ניתן לקרוא ל- Rootkits כצורה המתקדמת ביותר של קוד זדוני (תוכנה זדונית) ואחת הקשות ביותר לגלות ולחסל. מכל סוגי התוכנות הזדוניות, ככל הנראה וירוסים ותולעים זוכים לפרסום רב ביותר משום שהם נפוצים בדרך כלל. ידוע כי אנשים רבים הושפעו מנגיף או מתולעת, אך זה בהחלט לא אומר שנגיפים ותולעים הם הזדוניות המגוונות ההרסניות ביותר של. ישנם סוגים יותר מסוכנים של תוכנות זדוניות, מכיוון שככלל הם פועלים במצב התגנבות, הם קשים לאיתור והסרה ויכולים להימלט מבלי למשך פרקי זמן ארוכים מאוד, תוך קבלת גישה שקטה, גניבת נתונים ושינוי הקבצים במחשב הקורבן. .
דוגמה לאויב התגנבות כזה הם ערכות שורש - אוסף כלים שיכולים להחליף או לשנות תוכניות הפעלה, או אפילו את גרעין מערכת ההפעלה עצמה, על מנת לקבל גישה ברמת מנהל מערכת למערכת, שניתן להשתמש בה להתקנה. תוכנות ריגול, keyloggers וכלים זדוניים אחרים. בעיקרון, ערכת שורש מאפשרת לתוקף לקבל גישה מלאה דרך המכונה של הקורבן (ואולי לכל הרשת שהמכונה שייכת לה). אחד השימושים הידועים בערכת השורש שגרם לאובדן / נזק משמעותיים היה גניבת קוד המקור של מנוע המשחק Half-Life 2: Valve של מקור.
Rootkits הם לא משהו חדש - הם קיימים כבר שנים וידוע שהם ביצעו מערכות הפעלה שונות (Windows, UNIX, Linux, Solaris וכו '). אלמלא התרחשות המונית אחת או שתיים של אירועי שורש (ראו פרק הדוגמאות המפורסמות), אשר משך את תשומת ליבם הציבורית אליהם, ייתכן שהם שוב ברחו ממודעות, למעט על ידי מעגל קטן של אנשי ביטחון. נכון להיום, ערכות השורש לא שיחררו את מלוא הפוטנציאל ההרסני שלהן מכיוון שהן אינן מורחבות כמו צורות אחרות של תוכנות זדוניות. עם זאת, זה יכול להיות מעט נוחות.
מנגנוני Rootkit שנחשפו
בדומה לסוסים טרויאנים, וירוסים ותולעים, ערכות השורש מתקינות את עצמן על ידי ניצול פגמים במערכת האבטחה ומערכת ההפעלה, לרוב ללא אינטראקציה של משתמשים. למרות שיש ערכות שורש שיכולות להגיע כקובץ מצורף לדואר אלקטרוני או בצרור עם תוכנות לגיטימיות, הן אינן מזיקות עד שהמשתמש יפתח את הקובץ המצורף או יתקין את התוכנית. אך בניגוד לצורות פחות מתוחכמות של תוכנות זדוניות, ערכות השורש מסתננות עמוק מאוד למערכת ההפעלה ועושות מאמצים מיוחדים להסוות את נוכחותן - למשל על ידי שינוי קבצי מערכת.
בעיקרון, ישנם שני סוגים של ערכות שורש: ערכות שורש ברמת גרעין וערכות שורש ברמת יישום. ערכות שורש ברמת הליבה מוסיפות קוד לליבה של מערכת ההפעלה או משנות אותה. זה מושג על ידי התקנת מנהל התקן או מודול הניתן לטעון, המשנה את שיחות המערכת כדי להסתיר את נוכחותו של תוקף. לפיכך, אם אתה מסתכל בקבצי היומן שלך, לא תראה שום פעילות חשודה במערכת. ערכות השורש ברמת היישום מתוחכמות פחות ובדרך כלל קלות יותר לאיתור מכיוון שהן משנות את ההפעלה של היישומים ולא של מערכת ההפעלה עצמה. מכיוון ש- Windows 2000 מדווח על כל שינוי של קובץ הפעלה למשתמש, זה מקשה על התוקף שלא יבחין בו.
מדוע Rootkits מהווים סיכון
ערכות השורש יכולות לשמש דלת אחורית ולרוב אינן לבד במשימתן - הן מלוות לרוב על ידי תוכנות ריגול, סוסים טרויאניים או וירוסים. מטרות ערכת השורש יכולות להיות שונות משמחה זדונית ופשוטה של חדירה למחשב של מישהו אחר (והסתרת עקבות נוכחות זרה), לבניית מערכת שלמה להשגת נתונים חסויים שלא כדין (מספרי כרטיסי אשראי, או קוד מקור כמו במקרה של חצי חיים 2).
באופן כללי, ערכות השורש ברמת היישום פחות מסוכנות וקלות יותר לאיתור. אבל אם התוכנית בה אתה משתמש כדי לעקוב אחר הכספים שלך "תוקנה" על ידי rootkit, אז ההפסד הכספי יכול להיות משמעותי - כלומר, תוקף יכול להשתמש בנתוני כרטיסי האשראי שלך כדי לרכוש כמה פריטים ואם אתה לא לא תשים לב לפעילות חשודה במאזן כרטיס האשראי שלך בזמן, סביר להניח שלעולם לא תראה את הכסף שוב.
בהשוואה לערכות השורש ברמת הגרעין, ערכות השורש ברמת היישום נראות מתוקות ולא מזיקות. למה? מכיוון שבתאוריה, ערכת שורש ברמת הגרעינים פותחת את כל הדלתות למערכת. ברגע שהדלתות פתוחות, צורות אחרות של תוכנות זדוניות יכולות להחליק למערכת. לאחר זיהום rootkit ברמת הגרעינים ולא יכולת לאתר ולהסיר אותו בקלות (או בכלל, כפי שנראה בהמשך) פירושו שמישהו אחר יכול לקבל שליטה מוחלטת על המחשב שלך ויכול להשתמש בו בכל דרך שהוא או היא רוצים - למשל, לפתוח בהתקפה על מכונות אחרות, ליצור רושם שההתקפה מקורה במחשב שלך ולא ממקום אחר.
איתור והסרה של ערכות שורש
לא שקל קל לזהות ולהסיר סוגים אחרים של תוכנות זדוניות, אך ערכות שורש ברמת הגרעינים הן אסון מסוים. במובן מסוים, מדובר במדד 22 - אם יש לך rootkit, קבצי המערכת הדרושים לתוכנת Anti-rootkit עשויים להשתנות ולכן לא ניתן לסמוך על תוצאות הבדיקה. מה שכן, אם ערכת שורש פועלת, היא יכולה לשנות בהצלחה את רשימת הקבצים או רשימת התהליכים הפועלים שתוכנות אנטי-וירוס מסתמכים עליהם, ובכך לספק נתונים מזויפים. כמו כן, ערכת שורש פועלת יכולה פשוט לפרוק תהליכי תוכנית אנטי-וירוס מהזיכרון, ולגרום לכיבוי היישום או להפסיקו באופן בלתי צפוי. עם זאת, על ידי כך הדבר מראה בעקיפין את נוכחותו, כך שאפשר לחשוד כשמשהו משתבש, במיוחד עם תוכנה ששומרת על אבטחת המערכת.
דרך מומלצת לגילוי נוכחות של rootkit היא לאתחל מכלי תקשורת אלטרנטיבי, שידוע כנקי (כלומר גיבוי, או תקליטור הצלה) ולבדוק את המערכת החשודה. היתרון בשיטה זו הוא ש- rootkit לא יפעל (לכן הוא לא יוכל להסתיר את עצמו) וקבצי המערכת לא יתייחסו באופן פעיל.
ישנן דרכים לאתר ערכות שורש ו (לנסות) להסיר אותן. אחת הדרכים היא לקבל טביעות אצבע נקיות של MD5 של קבצי המערכת המקוריות, כדי להשוות בין טביעות אצבעות קבצי המערכת הנוכחיות. שיטה זו אינה אמינה במיוחד, אך היא טובה מכלום. השימוש בבאגים של גרעינים אמין יותר, אך הוא דורש ידע מעמיק במערכת ההפעלה. אפילו רוב מנהלי המערכת לעתים רחוקות יתייחסו אליו, במיוחד כשיש תוכניות טובות חינם לגילוי ערכות, כמו RootkitRevealer של מארק רוסינוביץ '. אם תעבור לאתר שלו, תמצא הוראות מפורטות כיצד להשתמש בתוכנית.
אם אתה מזהה ערכת שורש במחשב שלך, השלב הבא הוא להיפטר ממנו (קל יותר לומר מאשר לעשות). עם ערכות שורש מסוימות, הסרה אינה אפשרות, אלא אם כן ברצונך להסיר את כל מערכת ההפעלה! הפיתרון המובהק ביותר - למחוק קבצים נגועים (בתנאי שידעת אילו מדויקים בדיוק) אינו ניתן להחלה לחלוטין כשמדובר בקבצי מערכת חיוניים. אם תמחק קבצים אלה, רוב הסיכויים שלעולם לא תוכל לאתחל את Windows מחדש. אתה יכול לנסות כמה יישומים להסרת rootkit, כמו UnHackMe או F-Secure BlackLight Beta, אך אל תסמוך עליהם יותר מדי בכדי שיוכלו להסיר את המזיק בבטחה.
זה אולי נשמע כמו טיפול בהלם, אבל הדרך היחידה המוכחת להסיר ערכת שורש היא על ידי עיצוב הכונן הקשיח והתקנתו מחדש של מערכת ההפעלה (מדיית התקנה נקייה, כמובן!). אם יש לך מושג מאיפה הוצאת את ערכת השורש (האם זה היה מקושר בתכנית אחרת, או שמישהו שלח לך אותו בדואר אלקטרוני?), אל תחשוב אפילו לרוץ או לא לבטל שוב את מקור הזיהום!
דוגמאות ידועות למוצרי שורש
ערכות השורש נמצאות בשימוש התגנבות כבר שנים, אך רק עד השנה שעברה, כאשר הופיעו בכותרות החדשות. המקרה של Sony-BMG עם טכנולוגיית ה- Digital Right Management שלהם (DRM) שהגן על העתקת תקליטורים לא מורשים על ידי התקנת ערכת שורש במכונה של המשתמש עורר ביקורת חריפה. היו תביעות וחקירה פלילית. Sony-BMG נאלצה למשוך את התקליטורים שלהם מהחנויות ולהחליף את העותקים שנרכשו בכתבים נקיים, על פי הסדר המקרה. Sony-BMG הואשמה בגלימה בסתר של קבצי מערכת בניסיון להסתיר את נוכחותה של תוכנית ההגנה מפני העתקה ששימשה גם לשליחת נתונים פרטיים לאתר של סוני. אם התוכנית הוסרה על ידי המשתמש, כונן התקליטורים הופעל בלתי פעיל. למעשה, תוכנית זו להגנת זכויות יוצרים הפרה את כל זכויות הפרטיות, השתמשה בטכניקות לא חוקיות האופייניות לתוכנה זדונית מסוג זה, ומעל לכל, הותירה את מחשב הקורבן פגיע לזני התקיפה השונים. זה היה אופייני לתאגיד גדול, כמו Sony-BMG, ללכת בדרך היהירה על ידי הצהרתו שאם רוב האנשים לא היו יודעים מה זה rootkit, ולמה היה אכפת להם שיש להם כזה. ובכן, אם לא היו בחורים כמו מארק רוסינוביץ ', שהיה הראשון לצלצל בפעמון על ערכת השורש של סוני, הטריק יכול היה לעבוד ומיליוני מחשבים היו נגועים - עבירה עולמית למדי בהגנה לכאורה של אינטלקטואל של חברה תכונה!
בדומה למקרה של סוני, אך כאשר לא היה צורך להתחבר לאינטרנט, זהו המקרה של נורטון סיסטם וורקס. נכון שלא ניתן להשוות בין שני המקרים מנקודת מבט אתית או טכנית מכיוון שבעוד ש rootkit של נורטון (או טכנולוגיה דמויית rootkit) משנה את קבצי המערכת של Windows כדי להתאים לסל המיחזור המוגן של נורטון, בקושי ניתן להאשים את נורטון בכוונות זדוניות להגביל. זכויות המשתמש או ליהנות מ- rootkit, כפי שקורה לסוני. מטרת הסוואה הייתה להסתיר מכל אחד (משתמשים, מנהלי מערכת וכו ') וכל דבר (תוכנות אחרות, Windows עצמה) ספריית גיבוי של קבצים שמשתמשים מחקו, וניתן לשחזר אותם אחר כך מתיקיית הגיבוי הזו. תפקידו של סל המיחזור היה להוסיף עוד רשת ביטחון כנגד אצבעות מהירות שמוחקות תחילה ואז חושבים אם מחקו את הקבצים הנכונים, ומתן דרך נוספת לשחזר קבצים שנמחקו מפח המיחזור ( או שעקפו את סל המיחזור).
שתי הדוגמאות הללו אינן כמעט המקרים החמורים ביותר של פעילות rootkit, אך ראוי להזכיר אותן מכיוון שעל ידי משיכת תשומת לב למקרים הספציפיים הללו נמשך האינטרס הציבורי לערכות השורש בכללותן. יש לקוות שעכשיו אנשים רבים יותר לא רק יודעים מה זה ערכת שורש, אלא אכפת להם אם יש להם כזה, ויוכלו לאתר אותם ולהסיר אותם!
