Kto z Internautów nie sÅ‚yszaÅ‚ choć raz groźnie brzmiÄ…cej nazwy: rootkit? Chociaż ma ona dość dÅ‚ugÄ… tradycjÄ™, w kulturze masowej zaczęła siÄ™ pojawiać w poÅ‚owie roku 2005. WczeÅ›niej można siÄ™ byÅ‚o z niÄ… spotkać jedynie w Å›rodowiskach Å›ciÅ›le technicznych, zazwyczaj zwiÄ…zanych z systemami opartymi o platformÄ™ Unix, później natomiast z roku na rok byÅ‚a coraz bardziej popularna, aby w koÅ„cu stać siÄ™ jednym z kluczowych sÅ‚ów zwiÄ…zanych z branżą antywirusowÄ….

Czym wiÄ™c jest rootkit? NajproÅ›ciej rzecz ujmujÄ…c, rootkit to program potrafiÄ…cy ukrywać pewne elementy istniejÄ…ce na dysku (np. pliki, foldery) oraz dziaÅ‚ajÄ…ce w systemie operacyjnym (np. procesy, usÅ‚ugi) przed użytkownikiem i administratorem. MogÅ‚oby siÄ™ zdawać, że to nic takiego, że istniejÄ… poważniejsze zagrożenia: te, które szpiegujÄ… nasze dziaÅ‚ania, wykradajÄ… cenne dane, rozsyÅ‚ajÄ… spam bÄ…dź budujÄ… botnety. I po części sÅ‚usznie - rootkit sam w sobie nie przejawia wielkiej szkodliwoÅ›ci. Jednak trzeba wiedzieć, że rootkit jest tylko narzÄ™dziem, technikÄ… stosowanÄ… do ukrywania Å›ladów ataku bÄ…dź zwiÄ™kszenia skutecznoÅ›ci innych zÅ‚oÅ›liwych programów - i że jako takie narzÄ™dzie jest on z pewnoÅ›ciÄ… zarówno bardzo potężny jak i niebezpieczny.

Pierwsze rootkity pojawiÅ‚y siÄ™ niemal 20 lat temu i byÅ‚y przeznaczone dla platformy Unix. MiaÅ‚y one postać paczek narzÄ™dzi (kit), które pomagaÅ‚y atakujÄ…cemu w uzyskaniu i utrzymaniu praw administratora (root) w systemie. PoczÄ…tkowo byÅ‚y to programy niezwykle rzadkie, pisane na potrzeby konkretnego przypadku wÅ‚amania lub po prostu w celu wykazania sÅ‚aboÅ›ci którejÅ› z technik zabezpieczeÅ„. Pod koniec lat 90-tych zaczęły powstawać koncepcje ukrywania plików i procesów na platformie Windows, które kilka lat później zostaÅ‚y zaadaptowane przez twórców szkodliwego oprogramowania.

Obecnie sÅ‚owo "rootkit" - w wiÄ™kszoÅ›ci przypadków kojarzone już z systemami z Redmond - ma Å›cisÅ‚y zwiÄ…zek ze wspóÅ‚czesnym krajobrazem zagrożeÅ„. Można nawet powiedzieć, że stosowanie technik rootkita jest jednym z najsilniejszych trendów w rozwoju szkodliwego oprogramowania. Rootkity pojawiajÄ… siÄ™ zazwyczaj w postaci moduÅ‚ów, stanowiÄ…cych część wiÄ™kszej caÅ‚oÅ›ci i majÄ… na celu ukrywanie dziaÅ‚aÅ„ wÅ‚aÅ›ciwego szkodnika na komputerze ofiary. Szkodnikiem, jakiego chroniÄ…, może być zarówno wykradajÄ…cy dane program szpiegowski, jak i pozwalajÄ…cy na zdalnÄ… kontrolÄ™ backdoor, czy rozsyÅ‚ajÄ…cy spam robak internetowy. Nie ma tu reguÅ‚y - każdy twórca malware'u może zastosować odpowiednie techniki, aby ukryć swój program w systemie ofiary tak dÅ‚ugo, jak to tylko możliwe. Im dÅ‚użej dziaÅ‚a szkodliwa aplikacja, tym wiÄ™cej korzyÅ›ci odnosi cyberprzestÄ™pca.

Jak dostrzec niewidoczne?

Oto jest pytanie ;) WspóÅ‚czesny rootkit tak sprytnie modyfikuje wewnÄ™trzne struktury systemu operacyjnego, że caÅ‚y system i wszystkie podawane przez niego dane stajÄ… siÄ™ niegodne zaufania. MówiÄ…c proÅ›ciej: goÅ‚ym okiem nie można dostrzec elementów ukrywanych przez rootkita. Nawet doÅ›wiadczony administrator systemu, bez zastosowania specjalnych technik i narzÄ™dzi, nie bÄ™dzie w stanie zweryfikować istnienia ukrytego w ten sposób procesu czy pliku. Po udanej instalacji rootkita w systemie, jest on niezmiernie ciężki do wykrycia przez zwykÅ‚ego użytkownika, najlepszym wiÄ™c, co można zrobić, jest zapobiec infekcji rootkitem :) Do infekcji takiej zazwyczaj dochodzi w sposób podobny, jak to siÄ™ dzieje w przypadku każdego innego zÅ‚oÅ›liwego oprogramowania, wiÄ™c najpopularniejsze zasady bezpieczeÅ„stwa, takie jak regularne aktualizacje i stosowanie kompleksowej ochrony antywirusowej bÄ™dÄ… tu podstawÄ….

Co jednak, jeÅ›li rootkit już dziaÅ‚a w systemie? Na szczęście wiÄ™kszość wspóÅ‚czesnych aplikacji antywirusowych posiada odpowiednie moduÅ‚y, które sÄ… w stanie wykrywać i usuwać tego typu zagrożenia. Istnieje również wiele darmowych narzÄ™dzi, które majÄ… zróżnicowane możliwoÅ›ci, a swojÄ… skuteczność osiÄ…gajÄ… dziÄ™ki temu, że sÄ… ukierunkowane wyÅ‚Ä…cznie na walkÄ™ z rootkitami. Duży wybór takich programów można znaleźć na przykÅ‚ad na stronie http://antirootkit.com.

Nie należy siÄ™ jednak sugerować iloÅ›ciÄ… oferowanych rozwiÄ…zaÅ„. Techniki, jakie stosujÄ… rootkity stajÄ… coraz bardziej wyrafinowane, a twórcy szkodliwego oprogramowania wrÄ™cz przeÅ›cigajÄ… siÄ™ w pomysÅ‚ach ze specjalistami z branży bezpieczeÅ„stwa. Nowe rootkity majÄ… tÄ™ przewagÄ™, że mogÄ… dziaÅ‚ać niepostrzeżenie, aż do momentu, w którym po raz pierwszy zostanÄ… wykryte. Dlatego zdecydowanie lepiej jest zapobiegać, niż leczyć. ZresztÄ… ta zasada nie odnosi siÄ™ jedynie do rootkitów...