Bezbednost na Internetu

Rootkit softverske alatke postaju ozbiljna pretnja

Jedna od najgorih stvari koju možete poželeti administratoru bilo koje mreže ili servera povezanih na Internet jeste da ima rootkit u svom sistemu. Ukoliko mu ubacite taj crv sumnje, posmatraćete ga kako pati, kako ga uznemirujuće misli lagano nagrizaju... jer rootkit na sistemu znači mnogo: ne samo poniženje, već i činjenicu da više nije gospodar sistema koji bi trebalo da bude u njegovim rukama. Neko je tiho i neprimetno, iza kulisa, stekao visok stepen kontrole, a administrator ne zna ni ko je to ni kakve su mu namere. Recimo, kao da neko ima ključeve od vašeg stana, a vi kao vlasnik o toj osobi i njenim namerama ne znate ništa. A sada zamislite to isto u slučaju neke firme i njenog računarskog sistema...

Za sve je „kriv” UNIX

Pojam „rootkit” nije novijeg datuma. Prvi put počeo je da se pominje još u zlatno doba UNIX-a, kada se različit rootkit softver koristio za dobijanje root (administratorskih) privilegija na napadnutom sistemu.

Danas rootkit alatke za Windows rade na drugačiji način i obično se koriste za skrivanje različitih vrsta malicioznog softvera od vlasnika sistema, pre svega od antivirusnog softvera. Rootkit sam po sebi nije zlonameran program, već neka vrsta neutralne alatke koja je u slučaju skrivanja virusa, crva, malih vrata i spajvera iskorišćena u negativne svrhe.

Rootkit sam po sebi ne čini nikakvu štetu, ali ako je kombinovan sa drugim štetnim programom, može da predstavlja pravi razlog za glavobolju, ukoliko uopšte dođete do informacije da ga imate na svom sistemu. Zbog toga je potencijal rootkit alatki ogroman, a antivirusne kompanije priznaju da ovaj koncept još nije ni približno nije iskorišćen u onoj meri u kojoj bi mogao da bude. Nažalost, uvid u dešavanja na malware sceni jasno pokazuje da se tendencije kreću u tom smeru – čak i antivirusne kompanije priznaju da očekuju povećanje broja štetnog softvera koji će koristiti moć rootkit alatki.

Među najpoznatijim rootkit alatkama svakako su Hacker Defender i FU, ali su takođe poznati slučajevi kombinovanja rootkita sa spyware i adware programima EliteToolbar, ProAgent i Probot SE, trojancima Berbew/Padodor i Feutel/Hupigon, kao i crvima Myfip.h i porodicom Masian.

Sveobuhvatna odbrana

Logično pitanje je da li antivirusni programi mogu da otkriju štetne programe u kombinaciji sa rootkit alatkama i da spreče njihovo instaliranje. U nekim slučajevima mogu, pa se iz tog razloga pisci ovakvih programa trude da kreiraju softver koji će biti „svež” i ostati nepoznat antivirusnim programima. Cilj ovakvog softvera je samo da prođe prvu liniju odbrane, a zatim prelazi u stealth mod i postaje nevidljiv.

Na trendove u ovoj oblasti nedavno je upozorila kompanija McAfee, naglasivši da je u proteklih nekoliko godina rootkit tehnologija veoma napredovala, tako da prosečne alatke danas imaju preko dve hiljade komponenata, u odnosu na pređašnjih tridesetak. Kada se instalira, rootkit prikriva sve fajlove nekog trojanca ili bilo čega drugog čemu je pridružen, ali takođe i povezane procese i registry ključeve, pa ga klasičan antivirusni softver jednostavno ne vidi.

Kada je instaliran, rootkit funkcioniše tiho u pozadini sistema, a šanse da se detektuje njegovo postojanje leže u tome da se skeniraju procesi u radnoj memoriji, da se nadzire saobraćaj na mreži ili registruje instaliranje programa bez znanja administratora. Međutim, veštine kreatora rootkit softvera napreduju, pa su tako najnovije verzije sposobne da presreću sistemske upite upućene kernelu operativnog sistema, filtrirajući sopstvene. Rezultat je takav da jednostavno odsustvuju svi znakovi toga da se odvija proces koji pokreće zlonamerni softver, počev od imena izvršnog fajla pa do podešavanja u registry bazi. Posledica je da zlonamerni program postaje i ostaje potpuno nevidljiv. A da ne pominjemo upotrebu enkripcije za komunikaciju rootkit i hakera.

BlackLight za miran san

Bezbednosni stručnjaci za Windows zabrinuti su zbog mogućeg razvoja ove tehnologije, pošto je on najugrožniji sistem, mada rootkit alatke postoje i u verzijama za Linux i Mac OS X. Ozbiljne korake u smislu odbrane načinila je kompanija F-Secure ponudivši anti-rootkit softver po imenu BlackLight (www.f-secure.com/blacklight). Njegova primarna svrha je da otkrije zlonamerni softver koji koristi rootkit tehnologiju i da ga ukloni čak i kada je aktivan na sistemu.

BlackLight kompanije F-Secure je jedan od popularnih programa ovog tipa i u širokoj upotrebi je kao samostalna aplikacija, a sada je integrisan u paket F-Secure Internet Security 2007. Zbog toga je povlačenje samostalne verzije bilo predviđeno aprila ove godine, ali je zbog velikog interesovanja taj rok odložen za nekoliko meseci.

BlackLight u velikoj meri podseća na RootkitBuster, sličan proizvod kompanije Trend Micro, ne samo zbog tehnologije koja je upotrebljena, već i zbog načina funkcionisanja. Program je veoma mali (880 KB) i nema gotovo nikakvih komandi osim dugmadi Scan i Stop. Kada se pokrene skeniranje sistema, program je moguće ostaviti u pozadini da obavlja svoj posao, mada se može primetiti usporavanje računara. Proces skeniranja dugo traje čak i na manjim sistemima, pa ga nije preporučljivo raditi suviše često. Međutim, pokazao se kao dosta uspešan u pronalaženju skrivenih fajlova i procesa. Kada nađe rootkit, program nudi opciju uklanjanja. Program je besplatan i može se preuzeti sa web sajta proizvođača.

Najbolje rešenje bi ipak bilo da se koristi paket F-Secure Internet Security 2007 koji u sebi ima integrisan softver BlackLight. Ovo daje sveobuhvatnu i uspešnu odbranu.

Na kraju ove priče o opasnostima koje donose rootkit alatke, recimo i ovo: treba zapamtiti da sve već prihvaćene i poznate mere predostrožnosti u slučaju virusa i crva važe i u slučaju rootkita, možda čak i u većoj meri.

Mirko PERAK