A rootkitekről bővebben
Rootkitek: a láthatatlan veszély
A rootkitek olyan mélyen beássák magukat az operációs rendszerbe, hogy a szabványos biztonsági programoknak esélyük sincs, hogy felfedezzék őket. A csúcsfejlesztésű trójaiak olyan programgyűjtemények, amelyek jelszavakat naplóznak, elérést szereznek a hackereknek, minden billentyűleütést feljegyeznek, a hálózatban hallgatóznak információk után – feltűnés nélkül.
Ha hiszünk (és miért ne hinnénk) az olyan specialistáknak, mint az F-Secure, a technológiában még nagy lehetőségek rejlenek, amelyet a jövőben még nagyobb erővel fognak vírusok és férgek álcázásához felhasználni. Már most vannak olyan férgek, amelyek a Sony rootkitet használják. Ennek az az oka, hogy a vírusvizsgálók nem tudják felderíteni a rootkiteket, mivel ezek mélyen a Windows-API-ba (Application Program Interface) ékelődnek. Az alkalmazások – tehát a vírusvizsgálók és a tűzfalak is – az API-n keresztül indítják el az operációs rendszer alapvető funkcióit, például a merevlemez vagy a Registry elérését. A rootkit minden kérést elfog és eldönti, mely adatokat láthat a biztonsági alkalmazás. Például, ha egy vírusölő a rootkit fájlnevét keresi, kiszűr minden megfelelő bejegyzést az operációs rendszer válaszából. A trójai tehát láthatatlan marad.
Így leplezhetjük le a rootkiteket: Az ismert Windows-rootkitek nagyja szerencsére (még) nem álcázza magát tökéletesen. A Slanret trójait rendszer-meghajtóként írták meg, ezért csökkentett módban láthatóvá válik. Ezen kívül gyakran okoz lefagyásokat. További rootkitre utaló jelek az erősen zsugorodó merevlemezhely, a CPU-teljesítmény megmagyarázhatatlan változásai, és persze az ismeretlen internetkapcsolatok. A profik ezen kívül olyan programokat is használnak, mint a RootkitRevealer, hogy kitalálják, melyik API-cím lett eltérítve. Az is célravezető, ha összehasonlítják a fájlokat a merevlemezen egy előzőleg készített tiszta backuppal.
Így távolíthatjuk el a rootkiteket: A legradikálisabb megoldás a legjobb – a formattálás és az újratelepítés minden rosszindulatú programot kiiktat. Utána minden jelszót újra kell cserélni. Sajnos a speciális szkennerek, mint például a BlackLight, bonyolultak, és csak a profiknak segítenek felkutatni és törölni a rootkiteket. A vad rootkitek számos variációjához sajnos még nincs egyszerű eltávolító program, mint amilyen a Sony audio írásvédelmének rootkitje elleni program. A rootkiteknek azonban van egy közös gyengéjük: patchelt tűzfallal és vírusvizsgálóval ellátott PC-kre először egyáltalán nem jutnak fel, mert a felhasználó nem nyit meg gyanús csatolmányokat, és lemond ismeretlen szerzők kétes fájljainak letöltéséről.
Céges hacker-trükkök
Aki vesz egy zenei CD-t a Sony BMG-től vagy egy játékot a Blizzard Entertainmenttől, nem gondol aljas hackertrükkökre. Pedig amit a nagy konszernek megengednek maguknak, az jogilag legalábbis a szürke zónába tartozik.
Hogy védje zenéjét a rablómásolatoktól, a Sony BMG konszern egy egészen különleges másolásvédelmet programoztatott magának. Ha meg akarjuk hallgatni a zenéjüket egy Windows számítógépen, telepíteni kell egy lejátszót, amely a CD-n található. A felhasználó elől azonban azt elhallgatták, hogy a lejátszóval együtt mindjárt egy rootkit is feltelepül a gépre, amely eltakarja a másolásvédelem fájljait a kíváncsi tekintetek elől.
Ezt Mark Russinovich, a Sysinternals egyik programozójának véletlen felfedezése leplezte le. Mivel a titokzatos XPC névre hallgató másolásvédelem instabillá teszi az operációs rendszert, ezen kívül kapcsolatot vesz fel az internettel, a felhasználók heves tiltakozásának hatására a Sonynak be kellett vonnia a piacról az érintett CD-ket. Mindeközben az alternatív operációs rendszerek felhasználói akadálytalanul tudnak másolatokat készíteni, ezekre ugyanis nem telepíthető fel a rootkit.
Hogy megóvja a World of Warcraft online játék résztvevőit a cheaterektől (csalóktól), a Blizzard Entertainment olyan trükkhöz folyamodott, amelyet a játékostársadalom egyáltalán nem talált viccesnek.
A profi csalók, akik az eBay-en nem létező tárgyak eladásával keresnek pénzt, úgynevezett botokat, azaz olyan programokat használnak, amelyek teljesen automatizáltan vezérlik a játékfigurákat, és így fölöslegessé teszik. Hogy ezt megakadályozzák, a játékgyártó cég nekiállt minden aktív program címsorát kiolvasni és a játékszervernek elküldeni. Több mint kellemetlen, ha például épp ebben a pillanatban nyitva van egy online banking ablak, ugyanis akkor ez az információ is átmegy.
Szupervírus – made by Microsoft
Feje tetejére állt a világ: a Microsoft (együttműködve a Michigani Egyetem kutatóival) egy olyan rootkitet fejleszt, amely kiakasztja a Windowst. Az új, virtual machine based rootkit (VMBR) technikán alapuló, SubVirt névre hallgató szuper-rootkit ellen tehetetlenek a vírusvizsgálók. Ez ugyanis nem a megtámadott operációs rendszerben fut, hanem azzal párhuzamosan, virtuális környezetben.
A Microsoft természetesen nem állt át a másik oldalra. Ezzel a forgatókönyvvel csak bemutatja, mi minden juthat a hackerek eszébe a jövőben – és persze azt is demonstrálja, hogy a redmondiak fel vannak készülve az ilyesfajta fenyegetésekre.
A SubVirt ennek ellenére nyugtalanító: mi van ugyanis akkor, ha a redmondi fejlesztők a VMBR alapelvét felhasználva a felhasználók PC-it ellenőrzik? Ahogyan a rootkit működik, az egyfajta „Big Brother” forgatókönyvhöz is felhasználható: a SubVirt alapja a Microsoft VirtualPC szoftvere, amely egy PC-t emulál. A VMBR az operációs rendszer alá települ fel, és újraindítás után egy virtuális környezetben futtatja azt. Az alig 100 megabájtos telepítőfájl P2P-hálózatokon keresztül terjedhetne, a merevlemezen pedig észrevétlen méretet, 250 megabájtot foglal el. Felhasználóként alig lehet teljesítménycsökkenést észlelni, legfeljebb a hosszabb bootolás tűnhetne fel. Még a Microsoft egyik munkatársa is úgy ült egy fertőzött rendszer előtt, hogy semmit nem vett észre belőle.
Egy ilyen VMBR-t ugyan nem tud minden szkriptírkáló kölyök összehozni, de a kicsit képzettebb programozók már simán. Ha egyszer feltelepült, a rootkit minden elképzelhető alkalmazást tud futtatni. A Microsoft-kísérletben phishing mailszerver és keylogger futott – elméletileg azonban egy kikerülhetetlen másolásvédelmet is futtathatna, vagy egy ellenőrző mechanizmust, amely megakadályozza a nyílt forráskódú programok futtatását.
