit podobné třeba antivirovým programům, ale zde to mají tvůrci přece jen o řád jednodušší: musí pouze aktualizovat databáze škodlivých kódů, a to veřejně známých, zatímco tvůrci antirootkitů musí měnit princip fungování nástrojů a aby to neměli tak jednoduché, rootkity mohou být užitečné i nebezpečné). Z tohoto důvodu se omezíme na konstatování, že AVG Anti-Rootkit Free fungoval spolehlivě přesně tak, jak se od něj očekává. Pokud máte podezření na rootkit v počítači, doporučujeme použít několik různých nástrojů ze stejné kategorie. Ne že by AVG Anti-Rootkit Free byl špatný, ale „víc očí víc vidí“. Podobné doporučení totiž platí pro všechny antirootkity bez rozdílu.
AVG Anti-Rootkit Free je jednoduchý a kvalitní pomocník pro zajištění bezpečnosti počítače, ke kterému doporučujeme sáhnout jednak z důvodů čistě kontrolních a jednak v případě, kdy je evidentní, že bezpečnost systému byla narušena. Jediné, co se mu snad dá vytknout, že není k dispozici v českém jazyce. Na druhou stranu otevřeně přiznáváme, že toto je výtka z kategorie „abychom na něm alespoň něco našli“, protože s jednoduchým ovládáním tvořeným dvojicí tlačítek (třetí přijde ke slovu jen v případě problému) si prostě musí poradit i neangličtináři.
Dostupné antirootkit utility ke stažení:
Produkt Adresa Popis
AVG Anti-Rootkit 1.1.0.42 Free www.grisoft.cz/filedir/beta/avgarkt/avgarkt-setup-1.1.0.42.exe najdete v naší recenzi
BitDefender Rootkit Uncover Beta2 download.bitdefender.com/windows/desktop/internet_ produkt známé antivirové firmy
security/beta/bitdefender_antirootkit-BETA2.exe
F-Secure BlackLight 2.2.1064 Beta europe.f-secure.com/exclude/blacklight/fsbl.exe jednoduchý a rychlý
Gmer www.gmer.net/gmer.zip jednoduchý, detekuje i odstraňuje
Ice Sword 1.18 www.xfocus.net/tools/200605/IceSword1.18en.rar silný nástroj, doporučovaný odborníky
McAfee Rootkit Detective 1.0 download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip produkt známé antivirové firmy
Panda Anti-Rootkit 1.07 research.pandasoftware.com/blogs/images/AntiRootkit.zip produkt známé antivirové firmy, maže registry
RK Detector 2.0 www.rkdetector.com/RKDetectorv2.zip nástroj pro příznivce příkazové řádky
RootkitRevealer download.sysinternals.com/Files/RootkitRevealer.zip silný nástroj, pouze detekuje
Sophos Anti-Rootkit 1.3 http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html produkt známé antivirové firmy