Zwierzenia pogromcy rootkitów

Dlaczego tak trudno z nimi walczyć?

Podstawowy problem polega na tym, że na wiele różnych sposobów mogą one modyfikować działanie systemu Windows - wtedy niekiedy bardzo trudno odróżnić zwykły kod od niebezpiecznego. To zresztą problem wszystkich systemów operacyjnych. Jeśli okaże się, że w systemie działa choć jeden "złośliwy" program, to musisz założyć, że straciłeś kontrolę nad nim.

W ubiegłym roku burzę wywołało ujawnienie rootkita na płytach CD Sony - jak to się stało?

Dosłownie w kilka godzin po tym, jak opublikowałem w swoim blogu informację o rootkicie, pojawiła się ona w serwisie Slashdot, a w następnych dniach na większości serwisów informacyjnych. Później wszystko potoczyło się błyskawicznie - a ja skończyłem jako ekspert sądowy w sprawie przeciwko Sony.

Jak właściewie znalazł Pan ten rootkit?

Po prostu kupiłem płytę CD. To nie jest tak, że siedzę i sprawdzam każdy program, jednak gdy tylko zauważę coś dziwnego w systemie Windows, staram się to sprawdzić.

Rootkitów coraz więcej

Firma McAfee poinformowała niedawno, że w pierwszym kwartale 2006 r. liczba zidentyfikowanych przez nią rootkitów wzrosła dziewięciokrotnie w porównaniu z analogicznym okresem w roku ubiegłym. Częściową odpowiedzialnością za taki stan rzeczy koncern obarcza społeczność open source, w tym autorów i użytkowników serwisu Rootkit.com, który ma już ponad 40 tys. zarejestrowanych użytkowników. Umieszczają oni na łamach serwisu kody źródłowe rootkitów i dyskutują na tematy związane z nimi. Zdaniem firm antywirusowych, serwisy tego typu mogą stanowić jednak broń obosieczną, dla osób poszukujących wiedzy na temat zabezpieczeń przed rootkitami stanowiąc źródło informacji, a dla cyberprzestępców - zasób kodów źródłowych do wykorzystania. Więcej informacji na ten temat można znaleźć w tekście "Open source częściowo odpowiedzialne za rootkity?".

Wykrył Pan także rootkit w oprogramowaniu SystemsExpert firmy Symantec...

Tak, ale to zupełnie inna sytuacja niż w przypadku Sony. Rootkit z płyt instalował się bez wiedzy użytkownika, zaś jego zadaniem było ograniczanie możliwości nabywcy płyty. W produkcie Symanteka intencja była zupełnie inna - rootkit miał pomagać. Tyle, że był wadliwy - koncern to zresztą potwierdził.

Dlaczego program RootkitRevealer dystrybuowany jest bezpłatnie?

Nie bierzemy za niego pieniędzy, ponieważ nie mam pewności, że jest w stanie wykryć wszystkie rootkity. A nie uważam za fair sprzedawanie produktu, którego skuteczności nie mogę zagwarantować.

Czy jakaś firma pracuje nad takim programem?

Nic mi o tym nie wiadomo. Problem z oprogramowaniem zwalczającym rootkity jest taki, że niestety trzeba założyć, że nie jest ono w stanie w 100% oczyścić systemu. Zawsze trzeba zakładać najgorsze. Moja porada [dla osób, które podejrzewają, że w ich systemie znajduje się rootkit - red.] jest taka - usuń system i zainstaluj go od nowa.

A jak zamierzacie rozwiązać problem rootkitów?

Rozwiązaniem może być oprogramowanie dokładnie kontrolujące wszystkie aplikacje - program, który będzie sprawdzał, co mogą uruchomić poszczególni użytkownicy. Myślę, że coś takiego może uniemożliwić uruchamianie się w systemie podejrzanych aplikacji.