Mark Russinovich, redaktor Windows IT Pro oraz architekt oprogramowania w firmie Winternals Software niespodziewanie wykrył na swoim komputerze... rootkit. Po wnikliwej analizie procesów systemowych udało mu się udowodnić jego związek z technologią cyfrowej ochrony praw autorskich firmy First 4 Internet, implementowaną na płytach CD wydawanych przez wytwórnię Sony.
No proszę - mamy rootkita!Rootkity to programy, zbiory programów lub biblioteki, których celem jest ukrycie uprawianej przez przestępcę złośliwej działalności przed okiem właściciela zaatakowanego systemu. Działalność ta może być bardzo różna: od wykorzystania powierzchni dysku do składowania pirackiego oprogramowania, aż do podmieniania odsyłaczy na stronach WWW czy logowania wpisywanego przez użytkownika tekstu.
Wykrycie czy usunięcie rootkitów jest raczej trudne i zależy wyłącznie od spostrzegawczości użytkownika - specyfiką ich działania jest "zagrzebywanie" się głęboko w kodzie OS-a.
Wykrycie rootkita
Russinovich wykrył obecność rootkita podczas testowania najnowszej wersji aplikacji RootkitRevealer. W rezultatach skanowania dysku komputera pojawiły się informacje o ukrytym drzewie katalogowym, kilku zamaskowanych sterownikach urządzeń oraz schowanej przed okiem użytkownika aplikacji.
Twórcy rootkitów dla Windows zapominają jednak o pewnej istotnej funkcjonalności, a mianowicie o wierszu poleceń: choć powłoka Windows nie widziała folderów, możliwe było wejście do nich przez ręczne wpisanie
cd [nazwa_katalogu]. Z tej metody skorzystał Russinovich - z poziomu wiersza polecenia wszedł do podejrzanego folderu, a następnie przestudiował funkcje jednego ze sterowników, które zwróciły wcześniej jego uwagę.
Aries.sys ukrywał każdy plik, folder, klucz Rejestru systemu lub proces, którego nazwa zaczynała się od $sys$ (utworzony przez Russinovicha plik $sys$notepad.exe zniknął z widoku plików).
Essential System Tools - pliki autorstwa First 4 InternetPo powtórnym uruchomieniu systemu określone pliki w Eksploratorze Windows (i klucze w Rejestrze) stały się widoczne. Część z nich przedstawiała się jako składniki narzędzi o nazwie "Essential System Tools" firmy First 4 Internet.
Wszystkiemu winna... płyta CD firmy Sony
Russinovich przypomniał sobie o kupionej ostatnio płycie kompaktowej, wydanej przez firmę Sony, i zabezpieczonej przed nieuprawnionym kopiowaniem. Po włożeniu jej do napędu i uruchomieniu odtwarzacza (nota bene, zawartość płyty można było odtworzyć tylko w dostarczonym na CD razem z muzyką playerze) programista zaobserwował wzmożone obciążenie procesora przez wcześniej ukryty proces [dolar]sys[dolar]DRMServer.exe. Na zakładce usług odpowiadała mu usługa "Plug and Play Device Manager".
Po zamknięciu odtwarzacza obciążenie CPU wspomnianym procesem nie spadło do zera, ale utrzymywało się na poziomie 1-2 procent gdyż... proces skanował związane z nim pliki wykonywalne co 2 sekundy.
Podczas usuwania plików sterowników i odpowiadających im kluczy z Rejestru Russinovich odkrył, że widniały one w Rejestrze jako pliki ładowane przez system nawet w trybie awaryjnym. Po kolejnym uruchomieniu stwierdził, że w oknie Eksploratora brak jest ikony dysku CD - usunięcie sterowników unieruchomiło napęd optyczny. We właściwościach Menedżera urządzeń widniał tymczasem jeden z uprzednio zamaskowanych sterowników, Crater.sys, oznaczony jako "device lower filter". Russinovich odnalazł odpowiadający mu klucz Rejestru, ale podczas próby skasowania dostał komunikat o odmowie dostępu. Usunięcie kolejnego klucza zawierającego
sys w nazwie, odpowiadającego innemu sterownikowi oraz restart Windows, zaowocowały przywróceniem dostępności napędu optycznego.
First 4 Internet się broni
Dyrektor zarządzający firmy, która stworzyła tę konkretną technologię, First 4 Internet, broni się, mówiąc, iż mechanizm, na który skarży się Russinovich, jest już dość przestarzały, gdyż od 8 miesięcy nie produkowane są płyty kompaktowe zabezpieczone w ten sposób. Jak zapewnia First 4 Internet, ukrywanie plików nie stanowi zagrożenia, a ponadto firma współpracuje z dużymi producentami oprogramowania antywirusowego (m.in. Symantec). Ukrywanie działania mechanizmu zabezpieczeń przed kopiowaniem miało jedynie utrudnić bądź uniemożliwić w ogóle złamanie tegoż mechanizmu. Sony BMG dodaje, że oprogramowanie można łatwo odinstalować konsultując się z biurem obsługi klientów wytwórni.
Z pełnym zapisem działań Russinovicha tropiącego aktywność rootkita można zapoznać się w
jego blogu.
Polecamy także lekturę artykułów
" Rootkit - strach przed nieznajomym" oraz
"Rootkit - wykryj niewykrywalne".
Aktualizacja: 07 listopada 2005 11:39
Informacja o XCP DRM, które może zostać wykorzystane przez cyberprzestępców, znalazła się także w biuletynie bezpieczeństwa
firmy Secunia. Zwraca uwagę zalecane przez Secunię rozwiązanie problemu - "use another product" (użyj innego produktu)...
Aktualizacja: 07 listopada 2005 11:02
Russinovich wciąż znęca się nad Sony BMG
Tym razem programista wziął "na tapetę" sposób instalacji patcha dla systemu ochrony praw autorskich, jaki Sony licencjonuje od First 4 Internet - tzw. XCP (Extended Copy Protection). Dostęp do niego można uzyskać po wypełnieniu formularza na stronie koncernu, w którym trzeba podać kraj, w którym dokonano zakupu zabezpieczonej płyty, jej tytuł, wykonawcę oraz nazwę sklepu i adres poczty elektronicznej.
Russinovich opisuje, że w pobranym uaktualnieniu (plik "ważył" ok. 3,5 MB) znajdowały się nie tylko poprawki usuwające funkcję ukrywania plików związanych z DRM, ale także uaktualnione sterowniki i pliki wykonywalne (o czym jednak nie wspominała dokumentacja pliku). Po zakończeniu instalacji w oknie Dodaj/usuń programy znalazła się nowa pozycja.
Russinovich uważa, że najbezpieczniejszym sposobem na usunięcie maskowania plików związaych z DRM jest otwarcie menu "Start | Uruchom", wpisanie komendy sc delete $sys$aries i powtórne uruchomienie systemu.
Ponadto, jego zdaniem, niedoskonałość patcha może teoretycznie zakończyć się zawieszeniem systemu, na którym łatka została zainstalowana. Russinovich stwierdził: "To oczywiste, że osoba, która napisała patcha, nie ma zbyt wiele doświadczenia w pisaniu sterowników dla Windows".
Russinovich zwrócił także uwagę na wcześniej nieznany fakt, iż odtwarzacz multimedialny, dostarczany na płytach CD zabezpieczonych wspomnianym mechanizmem, próbuje komunikować się z serwerami koncernu (np. celem odnalezienia tekstów piosenek). Programista uważa, że dzięki takiemu połączeniu serwery Sony mogą rejestrować każdorazowe odtworzenie kompaktu oraz adres IP komputera, na którym miało ono miejsce, chociaż "watpi, aby Sony robiła jakikolwiek użytek z tak zgromadzonych danych".
John McKay, rzecznik prasowy koncernu, uspokaja: "Nie gromadzimy żadnych informacji o użytkownikach, to pewne".
Aktualizacja: 03 listopada 2005 11:14
Koncern Sony BMG poinformował, że przygotuje specjalny patch dla oprogramowania DRM, w jakie wyposażane są płyty wydawane w tej wytwórni. Patch nie powstrzyma jednak przed zainstalowaniem plików głęboko "w trzewiach" Windows, a jedynie wyłączy funkcję ich ukrywania przed oczyma użytkowników.
Dochodzenie Russinovicha odbiło się szerokim echem we wszelkiego rodzaju serwisach internetowych poświęconych branży IT. Informowały o tym m.in. serwisy
Washington Post,
The Inquirer,
PC Pro, czy
The Register. Dodatkowo, antywirusowa firma F-Secure opublikowała szczegółową analizę rootkita instalowanego przez mechanizm cyfrowej ochrony praw autorskich - jest ona dostępna
na stronie firmy.
F-Secure uspokaja, że oprogramowanie DRM samo w sobie nie stanowi zagrożenia dla bezpieczeństwa komputera (brak mechanizmów samopropagacji, brak złośliwych funkcji w kodzie), jednak techniki maskujące, których używa, są dokładnie te same, jak w przypadku "standardowych" rootkitów. Mogą one zostać wykorzystane np. przez twórców oprogramowania typu malware do ukrywania trojanów, dzięki którym możliwe jest uzyskanie dostępu "tylnymi drzwiami" do systemu nieświadomego użytkownika. Jeżeli nazwy plików malware będą rozpoczynać się od $sys$, będą ukrywane przez mechanizm DRM.
