WORTAL             INFORMACYJNO             EDUKACYJNY               MŁODYCH
  STRONA SZKOLNA      BEZPIECZNA SZKOŁA    SZKOŁA Z KLASĄ      O STRONIE       KSIĘGA GOŚCI      LINKI







































web stats stat24


Bezpieczny Internet.

Rootkity.


         Rootkity stanowią zagrożenie internetowe, które wywołało w ostatnim czasie wiele dyskusji, przede wszystkich dlatego, że wielkie firmy rozprzestrzeniają je w swoich produktach.

Ale czym właściwie jest rootkit? Dlaczego rootkity są takie niebezpieczne? Czy prawdą jest, że nie można ich usunąć z systemu? Spróbujemy odpowiedzieć na te pytania i obalić różne mity.

Słowo „rootkit” składa się z dwóch słów: „root” oraz „kit” (ang. „korzeń” i „narzędzie”). „Root” oznacza tu użytkownika posiadającego najszersze uprawnienia w systemach UNIX (może to być UNIX, AIX, Linux lub inny). Taka osoba jest nazywana „super-użytkownikiem”, „administratorem” lub całą masą innych określeń. Jest ona najwyższą władzą w systemie IT. Natomiast „kit” jest zestawem narzędzi, a więc rootkit jest grupą narzędzi administracyjnych.

W praktyce rootkity są programami, które po zainstalowaniu w systemie wykonują pewne jego modyfikacje tak, aby możliwe było wykonanie zaprogramowanych czynności bez ich wykrycia.

Mówiąc krótko, rootkity próbują pomóc ukryć się innym procesom, które wykonują niepożądane czynności w systemie. Na przykład, jeżeli w systemie znajdują się backdoors (tylne drzwi), które śledzą wykonywane czynności, wówczas rootkit ukrywa otwarte porty, mogące być ostrzeżeniem przed niepożądaną komunikacją. Albo jeżeli istnieje program rozsyłający spam, wówczas rootkit ukrywa wszelkie czynności związane z wysyłaniem wiadomości email. Jedynym ograniczeniem jest tutaj wyobraźnia twórcy rootkita.

Z racji swojej specyficznej budowy rootkit nie może być wykryty. Kiedy użytkownik (nawet administrator) próbuje przeanalizować system i sprawdza, jakie procesy są wykonywane, wówczas rootkit przekazuje fałszywe informacje, tzn. sprawia, że wszystkie procesy będą widoczne z wyjątkiem jego samego i procesów, które ukrywa. Ponadto, kiedy użytkownik próbuje wyświetlić listę plików w systemie, wówczas rootkit troszczy się o to, aby taka informacja się pojawiła, z wyjątkiem jego własnego pliku i plików ukrytych przez niego procesów.

Opisane rootkity mogą ukrywać pliki i procesy o nazwach rozpoczynających się od $sys$. Ten sposób jest teraz używany przez złośliwy kod poprzez przemianowanie pliku na “$sys$drv.exe”. Taki plik nie istnieje dla kogoś, kto go poszukuje, nawet dla programu antywirusowego.

Ta sama zasada obowiązuje podczas skanowania systemu przez program antywirusowy. Kiedy program pyta system operacyjny o listę plików, lub kiedy próbuje wykryć działające procesy, wówczas rootkit fałszuje przekazywaną informację i program antywirusowy nie otrzyma prawdziwych danych, których potrzebuje do zdezynfekowania systemu.

Ponadto, rootkity mają inny problem: nie jest to kod, który może się sam rozprzestrzeniać. Jeżeli w systemie jest rootkit, to jest tam dlatego, że został tam wprowadzony wprost, a nie przez Internet, jak to się dzieje w przypadku tradycyjnych robaków. Dlatego jest bardzo prawdopodobne, że rootkit został stworzony i zaprojektowany dla określonego systemu, a nie ogólnie dla grupy komputerów. Funkcje i charakterystyka rootkita zależą od systemu operacyjnego i jest to rozwiązanie „szyte na miarę”, mające siać spustoszenie w określonym systemie.


Rootkity i programy antywirusowe

Wobec takiego stanu rzeczy programiści rozwiązań antywirusowych muszą sprostać ogromnym trudnościom, jakie sprawia wykrycie niewidocznego procesu. Rootkit się nie rozprzestrzenia, a więc niemożliwe jest uzyskanie próbki jego kodu. Ponadto, skanowanie jest praktycznie niemożliwe, ponieważ nie da się uzyskać informacji o rootkicie, bo jest on niewykrywalny.

W mediach nie bez powodu pojawiła się lawina alarmów i ostrzeżeń o ogromnym niebezpieczeństwie wywoływanym przez te programy. Ryzyko jest ogromne, a konsekwencje infekcji mogą być bardzo poważne. Niemniej jednak czas rozwiać mit o tym, że takie programy są niewykrywalne.

Po pierwsze, aby rootkit mógł zarazić system, musi być najpierw zainstalowany. Obecnie, aby program (czy to rootkit, czy program pocztowy) mógł być zainstalowany w systemie, muszą być skopiowane do systemu określone pliki. Innymi słowy, aby pliki rootkita znalazły się w systemie, musi być użyty twardy dysk.

Od wielu lat programy antywirusowe stosują śledzenie pracy twardych dysków jako podstawowy sposób obrony przez złośliwym kodem. Każdy plik, jaki ma być umieszczony na twardym dysku, jest skanowany i w przypadku wykrycia zagrożenia jest usuwany. Dlatego, jeżeli rootkit jest znany, wówczas nawet prosty program antywirusowy potrafi przynajmniej go wykryć i w wielu przypadkach usunąć.

Ale rootkity mogą posiadać unikalną budowę, zaprojektowaną specjalnie dla określonego komputera. Trzeba wziąć pod uwagę, że program antywirusowy nie posiada wiedzy o rootkicie i nie ma go zanotowanego w swojej liście sygnatur.

Są nawet takie rootkity, które nie wykorzystują twardego dysku, jak np. robak SQLSlammer. W takim przypadku tradycyjne rozwiązania antywirusowe są bezskuteczne.

Rootkity i technologia TruPrevent™

Konieczne jest więc posiadanie systemu, który nie tylko obserwuje dyski, ale robi coś więcej. Zamiast analizować pliki bajt po bajcie, o wiele ważniejszą kwestią jest sprawdzanie, co się stanie, gdy dany plik zostanie uruchomiony.

Rootkity chcą wykonać czynności, które można określić jako „typowe”, takie jak uzyskanie uprawnień administratora, modyfikację wywołań podstawowych funkcji systemu, sfałszowanie informacji dostarczanych przez system… Te wszystkie czynności, traktowane osobno, stanowią niewielkie niebezpieczeństwo. Ale jeżeli są wykonywane jednocześnie w określonym momencie przez jeden program, wówczas pojawia się wyraźny sygnał, że coś dziwnego dzieje się w systemie.

Chociaż, jak już wspomnieliśmy, rozwiązania antywirusowe są całkowicie bezradne, niemniej jednak nowe technologie, wykrywające zagrożenia na podstawie ich objawów, są najbardziej skuteczne w wykrywaniu i unieszkodliwianiu rootkitów. Takie technologie nie opierają swojego działania na identyfikacji rozpoznanych wcześniej zagrożeń. Swój sukces zawdzięczają inteligentnej, automatycznej obserwacji stanu wykonywanego przez komputer procesu.

Jeżeli w systemie wykowywana jest seria czynności, i wszystkie (lub przynajmniej niektóre z nich) wydają się stanowić zagrożenie dla spójności danych lub prawidłowego działania systemu, wówczas obliczana jest grupa parametrów określająca ryzyko niesione przez taką czynność. Na przykład, żądanie przez proces uzyskania uprawnień administratora nie jest czymś nadzwyczajnym. Taki fakt pociąga sobą określone ryzyko, ale nie ma potrzeby wysyłania ostrzeżenia o zaistniałej sytuacji. Podczas instalacji jakiegoś programu uprawnienia administratora mogą być potrzebne do wykowania niezbędnych modyfikacji i prawidłowego uruchomienia plików.

Podobnie może się zdarzyć, że określony proces musi być ukryty, o ile nie otwiera on określonych portów komunikacyjnych lub nie rejestruje naciśnięć klawiszy. Niemniej jednak, jeżeli wszystkie te czynności wykonywane są jednocześnie, wówczas taki proces może być podejrzany. W takim przypadku konieczna jest dokładna analiza w celu umożliwienia bezpiecznego działania procesu.

W tym momencie ujawnia swoją moc technologia TruPrevent™, której celem jest obserwacja procesów i ocena poziomu ryzyka, jakie ze sobą niosą. Jeżeli procesy wydają się naprawdę niebezpieczne, wówczas są blokowane, a ich próbka jest przesyłana do analizy do laboratorium Panda Software.

Usuwanie rootkitów

  • Pomimo całego zamieszania wokół rootkitów mogą one być usunięte, chociaż nie jest to taką prostą sprawą, jak w przypadku wirusa „Friday the 13th”. Rootkity troszczą się o to, aby się ukryć, przez co inne procesy (na przykład programy antywirusowe) nie mogą ich wykryć. Ale aby taki proces mógł się ukryć, musi być najpierw uaktywniony i działać w pamięci systemu.


  • Najskuteczniejszym sposobem zapobiegania uruchomienia się takiego procesu jest uruchomienie systemu operacyjnego nie z dysku, na którym znajduje się rootkit, ale z innego, np. płyty CD. W ten sposób rootkit, o ile jest znany, może zostać usunięty.


  • Ale niestety, jeżeli rootkit nie jest znany (innymi słowy, jeżeli został napisany specjalnie dla danego systemu), żaden program antywirusowy go nie wykryje. W takim przypadku problem techniczny jest najmniej ważny, bo oznacza to, że jakaś osoba świadomie działa na szkodę firmy i stara się dostać do systemu i uszkodzić go.


  • W takiej sytuacji, oprócz śledztwa policyjnego, konieczna jest pomoc specjalistów od bezpieczeństwa, posiadających odpowiednie środki do sądowego przejrzenia dysków i w przypadku wykrycia rootkita, do usunięcia go.


  • br>











































          © 2005  Szkoła Podstawowa nr 4 im. Mikołaja Kopernika
    ul. Włókniarzy 10A
    34 - 120  Andrychów
    tel./fax (033) 875 - 20 - 82,
    kontakt e-mail: sp4an@interia.pl      
    Webmaster kontakt e-mail: ew70@poczta.onet.pl
    Wszystkie prawa zastrzeżone