Programy umożliwiające dostęp do systemu operacyjnego bez wiedzy administratora istnieją "od zawsze", a w każdym razie od czasu, gdy zaczęły się poważniejsze włamania internetowe. To, że oprogramowanie skanujące ich nie wykrywa, nie oznacza, że ich nie ma.

Rootkit to program mający na celu ukryć obecność użytkownika w systemie. Programy tego typu działają od lat. Początkowo nazywano je backdoor, czyli "tylne drzwi". Poprawa świadomości wśród administratorów i programistów tworzących systemy sprawiła, że pierwotne koncepcje "cichego wejścia do systemu" uległy zmianom. Tylne wejścia stały się po prostu zbyt łatwo rozpoznawalne, co zmusiło ich twórców i użytkowników do poszukiwania bardziej skomplikowanych metod ukrywania obecności w systemach. Wtedy właśnie - w latach 1994-1996 r. - powstały pierwsze rootkity.

Niebezpieczne zabawki

Na początku swojego istnienia infekowały one głównie systemy Unix, co było zrozumiałe, ponieważ wykorzystywały je instytucje rządowe, banki, firmy telekomunikacyjne oraz wielkie koncerny. Z czasem rootkity zostały przeniesione także na inne platformy systemowe - Linux, BSD, Windows i Mac OS. Dzięki nim dokonano dziesiątki tysięcy włamań, których sprawców nigdy nie udało się namierzyć, a zwykle w ogóle nie wiedziano, że do włamań doszło. Kolejne wersje pozwalały już nie tylko pozostać niezauważonym, ale także na niezauważalną kontrolę nad systemem.

Najpopularniejszy rootkit dla systemu Linux to (redhat) t0rnkit, autorstwa programisty o pseudonimie t0rn. Program ten powodował prawdziwą burzę na scenie informatycznej - "towarzystwo" nie mogło wyjść z podziwu, że jedną prostą komendą, podając tylko swoje hasło dostępu, można było zainfekować system i przejąć nad nim pełną kontrolę. Co więcej, bez specjalistycznych narzędzi administrator nie miał możliwości wykrycia intruza, a nawet zorientować się, kiedy doszło do jego zalogowania w systemie.

Obecnie istnieją setki typów rootkitów. Dzielą się zasadniczo na dwie kategorie: publiczne i niepubliczne. Rootkity niepubliczne powstają w środowiskach hakerskich lub są tworzone przez programistów na ich własny użytek. Rootkity niepubliczne są uważane za najlepsze, ponieważ zawierają zazwyczaj nowatorskie rozwiązania. Zwykle jest tak, że przez pierwsze pół roku rootkity niepubliczne są trzymane pod korcem, a później, gdy powstaną jeszcze doskonalsze wersje, dotychczasowe są udostępniane publicznie na serwisach hakerskich.

Takie programy to pułapki dla domorosłych hakerów i administratorów eksperymentatorów - najczęściej są bowiem zainfekowane dodatkowym kodem, aby ich twórca mógł się z nimi połączyć, niezależnie, kto, gdzie i w jakich warunkach go instalował. Nawet zabezpieczenie hasłem nic nie pomoże - to "tylne wejście w tylnym wejściu". Większość przypadków skanowania portów z Internetu jest związana z poszukiwaniem przez autorów zainstalowanych rootkitów, które często instalowane są na standardowych portach.

Niewidzialny podsłuch

Rootkity zostały tak stworzone, aby pozostać niewykrywalnymi. Najczęściej infekują system za pomocą skryptów automatyzujących, przez co umiejętności atakującego są tak naprawdę mało ważne. Sposób infekcji można sprecyzować w kilku prostych krokach. Najpierw trzeba zdobyć uprawnienia administratora w systemie, pobrać z Internetu plik rootkita, a następnie go uruchomić.

Rootkit podmienia wszystkie ważniejsze pliki i biblioteki w systemie - po to, aby nie można go było wykryć, a następnie uruchamia w systemie programy działające w tle (tzw. deamony). Wśród nich zawsze jest taki, który pozwala na tylne wejście autora poprzez protokoły TCP, UDP, ICMP. Funkcjonalność pozostałych programów zależy od tego, co włamywacz chce zrobić za pomocą przejmowanego systemu. Problem dla administratora i firmy pojawia się w momencie, gdy włamywacz wykorzysta rootkit - zwykle do celów, najogólniej mówiąc, niecałkiem zgodnych z prawem.

Wiele rootkitów jest zaopatrzonych w programy do ataków typu DDOS (Distributed Denial of Service). Niepostrzeżenie firmowy system może brać udział w atakach informatycznych na różne instytucje, placówki, a nawet kraje. Staje się elementem piramidy, która składa się z komputera autora podającego komendy, komputerów pośredniczących (zwykle jest ich dziesiątki, ale bywa, że i setki) oraz (tysięcy) komputerów zainfekowanych. Wszystko odbywa się automatycznie.

Informację, że odbył się atak z naszej sieci firmy dostają pisemnie wraz z kopią zawiadomienia do służb ścigania. Inną metodą wykorzystania naszego systemu jest podsłuchiwanie (sniffing). Osoba, która uzyskała dostęp do routera lub stacji roboczej, jest w stanie podsłuchać każde wciśnięcie klawisza na klawiaturze. Ostatnio popularne stały się także kradzieże domen. Po zainstalowaniu rootkita włamywacz może bez problemu stworzyć sobie adres www.haker.naszafirma.pl i umieszczać na nim nielegalne materiały. Zainfekowane systemy mogą być wykorzystane praktycznie do wszystkiego, zależy to tylko od kreatywności włamywacza.

Zagrożenie realne

Pełne zabezpieczenie przed rootkitami nie istnieje. Firmy oferujące korporacyjne systemy zabezpieczeń, np. systemy antywirusowe, nie poruszają nawet takiego tematu. Jeśli już, zabezpieczenia oferowane przez dostawców dotyczą przede wszystkim stacji roboczych Windows, tak jakby one były w firmach najważniejsze, oraz serwerów poczty - głównie dlatego, że ich zainfekowanie zakłóci komunikację w firmie. Klasyfikacja programów typu rootkit jako wirusy jest nieporozumieniem, ale nikt inny się nimi nie interesuje, więc... są ignorowane.

Pewne narzędzia do walki z rootkitami powstały dla systemu Linux. Programy wykrywające rootkity to tzw. rootkit detectors. Niestety, programy te nie są idealne, przede wszystkim dlatego że są aktualizowane raz na jakiś czas, bez wyraźnego związku z pojawianiem się nowych rootkitów. Ich użyteczność jest w praktyce mocno ograniczona. Powstaje więc pytanie: co zrobić, jeśli zaistnieje podejrzenie, że w systemie może działać rootkit?

W pierwszym rzędzie trzeba skonsultować się ze specjalistą. Nie należy rootkita brutalnie usuwać - trzeba raczej poczekać i monitorować. Jeżeli haker wejdzie do naszej sieci przekonany, że nic mu nie grozi, powinien dać się namierzyć, do tego potrzebni są jednak specjaliści. W większości przypadków nikt osobiście się nie łączy z zaatakowanym komputerem, są to automatyczne programy, które służą do centralizacji pracy i zwiększenia wydajności programów służących do ataków DDOS, łączenia się z innymi sieciami, wykonującymi dowolne obliczenia.

Przed rootkitami nie można się, niestety, ochronić za pomocą zainstalowanej w systemie zapory sieciowej. Jako "superużytkownik" osoba zarządzająca rootkitem ma dostęp także do ustawień zapory. Znacznie lepiej sprawdzają się zapory zewnętrzne w stosunku do systemów mogących być kąskiem dla tych, którzy instalują rootkity. Najlepszym wyjściem są zapory działające w trybie przeźroczystym (in-line firewall, transparent firewall), przez które przechodzi cały ruch sieciowy i na których ruch ten można niespostrzeżenie dla włamywacza rejestrować.

Większość firm z gruntu ignoruje takie rozwiązania, obawiając się wysokich kosztów związanych z przechowywaniem większej ilości danych. Trzeba jednak pamiętać, że dyski są tanie, a korzyść z wykrycia rootkita jest oczywista. Poza tym, aby zmniejszyć objętość danych, można okresowo analizować ruch tylko do i z określonych systemów.

Można też ponownie zainstalować system, instalując najnowsze aktualizacje. To metoda dobra o tyle, że większość (ale nie wszystkie!) rootkity są pisane pod kątem konkretnych wersji systemów i po aktualizacji przestaje działać lub działa inaczej niż założono, co pozwala je wykryć i wyeliminować. Oczywiście, nie daje to 100-proc. gwarancji - tak naprawdę żmudna i niewdzięczna analiza ruchu jest w praktyce niezastąpiona.

Niepewna przyszłość

Rootkity są rozwijane i modyfikowane w błyskawicznym tempie. Potrafią się samodzielnie aktualizować, sprawdzić, czy administrator je wykrył, a gdy to stwierdzą, dokonać samozniszczenia (np. b0bkit), by nikt nie mógł ich namierzyć lub udowodnić, że kiedykolwiek działały w systemie. Nie ma się co dziwić - rootkity stanowią szczytowy dorobek hakerów, którym poza ambicjami technicznymi przyświeca ostatnio coraz częściej także motyw zarobkowy.

Korzystanie z systemów o standardowej konfiguracji i rzadkie ich aktualizowanie stwarza dodatkowe ryzyko. Systemy Windows, jako bardziej standardowe, nadają się do instalowania rootkitów znacznie bardziej niż systemy Unix czy Linux, choć i one są podatne - wysiłek ich pokonania jest o tyle opłacalny, że nierzadko są one dostępne z Internetu, bezpośrednio podłączone do dobrej klasy łączy.

Hakerzy wybrali nową drogę, która jeszcze nie została w żaden sposób ograniczona, przez doświadczenie, umiejętności i poziom uświadomienia użytkowników systemów. I nikt naprawdę nie wie, dokąd ta droga prowadzi, skoro nawet firmy specjalistyczne zajmujące się bezpieczeństwem sieciowym nie zawsze są w stanie uchronić się przed rootkitami, "zwykłe" firmy tym bardziej. Można zamknąć oczy i nie widzieć.