Gazdaság

Lopakodó machinátorok

A rootkitek sokszor a vírusirtók elől is elrejtik, hogy mi zajlik valójában a gépben. Ezzel eszközök lehetnek a rendszer elleni rosszindulatú támadások során.

Nagy port kavart a napokban az a felismerés, hogy sebezhető a Sony digitális másolásvédelmi rendszere. Az F-Secure internetes biztonsági cég honlapján jelent meg a bejelentés: a másolásvédelem rootkitet telepít a számítógépre, azaz olyan eszközcsomagot, amely fájlokat rejt el a rendszer elől. A Sony közleményében tagadta, hogy ez biztonsági kockázatot jelentene, vagy veszélyeztetné a felhasználók személyes adatainak védelmét. Ugyanakkor a Sony BMG honlapján közzétették azt a javítást, amely láthatóvá teszi az eddig elrejtett fájlokat.

A rootkitek története messzire nyúlik vissza: már Unixos rendszerekben is léteztek olyan eszközök, amelyek a rendszerbe történő behatolás nyomait próbálták eltüntetni. „A DOS idejében több lopakodó vírus is megjelent: például 1986-ban a Brain, 1990-ben pedig a Frodo nevű” – idézi fel a technológia történetét Kimmo Kaslin, az F-Secure biztonsági laboratóriumának kutatója. A Windows megjelenésével az ilyen vírusok száma drámaian visszaesett.

A múlt év második felétől azonban exponenciálisan nő a rejtőzködő rosszindulatú kódok megjelenése. A Kaspersky Lab adatai szerint míg 2003-ban és 2004 elején 3-5 ilyen szoftver tűnt fel havonta, addig csupán ez év júniusában 31 darab. „Míg egy hacker számára nehéz feladat egy rootkitet telepíteni a rendszerre, a vírusok könnyűszerrel megoldják ezt” – figyelmeztet Gombás László, a Symantec magyarországi képviseletének rendszermérnöke.

Míg 2003 a férgek, 2004 a levélszemét éve volt, addig 2005 láthatóan a kémprogramoké. A billentyűzetet naplózó, a képernyő tartalmáról titokban felvételeket készítő programok az internetes bankolás korában kiemelten veszélyesek. A rosszindulatú kódok szerzői persze próbálják jövedelmet hozó tevékenységüket minél hosszabb ideig titokban tartani. A rootkitek így válhatnak az internetes bűnözés kitűnő segédeszközévé. A rendszeresen fejlesztett eszközök pedig sajnos könnyen elérhetőek az interneten.

Ezek a programelemek a memória direkt módosításával a rendszer működéséhez használt alapfüggvényeket változtatják meg: így sikerül láthatatlanná „varázsolniuk” fájlokat, folyamatokat vagy éppen hálózati kapcsolatokat. Felfedezésük nem könnyű – a víruskeresők sokáig nem is ismerték fel őket. „A keresztellenőrzés, a memória adatainak egy fertőzés nélküli képpel való összehasonlítása fény deríthet a rootkitre” – mond egy lehetséges eljárást Kimmo Kaslin. De segíthet bizonyos tipikus minták felismerése is.

Az igazán komoly nehézségeket azok a rootkitek okoznák, amelyek nem csak felhasználói szinten módosítanák, hanem a rendszermagot (kernelt) – támadnák. „Minél mélyebbre ťásŤ egy vírus, annál nagyobb problémát jelent” – mutat rá Gombás László. A kernel-szintű rootkitek azonban egyelőre még inkább csak elméleti lehetőség szintjén léteznek. Ezek megírása szerencsére jóval bonyolultabb, azaz sokkal nagyobb szaktudást igényel.

Ajánlott videó

Olvasói sztorik