Wat zijn Rootkits
Rootkits vallen onder de zogenaamde "malicious software", net als virussen en wormen. Het specifieke aan rootkits is dat ze bijna niet te detecteren zijn.
De naam Rootkit is afkomstig van de naam van de super user in UNIX (de zogenaamde root user). Deze root user heeft alle rechten op een systeem, net als de "administrator" in Windows. Overigens zijn rootkits een probleem van alle besturingssystemen, inclusief Windows.
Rootkits en andere malicious software kunnen een achterdeur in een systeem maken. Hiermee kan een hacker op afstand toegang krijgen een systeem om het over te nemen, het te beschadigen (het wissen van gegevens), om er aanvallen op andere machines mee uit te voeren, of om andere ellende te veroorzaken.
Rootkits zijn bijna niet te detecteren omdat ze behalve de malicious software, ook software installeren die commando's van het operating system vervangen. Een voorbeeld is het UNIX/Linux commando 'ls -l'. Hiermee kan een lijst van files worden opgevraagd:
$ ls -l
total 72
drwxr-xr-x 3 slaan slaan 4096 2006-09-14 11:02 BACKUP
drwxr-xr-x 9 slaan slaan 4096 2006-09-16 13:52 google-earth
-rwxrwxrwx 1 slaan slaan 150 2006-10-02 19:50 maliciouscode.exe
drwxr-xr-x 8 slaan slaan 4096 2006-05-05 09:44 Murdoc_development
drwxrwxrwt 7 slaan slaan 4096 2006-09-10 13:54 My Virtual Machines
drwxr-xr-x 2 slaan slaan 4096 2006-09-15 08:45 scripts
drwxr-xr-x 11 slaan slaan 4096 2006-09-25 15:35 uapplications
drwxr-xr-x 2 slaan slaan 4096 2006-09-12 21:42 vmware
Een rootkit installeert een andere versie van het commando 'ls'. Hiermee wordt de malicious code onzichtbaar:
$ ls -l
total 72
drwxr-xr-x 3 slaan slaan 4096 2006-09-14 11:02 BACKUP
drwxr-xr-x 9 slaan slaan 4096 2006-09-16 13:52 google-earth
drwxr-xr-x 8 slaan slaan 4096 2006-05-05 09:44 Murdoc_development
drwxrwxrwt 7 slaan slaan 4096 2006-09-10 13:54 My Virtual Machines
drwxr-xr-x 2 slaan slaan 4096 2006-09-15 08:45 scripts
drwxr-xr-x 11 slaan slaan 4096 2006-09-25 15:35 uapplications
drwxr-xr-x 2 slaan slaan 4096 2006-09-12 21:42 vmware
Om te voorkomen dat opgemerkt wordt dat het 'ls' commando is vervangen, wordt onjuist informatie over zichzelf getoond door het gepatchte 'ls' commando. Op deze manier worden ook files die een afwijkende grootte hebben gemaskeerd. Eventueel wordt zelfs de kernel gepatched om onjuiste informatie te tonen!
Er zijn twee manieren om rootkits te voorkomen:
1. Door middel van virusdetectie moet voorkomen worden dat rootkits überhaupt worden geïnstalleerd;
2. Door middel van Host-IDS (Intruder Detection Systems) technologie kan worden ontdekt dat bepaalde zaken aan het systeem worden veranderd door een rootkit.
Beide mogelijkheden zijn echter flinterdun: Een virusscanner omzeilen is iets dat nu ook al regelmatig voorkomt en een IDS kan door de rootkit ook worden misleid, net zoals hij de andere tools misleid.
Rootkits kwamen in 2005 in het nieuws, toen ontdekt werd dat platenmaatschappij Sony/BMG rootkits installeerde via hun muziek cd's, om zo een kopieerbeveiliging te installeren. Dit kostte Sony uiteindelijk veel meer dan het opleverde, men heeft veel moeite moeten doen en kosten moeten maken om de goede naam weer te zuiveren.
This entry was posted on Vrijdag 06 Oktober 2006