rootkity. Ich prítomnosť v systéme súčasnými metódami takmer nemožno odhaliť. Táto vlastnosť je ideálna pre spyware, červy či trójske kone.

Zatiaľ čo klasické rootkity môžu byť odhalené napríklad preskenovaním procesov v pamäti či monitorovaním sieťovej komunikácie, pri kernel rootkitoch to možné nie je. Tie totiž modifikujú kernel (jadro) systému zjednodušene povedané tak, aby mali možnosť systémové požiadavky či volania prevzaté kernelom filtrovať. Typickým výsledkom potom je, že daný kernel rootkit nie je na systémovom zozname bežiacich procesov, jeho súbory na disku či nastavenia uložené v systémovom registri sú neviditeľné a podobne. No a pokiaľ rootkit navyše komunikuje cez sieť použitím kvalitného šifrovania a štandardného portu (napr. TCP portu), klasickými metódami nie je zistiteľný.

Alternatívne metódy detekcie. Správanie a hlavne taktiky ukrývania sa kernel rootkitov poznajú hlavne ich programátori, preto nečudo, že práve z ich dielne pochádza väčšina nástrojov na ich detekciu.

Jednou z alternatívnych metód na detekciu kernel rootkitov je preskenovanie systému nástrojom spusteným z iného systému v rámci siete. Možno napríklad porovnávať zoznamy súborov na disku cieľového systému - prvý si vyrobíme lokálne a druhý cez sieť. Tie súbory, ktoré na „lokálnom budú chýbať, sú pravdepodobne záškodníci alebo ich produkty. Dômyselnejšie kernel rootkity sa však zrejme tak ľahko neprezradia. Účinnejšou metódou sa zdá byť využitie akejsi „orezanej verzie Windows XP, nazvanej Windows PE, ktorá sa spúšťa z CD/DVD disku - v jeho prostredí stačí použiť utilitku, ktorá porovná profil neinfikovaného systému s cieľovým, ktorý podozrievame na prítomnosť kernel root-kitov, citujú expertov MS stránky ComputerWorld.

Jediná spoľahlivá metóda, ako sa zbaviť kernel rootkitov, je pritom podľa expertov Microsoftu triviálna: vymazanie všetkých dát na disku a reinštalácia operačného systému. My dodávame, že je vhodné vyhnúť sa akémukoľvek pripojeniu do lokálnej siete či internetu minimálne do doby, kým nenainštalujete všetky aktualizácie operačného systému, najnovšie verzie antivírusu, antispyware a firewallu, samozrejme s ich najnovšími aktualizáciami. Napriek tomu pochopiteľne ani táto metóda nemôže byť spoľahlivá na 100 %.

A čo Microsoft?

Vlastný nástroj na detekciu (nielen) kernel rootkitov pripravuje aj MS. Má názov Strider GhostBuster a podrobne je opísaný v špeciálnom rozsiahlom dokumente. MS sa samozrejme inšpiruje aj na stránkach venovaných problematike - napríklad Rootkit.com či know-how časti domovskej stránky českého rootkitu Hacker Defender.Snaha MS je pochopiteľná. Rootkity totiž síce nie sú záležitosťou Windows, no sú jeho doménou vďaka jeho rozšírenosti a taktiež tomu, že pre programátorov nie je ťažké ich ukryť v systéme, vyjadril sa istý predstaviteľ Symantecu pre ComputerWorld. Spomenul tiež prehliadač Internet Explorer ako ľahkú cestu vstupu rootkitu do systému.

Zdá sa, že masívny nástup záškodníckych kernel rootkitov v podobe spyware, červov, trójskych koní a podobne je len otázkou času. Výrobcovia detekčných a odstraňovacích ná-strojov v začiatkoch tohoto nástupu zrejme nebudú o krok vpred, zostáva preto skôr dúfať, že nebudú zaostávať. Vhodné je dodržiavať bežné bezpečnostné zásady, aby sme minimalizovali riziko vstupu zlomyseľných kernel rootkitov do systému.

Autor: erik

Najdôležitejšie správy z východu Slovenska čítajte na Korzar.sme.sk.