Zwierzenia pogromcy rootkitów

"Nie istnieje coś takiego jak "dobry rootkit". One modyfikują działanie systemu operacyjnego i utrudniają pracę osobom zarządzającym systemem. Co więcej - niekiedy takie ukryte obiekty mogą zawierać błędy, które umożliwią skuteczne zaatakowanie systemu" - mówi w rozmowie z IDG Mark Russinovich, współzałożyciel firmy Winternals Software, znany "łowca rootkitów". Russinovich wyjawia nam również, dlaczego - jego zdaniem - pewne rootkity są bardziej niebezpieczne od innych oraz dlaczego trudno jest stworzyć stuprocentowo skuteczny program do wykrywania rootkitów.

Czy istnieje jakaś prosta definicja rootkitu?

Mark Russinovich: Nie, nie stworzono na razie czegoś takiego. Ja mam własną - rootkitem jest oprogramowanie, które ukrywa pewne obiekty przed standardowymi narzędziami administracyjnymi lub zabezpieczającymi.

Mark Russinovich

Mark Russinovich

Mark Russinovich - redaktor Windows IT Pro oraz architekt oprogramowania w firmie Winternals Software. Przez specjalistów ds. zabezpieczeń ceniony był od dawna, jednak prawdziwą popularność zdobył w październiku 2006 r., gdy wykrył, że oprogramowanie zabezpieczające płyty CD firmy Sony Music przed nieautoryzowanym kopiowaniem wykorzystuje rootkit. Jakby tego było mało, wkrótce okazało się, że rootkit ten zawierał błąd w zabezpieczeniach, który naraził użytkowników na atak groźnego konia trojańskiego. Sprawa ta miała poważne konsekwencje dla koncernu - zarzucono mu m.in. instalowanie na komputerach klientów oprogramowania szpiegowskiego.

Pozew w tej sprawie złożył m.in. Greg Abbott - Prokurator Generalny stanu Teksas. Abbot zarzucił Sony BMG, że wykorzystywane przez koncern oprogramowanie narusza obowiązujące w tym stanie przepisy antyspyware'owe. Ostatecznie sąd nakazał Sony Music zwrócenie pieniędzy klientom, którzy nabyli płyty z feralnym zabezpieczeniem. Szerzej o tej sprawie pisaliśmy m.in. w tekście "DRM Sony na śmietniku historii?".

Mark Russinovich odkrył także, że dwa popularne programy do emulowania napędów optycznych - Alcohol oraz Daemon Tools - również korzystają z rootkitów. Więcej informacji na ten temat można znaleźć w tekście "Wirtualne napędy z rootkitami?"

Rootkity wykorzystywane przez przestępców - np. autorów wirusów - są oczywiście niebezpieczne. Ale czy Pana zdaniem rootkity mogą zostać wykorzystane przez twórców zwykłego oprogramowania tak, by nikomu nie szkodziły?

Nie - nie istnieje coś takiego jak "dobry rootkit". One modyfikują działanie systemu operacyjnego i utrudniają pracę osobom zarządzającym systemem. Co więcej - niekiedy takie ukryte obiekty mogą zawierać błędy, które umożliwią skuteczne zaatakowanie systemu - tak było przecież z osławionym rootkitem wykorzystanym na płytach Sony.

Jak popularne są obecnie rootkity?

W ostatnim czasie obserwujemy coraz większą ich popularność - coraz więcej wirusów i robaków zawiera rootkity. Wynika to z faktu, iż coraz bardziej interesują się nimi autorzy robaków tworzących botnety i spyware - dla nich rootkity to biznes. Warto przy tej okazji przypomnieć pewną ciekawostkę - jeden z pierwszych wirusów komputerowych - stworzony 20 lat temu Brain - był właśnie rootkitem.

Czy w tej chwili jesteśmy w stanie wykryć wszystkie rootkity?

Nie istnieje 100% skuteczne narzędzie do wykrywania rootkitów.