Rootkity - małe, wredne i trudne do usunięcia

Joanna Rutkowska, specjalistka ds. zabezpieczeń, zaprezentowała kilka różnych metod, za pomocą których wyspecjalizowane rootkity mogą oszukać nawet najlepsze dostępne obecnie mechanizmy obronne.

Rutkowska zaprezentowała wyniki swoich badań podczas poświęconej komputerowemu bezpieczeństwu konferencji Black Hat w Arlington, w stanie Virginia. Z jej prezentacji wynika, iż jeśli rootkit jest wystarczająco zaawansowany, aktualnie nie ma całkowicie skutecznej metody jego wykrycia w systemie.

Niektóre sprzętowe mechanizmy obrony przed rootkitami (m.in. takie produkty jak Tribble, CoPilot i RAM Capture Tool) działają w ten sposób, że wykonują "obraz" pamięci RAM (jest to najpewniejszy sposób na wykrycie obecności pewnych rodzajów rootkitów).

Rutkowska pokazała jednak trzy rodzaje ataków, skutecznie radzących sobie z tego typu zabezpieczeniami. Jeden z nich prowadził do zawieszenia komputera w momencie, gdy mechanizm zabezpieczający próbował uzyskać dostęp do stanu pamięci RAM, inny polegał na udostępnieniu do wglądu jedynie pewnej części pamięci. Ostatni typ ataku polegał na całkowitym maskowaniu rzeczywistego stanu pamięci fizycznej podczas jej skanowania. Druga z wymienionych technik w niektórych przypadkach pozwalałaby na odnalezienie śladów działania złośliwego oprogramowania w systemie, ale bez możliwości jego identyfikacji, zaś dzięki trzeciej oprogramowanie typu malware mogłoby nigdy nie zostać odnalezione.

Rutkowska twierdzi: "Żyjemy w XXI wieku, ale najwyraźniej nie potrafimy miarodajnie odczytać stanu pamięci naszych komputerów. Może powinniśmy pomyśleć o zmianie architektury systemów tak, aby można je było w pewien sposób zweryfikować".

Źródło: PC World Komputer