Zwierzenia pogromcy rootkitów
"Nie istnieje coś takiego jak "dobry rootkit". One modyfikują działanie systemu operacyjnego i utrudniają pracę osobom zarządzającym systemem. Co więcej - niekiedy takie ukryte obiekty mogą zawierać błędy, które umożliwią skuteczne zaatakowanie systemu" - mówi w rozmowie z IDG Mark Russinovich, współzałożyciel firmy Winternals Software, znany "łowca rootkitów". Russinovich wyjawia nam również, dlaczego - jego zdaniem - pewne rootkity są bardziej niebezpieczne od innych oraz dlaczego trudno jest stworzyć stuprocentowo skuteczny program do wykrywania rootkitów.
Czy istnieje jakaś prosta definicja rootkitu?
Mark Russinovich: Nie, nie stworzono na razie czegoś takiego. Ja mam własną - rootkitem jest oprogramowanie, które ukrywa pewne obiekty przed standardowymi narzędziami administracyjnymi lub zabezpieczającymi.
Rootkity wykorzystywane przez przestępców - np. autorów wirusów - są oczywiście niebezpieczne. Ale czy Pana zdaniem rootkity mogą zostać wykorzystane przez twórców zwykłego oprogramowania tak, by nikomu nie szkodziły?
Nie - nie istnieje coś takiego jak "dobry rootkit". One modyfikują działanie systemu operacyjnego i utrudniają pracę osobom zarządzającym systemem. Co więcej - niekiedy takie ukryte obiekty mogą zawierać błędy, które umożliwią skuteczne zaatakowanie systemu - tak było przecież z osławionym rootkitem wykorzystanym na płytach Sony.
Jak popularne są obecnie rootkity?
W ostatnim czasie obserwujemy coraz większą ich popularność - coraz więcej wirusów i robaków zawiera rootkity. Wynika to z faktu, iż coraz bardziej interesują się nimi autorzy robaków tworzących bonety i spyware - dla nich rootkity to biznes. Warto przy tej okazji przypomnieć pewną ciekawostkę - jeden z pierwszych wirusów komputerowych - stworzony 20 lat temu Brain - był właśnie rootkitem.
Czy w tej chwili jesteśmy w stanie wykryć wszystkie rootkity?Nie istnieje 100% skuteczne narzędzie do wykrywania rootkitów.
Dlaczego tak trudno z nimi walczyć?
Podstawowy problem polega na tym, że na wiele różnych sposobów mogą one modyfikować działanie systemu Windows - wtedy niekiedy bardzo trudno odróżnić zwykły kod od niebezpiecznego. To zresztą problem wszystkich systemów operacyjnych. Jeśli okaże się, że w systemie działa choć jeden "złośliwy" program, to musisz założyć, że straciłeś kontrolę nad nim.
W ubiegłym roku burzę wywołało ujawnienie rootkita na płytach CD Sony - jak to się stało?
Dosłownie w kilka godzin po tym, jak opublikowałem w swoim blogu informację o rootkicie, pojawiła się ona w serwisie Slashdot, a w następnych dniach na większości serwisów informacyjnych. Później wszystko potoczyło się błyskawicznie - a ja skończyłem jako ekspert sądowy w sprawie przeciwko Sony.
Jak właściewie znalazł Pan ten rootkit?
Po prostu kupiłem płytę CD. To nie jest tak, że siedzę i sprawdzam każdy program, jednak gdy tylko zauważę coś dziwnego w systemie Windows, staram się to sprawdzić.
Wykrył Pan także rootkit w oprogramowaniu SystemsExpert firmy Symantec...
Tak, ale to zupełnie inna sytuacja niż w przypadku Sony. Rootkit z płyt instalował się bez wiedzy użytkownika, zaś jego zadaniem było ograniczanie możliwości nabywcy płyty. W produkcie Symanteka intencja była zupełnie inna - rootkit miał pomagać. Tyle, że był wadliwy - koncern to zresztą potwierdził.
Dlaczego program RootkitRevealer dystrybuowany jest bezpłatnie?
Nie bierzemy za niego pieniędzy, ponieważ nie mam pewności, że jest w stanie wykryć wszystkie rootkity. A nie uważam za fair sprzedawanie produktu, którego skuteczności nie mogę zagwarantować.
Czy jakaś firma pracuje nad takim programem?
Nic mi o tym nie wiadomo. Problem z oprogramowaniem zwalczającym rootkity jest taki, że niestety trzeba założyć, że nie jest ono w stanie w 100% oczyścić systemu. Zawsze trzeba zakładać najgorsze. Moja porada [dla osób, które podejrzewają, że w ich systemie znajduje się rootkit - red.] jest taka - usuń system i zainstaluj go od nowa.
A jak zamierzacie rozwiązać problem rootkitów?
Rozwiązaniem może być oprogramowanie dokładnie kontrolujące wszystkie aplikacje - program, który będzie sprawdzał, co mogą uruchomić poszczególni użytkownicy. Myślę, że coś takiego może uniemożliwić uruchamianie się w systemie podejrzanych aplikacji.Jakiś czas temu wziął Pan udział w konkursie zorganizowanym przez czeskiego programistę o pseudonimie Holy Father ( Ojciec Święty ), który sprzedawał stworzony przez siebie rootkit i twierdził, że jest on w stanie oszukać program RootkitRevealer. Proszę o tym opowiedzieć.
Rzeczywiście, Holy Father reklamował swój produkt informując, że skutecznie ukrywa się on przed naszym programem. To było ciekawe wyzwanie - RootkitRevealer wykrył podstawową wersję stworzonego przez niego rootkitu. Nie wiemy niestety, jak poradziłby sobie z wersją "gold" - ponieważ Holy Father udostępniał ją jedynie swoim klientom.
Jak to się właściwie stało, że zainteresował się Pan rootkitami?
Dzięki mojemu doświadczeniu z pracy z systemami operacyjnymi już w połowie lat 90. poznałem rootkity dla systemów uniksowych. Wtedy również ich działanie polegało głównie na modyfikowaniu działania systemu operacyjnego. Rootkitom była również poświęcona moja praca dyplomowa na Carnegie Mellon University - pisałem w niej o elementach systemu operacyjnego, które mogą zostać wykorzystane do instalowania w nim "niewidzialnych" programów.
Później stworzyłem program o nazwie Regmon - powstał, bo nie było wtedy narzędzia, które potrafiłoby monitorować zmiany wprowadzane przez aplikacje do rejestru systemowego. Cały czas zresztą śledzę rozwój tych programów - często zaglądam np. na Rootkit.com - http://rootkit.com.