Professional Documents
Culture Documents
A láthatatlan ellenfél
A
rootkitek olyan speciális hac- a függvénykészletbe, melyet a gép- kat, amelyek által megszerezhe- Bár a rootkitek csak néhány éve
ker eszközkészletek, amelye- re telepített programok rendre meg- tő a rendszergazdai szintű hozzáfé- kerültek az érdeklődés középpont-
ket a támadók arra használ- hívnak –, és azt magára irányítva rés. Sokkal inkább az a fő célkitűzé- jába, már korábban is használatban
nak, hogy rendszergazda szintű jogo- ellenőrzi, átalakítja annak erede- se, hogy lehetővé tegye a behatoló voltak, csak nem mindig vettük ész-
sultságot szerezhessenek maguknak. ti működését. Ha például egy olyan számára ténykedésének, valamint re őket. Greg Hoglund független biz-
tonsági szakértő egyenesen úgy véli,
hogy a Windows-alapú rootkit al-
kalmazások titokban ugyan, de már
évek óta széles körű használatban
vannak. Hoglund már 1999-ben fi-
gyelmeztetett a probléma veszé-
lyességére, sőt, demonstrációs céllal
Nyíltan hirdeti fejlesztője az AFX-csomagot: 100 dollárért bárki vehet „észlelhetetlen” rootkitet több rootkitet is írt – például az igen
elterjedt Hacker Defendert. Nehe-
A rootkiteket eredetileg a UNIX/Li- könyvtár listázására adunk utasí- a rendszer sebezhetőségének lep- zíti a küzdelmet, hogy a rootkitek
nux operációs rendszerekre készítet- tást, amelyben a rosszindulatú kó- lezését. több fajtája nyílt forráskódú, azaz
ték, és céljuk a legmagasabb – az úgy- dot tartalmazó program található,
nevezett root, vagyis a rendszergazda akkor ennek neve a manipuláció ré-
szintű – jogosultság megszerzése volt, vén hiányozni fog a listából. Ugyan-
ezzel ugyanis át lehet venni az adott ez történhet egy adott rendszerle-
számítógép feletti irányítást. író adatbázisbeli (Registry) bejegyzés
A Windowst futtató gépek esetében ellenőrzésekor is. Minden parancs-
más a helyzet: itt elsősorban progra- forgalom az ellenőrzése alá kerül –
mok, futó folyamatok (processzek) szakszóval „meghookolja” a felhasz-
vagy Registry-bejegyzések álcázása, nálói függvényeket. Ha a rootkitet
biztonsági alkalmazások előli elrejté- távolról vezérlő hacker úgy kívánja,
se a cél. Ez esetben a jogosultságnak bármilyen más állományt is elrejthet
nincs kiemelt szerepe, hiszen több- ily módon, többek között a megtá-
nyire minden felhasználó a létező leg- madott gépre távolról feltöltött ille-
magasabb szintű, vagyis adminisztrá- gális – akár terrorista, pornó- vagy
tori privilégiumokkal szerepel. warezanyagokat is.
lyamatok, automatikus indításra jo- Íme a nagy vihart kavaró Sony A vírusirtó nem jel-
gosult alkalmazások listája, Registry- BMG album, amelyen – mint zett a nagy telepítőcso-
utóbb kiderült –, nem csak
bejegyzések, memóriafoglaltság stb.) magokra, a telepítés vi-
zeneszámok voltak...
mentését összehasonlítani egy ga- szont az USB-eszközök
rantáltan tiszta (például CD, DVD) fizikai megléte nélkül
lemezről történő indulás utáni ha- kezdetben még tagadta nem hajtható végre. Kis
sonló mintavétellel. Ha ebben a két a kényes esetet, a bizonyí- nyomozgatás után az-
lementett állapotban a futó folya- tékok súlya alatt meghajolva tán a BioSecure\fg.exe
matok, a felhasznált memóriaterület visszavonta a DRM máso- állományra terelődött
vagy bármi egyéb vonatkozásában lásvédelmét. Erre nemcsak a gyanúnk, amely ré-
különbözőségre derül fény, az ala- a hirtelen támadt publici- sze mindkét telepítőcso-
pos további nyomozásra adhat okot. tás, hanem az ellene indított magnak. A ProcessMo-
perek sorozata is rákény- nitorral kísért próbafut-
Híres rootkitek: a Sony szerítette (hopp.pcworld. tatás során látszik, hogy
BMG másolásvédeleme hu/3508). létrehoz egy új meghaj-
A Winternals Software társalapító- Túl a személyiségi jogok tóállományt C:\WIN-
ja és vezető szoftvermérnöke, Mark megsértésén, további fontos DOWS\SYSTEM32\DRI-
Russinovich leplezte le a Sony BMG momentum, hogy a Sony VERS\FG.SYS néven, ezt
által használt, rootkitalapú CD-máso- másolásvédelmi program- a NOD32 sikeresen ész-
lásvédelmet. Őt olyan jelentős prog- ja olyan sebezhetőséget leli, beállításától függő-
ramok készítőjeként ismerhetjük, nyitott a számítógépeken, en haladéktalanul törli,
mint a RegMon, FileMon, Proces- amelyet nem sokkal később a kü- re, és az F-Secure kutatói szerint az illetve karanténba helyezi.
sExplorer vagy éppenséggel a root- lön erre a célra írt vírusok már ki is eszköz kínai fejlesztésű szoftvere Az ilyen, rejtett könyvtáron ala-
kiteket felderítő RootkitRevealer al- használtak, így szinte láthatatlanul működése közben rejtett könyvtá- puló megoldások az előző BMG-
kalmazás. be tudtak férkőzni ezekbe a rend- rat hoz létre. esethez kísértetiesen hasonló hely-
A 2005 novemberében kipattant szerekbe. Az XCP és más hasonló Azért elképesztő az eset, mert zetet eredményezhetnek. A rej-
botrányt a First4 Internet cég által rootkitek eltávolítása rendkívül ké- úgy gondoltuk, aki korábban már tett könyvtárba másolt állományok
kifejlesztett és illegálisan alkalmazott nyes és komoly szaktudást igény- ilyen hatalmas tanulópénzt volt nemcsak a felhasználók, hanem
digitális jogkezelő rendszer (DRM, lő folyamat, mivel roppant komplex kénytelen kifizetni elhibázott lé- számos vírusvédelmi program előtt
Digital Right Management) okozta. módon épülnek be a rendszerbe, pése miatt, az nem követi el újra is észrevétlen marad, és így, mond-
ugyanazt. A Sony először cáfol- hatni megágyaznak egy láthatatlan
ta az értesülést, később pedig nem vírusnak. A kártevők szerzői hamar
kommentálta az F-Secure több kihasználják az ilyen kényes infor-
mint egy hónapja tett felfedezését, mációt, és pontosan ebbe a mappá-
viszont amikor az USM-F jelű ter- ba fogják telepíteni „láthatatlan” ví-
mékében is azonosították a rootki- rusaikat, kémprogramjaikat. Ezzel
tet, hivatalos weblapján elérhetet- a gyártó olyan veszélynek teszi ki
lenné tette a két eszközhöz tarto- a gyanútlan felhasználókat, ami sze-
zó meghajtóprogramok (driverek) rintünk nem megengedhető.
letöltését.
Kíváncsiak lettünk a dologra, és Védelem ideális ESET-ben
vásárolni indultunk a magyarorszá- Hagyományos vírusok esetében ál-
gi webáruházakba, de nem talál- talában megoldást jelent egy ví-
tunk rá egyik típusra sem. A Vate- ruskeresés lefuttatása. A rootkitek
rán és a német eBayen sem jártunk azonban képesek arra, hogy akti-
szerencsével. Ezért inkább a meg- válásuk után láthatatlanná tegyék
hajtóprogram-
csomagra fóku- A Pinch Kill menüjében tetszés szerinti folyamat (pro-
száltunk – és nem cess), például az ismert víruskeresők ellen is indítható
kikapcsolási kísérlet
hiába. Az FL-tí-
pusra egy drivere-
A NOD32 antivírus bekapcsolt Anti-Stealth üzemmódban képes az FU-rootkit ket kínáló magyar
rejtett komponenseit is tevékenységük közben észlelni és törölni oldalon, a drivers.
hu-n akadtunk rá,
míg az F válto-
Ez az XCP nevű rootkites védelem ezért tapasztalatlan felhasználóknak zathoz szükséges
hálózati forgalmat kezdeményezett megfelelő segédeszköz nélkül sem- szoftvert éppen
a Sony szerverei felé, és jelentette, miképpen nem javasolt. Egy szak- a Sony oldaláról
kik, mikor és milyen IP-címmel ren- szerűtlen próbálkozás indíthatatlan sikerült letölteni.
delkező számítógépen játszották le Windowst eredményez. Ehhez kitartóan
az adott zenei CD-t. Ez ijesztő mó- kellett próbálkoz-
don azt mutatja, hogy a cég Nagy Rootkit a Sony USB-kulcson nunk, de végül
Testvérként figyelemmel kísérhette Úgy tűnik, van, aki semmiből nem is találtunk olyan
a felhasználók szokásait. Jól jellemzi tanul. Alig másfél évvel később országot – Indi-
egy átlagfelhasználó kiszolgáltatott- a Sony ismét magára irányította a fi- át –, ahol Isten
ságát, hogy bár a Sony végfelhasz- gyelmet Microvault USM-F pen malmai lassabban
nálói szerződésének egyik apró be- drive-sorozatával. Ez év augusz- őrölnek, és az
tűs pontjában szerepel, hogy telepít tus 27-én igen érdekes felfedezésről ideiglenes vissza
egy szoftvert a számítógépre, annak számolt be az F-Secure weblogja. vonás ellenére
funkcionalitása nincs egyértelműen Kiderült, hogy a Sony MicroVault sem távolították
megjelölve, továbbá arról sem esik USM 512 FL jelű, ujjlenyomat-azo- még el a progra-
szó, hogy a későbbiekben ezt lehe- nosításra alkalmas flashmeghajtó- mot a helyi Sony-
tetlen lesz eltávolítani. Bár a Sony ja titokban rootkitet telepít a gépek- honlapról.