maandag 18 augustus 2008

Wat is een rootkit? Rootkits detecteren? ...

Wat is een rootkit?
Oorspronkelijk komt de term rootkit (of root kit) uit de UNIX/Linux wereld. De gebruiker met de meeste rechten, zeg maar de Administrator van Windows-pc's, heet daar namelijk 'root'. Een hacker kan weinig beginnen op zo'n systeem zonder de rechten van deze gebruiker. Een van de eerste prioriteiten is daarom het verkrijgen van root-rechten. Maar als een binnendringer eenmaal root-rechten heeft, is het natuurlijk wel leuk om ze te houden: dan kun je ook later nog misbruik maken van de pc.

Een rootkit is van origine juist daarvoor gemaakt: een verzameling aangepaste standaardtools (zoals 'ps', wat processen weergeeft, 'who' om te zien welke gebruikers ingelogd zijn) die de stiekeme root-gebruiker niet verraden.

Tegenwoordig is een rootkit een verzamelnaam voor software die - ook op andere besturingssystemen, waaronder Windows - bestanden en processen verbergt. Ook bevat een rootkit meestal software om toetsaanslagen te verzamelen (keylog-functionaliteit) en achterdeurtjes in het systeem te bouwen. Daarnaast komen rootkits in verschillende 'smaken' voor: kernel rootkits (bijzonder lastig, werken op het diepste niveau), library rootkits en applicatie rootkits.


Hoe kom je aan een rootkit?
Een rootkit kan op vele manieren je systeem binnen komen. In het 'beruchte' geval van Sony BMG werd de rootkit via speciale afspeelsoftware geïnstalleerd, ongeacht of je er toestemming voor gaf. Andere rootkits kunnen door binnendringers geïnstalleerd worden, of komen met (onbetrouwbare) software mee. De laatste tijd maken ook meer en meer virussen en andere malware als spyware gebruik van rootkits. De bekende truc van virussen (of eigenlijk mailwormen) om de processen van antivirussoftware, firewalls, regedit en vergelijkbare software te stoppen, zou als rootkit-functionaliteit aangemerkt kunnen worden. Immers: detectie van de worm wordt zo voorkomen, of op z'n minst uitgesteld.


Wat doet een rootkit?
Rootkits zijn bedoeld om kwaadwillenden (of hun software) ongemerkt hun gang te laten gaan. Zo kan een rootkit gebruikt worden om specifieke bestanden te verbergen voor de gebruiker, bijvoorbeeld logbestanden waarin wachtwoorden worden verzameld. Die wachtwoorden kunnen verzameld worden door een keylogger, een programma dat alle toetsenbordaanslagen opslaat. Wanneer daar wachtwoorden tussen zitten, is het een kleine moeite die uit de opgeslagen aanslagen te filteren. De keylogger zelf krijg je nooit te zien, aangezien de rootkit zowel de bestanden als de processen van de keylogger verbergt.
Een achterdeurtje (om op afstand toegang tot de pc te krijgen) kan normaal gesproken door antivirussoftware en firewalls gedetecteerd worden. Een rootkit zorgt ervoor, dat het achterdeurtje lange tijd ongemerkt gebruikt kan worden. Zo zijn er oneindig veel toepassingen voor rootkits te bedenken: een 'hacker' hoeft het alleen te bedenken en de rootkit aan te passen aan de wensen.

De reden waarom rootkits niet een 'ver-van-je-bed-show' zou moeten zijn, is dat je computer - en alle gegevens daarop - ongemerkt toegankelijk voor kwaadwillenden kan zijn. Een normaal virus wordt over het algemeen gedetecteerd, maar verstop een keylogger met een rootkit, en elk ingetikt wachtwoord kan jarenlang naar een aanvaller verstuurd worden. Het venijn zit 'em dus in het stiekeme: ongemerkt kan iemand toegang hebben tot je computer, je persoonlijke gegevens, wachtwoorden, bankgegevens, noem maar op. En geen virusscanner die aan de bel trekt...


Hoe detecteer en verwijder je rootkits?
Hoewel rootkits in principe gemaakt zijn om hun werk onopgemerkt te doen, zijn sommige beveiligingsprogramma's toch in staat ze te detecteren. Zelfs antivirussoftware wordt er beter in, mede dankzij het Sony BMG verhaal (veel AV-fabrikanten merkten de XCP-software - de rootkit-component van de gewraakte cd's - niet aan als rootkits, maar onder druk van publieke opinie veranderde dat). Bedenk wel dat op een mogelijk geïnfecteerd systeem - in theorie - niets meer vertrouwd kan worden: hoe weet je of je niet door de rootkit voor de gek wordt gehouden?

Er zijn echter ook gespecialiseerde rootkit-detectors. Voor Windows zijn de bekendste detectoren Blacklight (een beta-versie) en Rootkit Revealer (eveneens gratis). Deze laatste is overigens mede-ontwikkeld door de man die het Sony-balletje aan het rollen bracht.
Het verwijderen van rootkits is echter een kwestie van persoonlijke keuze. Het is weliswaar mogelijk een rootkit (afhankelijk van het type: volledig) van het systeem te verwijderen, maar hoe veilig is dat? Een standaard werkwijze voor beheerders van computers (niet de doorsnee thuisgebruiker dus) is het helemaal opnieuw installeren van het besturingssysteem. Uiteraard gebeurt dat na het redden van zoveel mogelijk (ongeïnfecteerde) data...

Dit artikel stond oorspronkelijk op planet.nl en heb ik hier gepost omdat ze de website van planet helemaal veranderd hebben (zelfs van naam) en dit artikel nu verdwenen is. Het is in ieder geval interessant genoeg om te onthouden! ;-)

Geen opmerkingen: