Petya:
Töltöm le az avg free-t van anti-virus, anti-spyware és rootkit. Az első kettőt vágom, de a harmadik micsoda?
Szakos:
Az ilyen izé... internetes védelem... de neked nem kell.
Petya:
Aham, én is pont ezt szoktam mondani a usernek, ha valamiről nem tudom micsoda!
Szakos:
A rendszerbe való betörés után a crackerek előszeretettel hagynak maguk után olyan programokat, amik megkönnyítik a kompromittált rendszerbe való újbóli visszatérést. Az ilyen programokat tartalmazó programcsomagot rootkitnek nevezzük. A rootkitek "szolgáltatásai" között általában a következőket találjuk: backdoor: shell indítása előre meghatározott porton bejelentkező felhasználó számára egyes processzusok és bejelentkezett felhasználók elrejtése terminálok, hálózati kapcsolatok, adatforgalom (packet sniffing), és billentyűzetfigyelés. Ezek a szolgáltatások természetesen a rendszerfeltörő tevékenységének megkönnyítését és a rendszeradminisztrátor előtti leplezését szolgálják. Sajnos a rootkiteket nagyon könnyű használni, ez megnöveli a ismételt behatolás kockázatát (script kiddie-k). Rootkitek szinte minden operációs rendszer alá léteznek. Két fő típusuk a kernel-szintű és az alkalmazás-szintű rootkit. A kernel-szintű rootkitek olyan kernel modulok amik a kernel kód egyes részeit módosítják, például rendszerhívásokat) irányítanak át, hogy azokból kiszűrjék (elrejtsék) a gyanús processzusra vagy felhasználóra utaló adatokat. A alkalmazás-szintű rootkitek egyes gyakran használt binárisokat (mint az ls vagy a top) cserélnek le patchelt változatokra. Démonok (például az sshd, httpd) is lehetnek a módosítások áldozatai. Ebben az esetben a cél szintén a rendszerfeltörő tevékenységének segítése, leplezése. A rendszer váratlan, indokolatlan instabilitása, szokatlan hálózati forgalom, furcsán működő programok mind rootkit jelenlétére utalhatnak. A rootkit felderítése a könnyűtől (ismert, automatikusan detektálható) a nagyon nehézig (új, ismeretlen rootkitek) terjedhet. A felismerésben segíthetnek a keresőprogramok:
chkrootkit (elavult és bugos)
Rootkit Hunter (rendszeresen frissítet és széleskörűen kutat)
A rootkitek száma napról-napra nő, ezért ez a lista nem lehet kimerítő, inkább csak példaként néhány ismert rootkit:
SuckIt, Adore, Ark, apachebd, b0sttKis, Knark, Irk5, Q 2.4, T0rnkit
A legjobb védekezés ebben az esetben is a megelőzés. Ebben lehetnek segítségünkre a különféle behatolásérzékelő rendszerek
Petya:
Látod, tudsz te ha akarsz!
Kommentek