Juurikomplektit voidaan nimetä haitallisen koodin (haittaohjelmien) teknisesti kehittyneimmäksi muodoksi ja yhdeksi vaikeimmista löytää ja poistaa. Kaikentyyppisistä haittaohjelmista todennäköisesti virukset ja madot saavat eniten julkisuutta, koska ne ovat yleensä levinneitä. Viruksen tai madon tiedetään vaikuttaneen moniin ihmisiin, mutta tämä ei ehdottomasti tarkoita, että virukset ja madot olisivat tuhoisimpia haittaohjelmia. On olemassa vaarallisempia haittaohjelmatyyppejä, koska yleensä ne toimivat varkain tilassa, niitä on vaikea havaita ja poistaa ja ne voivat jäädä huomaamatta erittäin pitkän ajanjakson ajan, kun ne pääsevät hiljaa käyttämään tietoja, varastamaan tietoja ja muuttamaan uhrin koneessa olevia tiedostoja. .
Esimerkki tällaisesta salamyhkäisestä vihollisesta on rootkit - kokoelma työkaluja, jotka voivat korvata tai muuttaa suoritettavia ohjelmia tai jopa itse käyttöjärjestelmän ytimen järjestelmänvalvojan tason pääsyn saamiseksi järjestelmään, jota voidaan käyttää asennukseen vakoiluohjelmat, avainlokerit ja muut haitalliset työkalut. Pohjimmiltaan juurihakemisto antaa hyökkääjälle täydellisen pääsyn uhrin koneeseen (ja mahdollisesti koko verkkoon, johon kone kuuluu). Yksi juurikomitean tunnetuista käytöistä, joka aiheutti merkittäviä menetyksiä / vaurioita, oli Valven Half-Life 2: Source -pelimoottorin lähdekoodin varkaus.
Juurikomplektit eivät ole jotain uutta - ne ovat olleet olemassa jo vuosia, ja niiden tiedetään toimineen useissa käyttöjärjestelmissä (Windows, UNIX, Linux, Solaris jne.). Jos kyse ei ollut yhdestä tai kahdesta juurikomitetatapahtumien joukosta (katso kuuluisat esimerkit -osa), joka kiinnitti niihin yleisön huomiota, he saattoivat jälleen paeta tietoisuutta, paitsi pieni joukko turvallisuusammattilaisia. Tästä päivästä lähtien rootkit-ohjelmat eivät ole vapauttaneet koko tuhoavaa potentiaaliaan, koska ne eivät ole niin laajalle levinneet kuin muut haittaohjelmat. Tämä voi kuitenkin olla vähän mukavaa.
Rootkit-mekanismit paljastettu
Samoin kuin troijalaisia, viruksia ja matoja, rootkit-ohjelmat asentavat itsensä hyödyntämällä verkon tietoturvan ja käyttöjärjestelmän puutteita, usein ilman käyttäjän vuorovaikutusta. Vaikka on olemassa juurikommentteja, jotka voivat tulla sähköpostin liitteenä tai paketissa laillisten ohjelmien kanssa, ne ovat vaarattomia, kunnes käyttäjä avaa liitteen tai asentaa ohjelman. Mutta toisin kuin vähemmän kehittyneissä haittaohjelmamuodoissa, rootkit-sovellukset tunkeutuvat erittäin syvälle käyttöjärjestelmään ja pyrkivät erityisesti peittämään niiden läsnäolon - esimerkiksi muuttamalla järjestelmätiedostoja.
Pohjimmiltaan on olemassa kahden tyyppisiä rootkit-sovelluksia: ytimen tason rootkit ja sovellustason rootkit. Ytintason rootkit-sovellukset lisäävät koodin käyttöjärjestelmän ytimeen tai muokkaa sitä. Tämä saavutetaan asentamalla laiteohjain tai ladattava moduuli, joka muuttaa järjestelmäkutsuja piilottaakseen hyökkääjän. Siksi, jos tarkastelet lokitiedostoja, et näe järjestelmässä epäilyttävää toimintaa. Sovellustason juuripaketit ovat vähemmän kehittyneitä ja yleensä helpommin havaita, koska ne muokata sovellusten suoritettavia tiedostoja itse käyttöjärjestelmän sijasta. Koska Windows 2000 ilmoittaa käyttäjille jokaisesta suoritettavan tiedoston muutoksesta, hyökkääjän on vaikea jäädä huomaamatta.
Miksi juurikomplektit aiheuttavat riskin
Juurikomplektit voivat toimia takaovena, eivätkä yleensä ole yksin tehtävässään - niihin liittyy usein vakoiluohjelmia, troijalaisia tai viruksia. Juurikoodin tavoitteet voivat vaihdella yksinkertaisesta ilkeästä ilosta tunkeutua jonkun toisen tietokoneeseen (ja piilottaa vieraan läsnäolon jäljet), rakentaa kokonainen järjestelmä luottamuksellisten tietojen (luottokorttinumeroiden tai lähdekoodien) laittomaan hankkimiseen kuten Half-tapauksessa. -Elämä 2).
Yleensä sovellustason juurikoodit ovat vähemmän vaarallisia ja helpommin havaittavissa. Mutta jos ohjelma, jota käytät rahojesi seuraamiseen, saadaan "paikoilleen" rootkit-ohjelmalla, niin rahahäviö voi olla merkittävä - ts. Hyökkääjä voi käyttää luottokorttitietojasi ostaa pari tuotetta ja jos et t huomaa epäilyttävää toimintaa luottokorttitilisi saldoissa ajoissa, on todennäköistä, että et koskaan näe rahaa enää.
Verrattuna ytimen tason rootkit-sovelluksiin, sovellustason rootkitit näyttävät suloisilta ja vaarattomilta. Miksi? Koska teoriassa ytimen tason rootkit avaa kaikki ovet järjestelmään. Kun ovet ovat auki, muunlaiset haittaohjelmat voivat sitten liukastua järjestelmään. Ytintason rootkit-tartunnan puuttuminen ja sen, että emme pysty tunnistamaan ja poistamaan sitä helposti (tai ollenkaan, kuten seuraavassa näemme), tarkoittaa, että joku muu voi täysin hallita tietokonettasi ja käyttää sitä millä tahansa tavalla hän haluaa - esimerkiksi käynnistääksesi hyökkäyksen muihin koneisiin, tekemällä vaikutelman, että hyökkäys on peräisin tietokoneeltasi eikä muualta.
Juurikkaiden havaitseminen ja poistaminen
Ei niin, että muun tyyppisiä haittaohjelmia on helppo havaita ja poistaa, mutta ytimen tason juurikoodit ovat erityinen katastrofi. Tietyssä mielessä se on Catch 22 - jos sinulla on rootkit, anti-rootkit-ohjelmiston tarvitsemia järjestelmätiedostoja muutetaan todennäköisesti, joten tarkistuksen tuloksia ei voida luottaa. Lisäksi, jos juurikoodi on käynnissä, se voi onnistuneesti muokata tiedostojen luetteloa tai käynnissä olevien prosessien luetteloa, joihin virustorjuntaohjelmat luottavat, tuottaen siten vääriä tietoja. Käynnissä oleva rootkit voi myös vain poistaa virustorjuntaohjelman prosessit muistista, aiheuttaen sovelluksen sulkemisen tai lopettaa odottamatta. Tätä tekemällä se osoittaa kuitenkin epäsuorasti läsnäolonsa, joten voi saada epäilyttäviä, kun jokin menee pieleen, etenkin ohjelmiston kanssa, joka ylläpitää järjestelmän turvallisuutta.
Suositeltava tapa juurikoodin havaitsemiseksi on käynnistää vaihtoehtoisesta tietovälineestä, jonka tiedetään olevan puhdas (ts. Varmuuskopio tai pelastus-CD-ROM), ja tarkistaa epäilyttävä järjestelmä. Tämän menetelmän etuna on, että juurihakemisto ei ole käynnissä (siksi se ei voi piilottaa itseään) ja järjestelmätiedostoja ei muokata aktiivisesti.
On olemassa tapoja tunnistaa ja (yrittää) poistaa rootkit-paketit. Yksi tapa on saada alkuperäisten järjestelmätiedostojen puhtaat MD5-sormenjäljet nykyisten järjestelmätiedostojen sormenjälkien vertaamiseksi. Tämä menetelmä ei ole kovin luotettava, mutta on parempi kuin ei mitään. Ytimen virheenkorjaimen käyttö on luotettavampaa, mutta se edellyttää käyttöjärjestelmän perusteellista tuntemusta. Jopa suurin osa järjestelmänvalvojista turvautuu siihen harvoin, etenkin kun on olemassa ilmaisia hyviä ohjelmia rootkit-havaitsemiseksi, kuten Marc Russinovichin RootkitRevealer. Jos menet hänen sivustolleen, löydät yksityiskohtaiset ohjeet ohjelman käyttämiseen.
Jos havaitset juurikoodin tietokoneellasi, seuraava askel on päästä eroon siitä (helpommin sanottu kuin tehty). Joidenkin rootkit-sovellusten poisto ei ole vaihtoehto, ellet halua poistaa myös koko käyttöjärjestelmää! Ilmeisin ratkaisu - tartunnan saaneiden tiedostojen poistaminen (edellyttäen, että tiedät, mitkä oikein on peitetty) on ehdottomasti soveltumaton, kun kyse on tärkeistä järjestelmätiedostoista. Jos poistat nämä tiedostot, et voi koskaan käynnistää Windowsia uudestaan. Voit kokeilla pari rootkit-poistosovellusta, kuten UnHackMe tai F-Secure BlackLight Beta, mutta älä luota niihin liian paljon, jotta tuholainen voidaan poistaa turvallisesti.
Se voi kuulostaa shokkiterapialta, mutta ainoa todistettu tapa poistaa juurikoodi on alustamalla kiintolevy ja asentamalla käyttöjärjestelmä uudelleen (puhtaasta asennusvälineestä, tietysti!). Jos sinulla on johtolankaa mistä sait rootkit-tiedoston (oliko se mukana toisessa ohjelmassa, vai lähettikö joku sen sinulle sähköpostitse?), Älä edes ajattele käynnistä tai tarttuta tartunnan lähdettä uudestaan!
Kuuluisia esimerkkejä juurikomiteoista
Juurikomiteat ovat olleet saumattomassa käytössä vuosia, mutta vain viime vuoteen saakka, jolloin he esiintyivät uutisotsikoissa. Sony-BMG: n tapaus heidän DRM (Digital Right Management) -tekniikallaan, joka suojasi luvattomia CD-kopioita asentamalla juurikoodin käyttäjän koneelle, aiheutti terävän kritiikin. Oli oikeudenkäyntejä ja rikostutkintaa. Sony-BMG: n oli tapauksen ratkaisun mukaan poistettava CD-levynsä myymälöistä ja korvattava ostetut kopiot puhtailla. Sony-BMG: tä syytettiin järjestelmätiedostojen salaa peittämisestä yrittäessä piilottaa kopiosuojausohjelma, jota käytetään myös lähettämään yksityisiä tietoja Sonyn sivustoon. Jos käyttäjä poisti ohjelman, CD-asema ei ollut käyttökelpoinen. Itse asiassa tämä tekijänoikeuksien suojaamisohjelma loukkasi kaikkia yksityisyyden suojaa koskevia oikeuksia, käytti laittomia tekniikoita, jotka ovat tyypillisiä tällaiselle haittaohjelmalle, ja ennen kaikkea jätti uhrin tietokoneen alttiiksi useille hyökkäyskannoille. Suurille yrityksille, kuten Sony-BMG, oli tyypillistä mennä ylimieliselle tielle ensin sanomalla, että jos suurin osa ihmisistä ei tiennyt mitä juurikoodi on, ja miksi he välittäisivät siitä, että heillä oli sellainen. No, jos ei olisi ollut sellaisia miehiä kuin Mark Roussinovich, joka soitti ensimmäisenä kelloa Sonyn juurikoodista, temppu olisi voinut toimia ja miljoonat tietokoneet olisivat saaneet tartunnan - melko maailmanlaajuinen rikos yrityksen älykkyyden väitetyssä puolustamisessa. kohde!
Samanlainen kuin Sony, mutta kun Internet-yhteys ei ollut välttämätöntä, on kyse Norton SystemWorksista. On totta, että molempia tapauksia ei voida verrata eettisestä tai teknisestä näkökulmasta, koska vaikka Nortonin rootkit (tai rootkit-kaltainen tekniikka) muuttaa Windows-järjestelmätiedostoja Nortonin suojatun roskakorin mukauttamiseksi, Nortonia ei tuskin voida syyttää haitallisista tarkoituksista rajoittaa käyttäjän oikeudet tai hyötyä juurikoodista, kuten Sony. Naamioinnin tarkoituksena oli piilottaa kaikki (käyttäjät, järjestelmänvalvojat jne.) Ja kaikki (kaikki ohjelmat, Windows itse) käyttäjien poistamien tiedostojen varmuuskopiohakemistosta, joka voidaan myöhemmin palauttaa tästä varmuuskopiohakemistosta. Suojatun roskakorin tehtävänä oli lisätä vielä yksi turvaverkko nopeita sormeja vastaan, jotka ensin poistetaan, ja miettiä sitten, ovatko ne poistaneet oikeat tiedostot, tarjoamalla ylimääräisen tavan palauttaa roskakorista poistetut tiedostot ( tai jotka ovat ohittaneet roskakorin).
Nämä kaksi esimerkkiä ovat tuskin kaikkein vakavimpia rootkit-toiminnan tapauksia, mutta ne on syytä mainita, koska kiinnittämällä huomiota näihin erityistapauksiin kiinnitettiin yleistä etua koko rootkit-ohjelmaan. Toivottavasti nyt yhä useammat ihmiset eivät vain tiedä, mikä on juurihakemisto, vaan huolehtia siitä, että heillä on sellainen, ja pystyä tunnistamaan ja poistamaan ne!
