Руткитите се инжектират в ядрото на Windows Rootkit
Руткитът не е вирус
Вирусната програма се разпространява сама. Руткитът не прави копия на себе си и няма интелект. Руткитът е напълно контролиран от атакуващия, но вирусът не е. В повечето случаи би било опасно и неразумно за нападателя 28
Глава 1
използвайте вирус. Освен че е незаконно създаването и разпространението на вируси, повечето вируси и червеи са лесни за откриване и трудни за контролиране. Руткитът ви позволява да поемете пълен контрол върху целевата машина. В случай на разрешено влизане (например от името на правоохранителните органи), нападателят трябва да е сигурен, че само определени машини ще бъдат атакувани - в противен случай законът може да бъде нарушен или границите на операцията могат да бъдат блокирани. Този тип операции изискват много прецизно управление и е невъзможно да се използват вируси в тях.
Възможно е да се създаде вирус или червей, който се разпространява чрез експлойти и не се открива от системите за откриване на проникване (например експлойтите от нулев ден са нови експлойти, които все още не са коригирани). Такъв червей може да се разпространява много бавно и да бъде много труден за откриване. Може да се тества в лабораторна среда с точно копирана целева среда. Може да съдържа ограничение, което му пречи да надхвърли определени граници. И накрая, може да съдържа "бомба със закъснител", която да го изключи след определен период от време - това ще го направи безвреден след завършване на мисията. Ще обсъдим системите за откриване на проникване по-късно в тази глава.
Въпреки че руткитът не е вирус, техниките, които използва, могат да се възползват от вирусите. Когато руткит се комбинира с вирус, се появява много опасна технология.
Светът видя на какво са способни вирусите. Някои вируси са заразили милиони компютри за броени часове.
Най-разпространената операционна система, Microsoft Windows, в миналото е била изпълнена със софтуерни грешки, които позволяват на вирусите да заразяват компютрите през Интернет. Повечето злонамерени хакери не разкриват грешки на производителите на софтуер. С други думи, ако такъв хакер открие грешка в Microsoft Windows, той няма да докладва за това на Microsoft. Грешка, която може да се използва на инсталирано копие на Windows, е „Ключът към кралството“. Предоставянето на тази информация на производителя ще лиши хакера от този ключ.
Има техники за унищожаване на компютърни системи и хардуер и все повече и повече уязвимости се откриват в Microsoft Windows. Откриването на вируси, които използват rootkit технология, става все по-трудно.
* Н. Уивър, "Warhol Worms: The Potential for Very Fast Internet Plagues." см. www.cs.berkeley.edu/-nweaver/warhol.html. Руткитове и експлойти 29
Руткитове и експлойти
За руткитите е много важно да използват уязвимостите в софтуера. (Въпреки това, тази книга не описва как да се използват уязвимости, ако се интересувате от тази тема, вижте книгата Използване на софтуер1.)
Въпреки че руткитът не е експлойт, той може да бъде част от инструмент, който използва уязвимост, като вирус или шпионски софтуер.
Заплахата от rootkit се засилва от факта, че има много софтуерни уязвимости. Например, разумно е да се предположи, че най-новата версия на Microsoft Windows винаги има поне сто уязвимости2. В по-голямата си част тези уязвимости са известни на Microsoft и бавно преминават през отдела за осигуряване на качеството и системата за проследяване на грешки3. Кога-Някой ден тези грешки ще бъдат коригирани и уязвимостите ще бъдат тихо4 затворени.
Някои уязвимости се откриват от независими изследователи и не се съобщават на доставчиците на софтуер. Освен нападателите, никой не знае за подобни грешки. Това означава, че и срещу тях няма защита.
Въпреки че Microsoft приема софтуерните грешки сериозно, отнема много време на всеки голям доставчик на операционна система, за да направи промени.
Когато изследовател докладва грешка на Microsoft, той обикновено е помолен да не разкрива грешката, докато не бъде пусната корекция.
Коригирането на грешки е скъпа и отнемаща време процедура. Някои грешки не могат да бъдат коригирани в продължение на няколко месеца.
Може да се твърди, че неразкриването на грешки обезкуражава Microsoft от бързо пускане на корекции. За да разреши този проблем, eEye5 измисли хитър начин да каже на света за сериозна уязвимост, но без да разкрива подробностите. Предишна 13 14 15 16 17 18 .. 96 >> Следващия