Arash.All
15th August 2010, 12:23 PM
روت کیت ها ، تهدیداتی پنهان !
http://www.shabakeh-mag.com/Data/Articles/Items/2009/4/1003751_b.jpg
اشاره: شايد اولين باري كه مبحث روتكيتها مطرح شد، هيچكس فكر نميكرد اين تهديد تازه وارد قرار است به نسل جديدي از تهديدات پيچيده و خطرناكي تبديل شود كه دشمن سرسختي براي امنيت اطلاعات به شمار آيد. در حقيقت شكل و ساختار اوليه روتكيتها مشكل خاص و تهديدي براي كامپيوترها محسوب نميشدند. ولي به مرور زمان و تركيب خاصيت اصلي اين مكانيزم، يعني مخفيسازي فرآيندهاي سيستمي و شبكهاي، با كدهاي بدافزارها، روتكيتها را بسيار خطرناك و هولناكتر از هرگونه تهديد مشابهي ساخت. زيرا با استفاده از همين پروسههاي مخفي، نفوذگران و بدافزارها به راحتي ميتوانند به دور از چشم كاربران اطلاعات محرمانه آنها را به سرقت ببرند. اما اينكه چگونه اين تهديد بهوجود آمده، چرا امروزه اينقدر مشكلات ريز و درشت را براي سيستمهاي كامپيوتري ايجاد كرده است، موضوع مقاله ما نخواهد بود. در اين نوشتار سعي كرديم، با مطرح كردن دو پرسش كليدي با روتكيتها و نسل جديد آنها آشنا شويم: روتكيتها چگونه و كجا پنهان ميشوند؟ چطور ميتوان جلوي آنها را گرفت؟
منبع: نتورك ورلد
روتكيتها چگونه و كجا پنهان ميشوند؟ چطور ميتوان جلوي آنها را گرفت؟
به اعتقاد كارشناسان امنيتي نسل جديد روتكيتها ساختاري بسيار پيچيده و خطرناكتر از گذشته پيدا كرده است. دينو داي زوي (Dino Dai Zovi) پژوهشگر امنيتي معتقد است روتكيتها با توجه به ساختار معماري پردازشگرهاي اينتل در لايه مجازي سيستم قرار ميگيرند.
اين نظريه در سال 2006 توسط وي در كنفرانس BlackHat ارائه شد. ضمن آنكه در كنفرانسي مشابه، جوانا روتكافسكي نيز با بيان همين ساختار، قرارگيري اين تهديدات را روي سيستمهايي كه از پردازشگرهاي AMD بهره ميبرند، معرفي كرد.
خوشبختانه طبق گفتههاي دايزوي تهديد مذكور هنوز بهصورت واقعي و عملي در سيستمهاي امروزي ديده نشده است و البته دليل اين موضوع خيلي هم خوب نيست، زيرا روشهاي قديمي كه در روتكيتها بهكار گرفته ميشود آنقدر خوب عمل ميكنند كه ديگر به استفاده از روشهاي جديد نيازي نخواهد بود.
مايك دالتون مدير فناوري شركت Revelogic، ميگويد: <اگر من خودم يك هكر بودم و مدلهاي كاربري و هستهاي روتكيتهايم هشتاد درصد مواقع به خوبي كار ميكردند براي چه بايد خود را به دردسر انداخته و مدلهاي جديدي را ايجاد ميكردم؟>
البته اين گفته به آن معني نيست كه خرابكاران كامپيوتر دست روي دست گذاشتهاند و از روشهاي قديمي بهصورت ايستا بهره ميبرند. بلكه به مرور زمان اين نوع تهديدات كه بر دو پايه روتكيتهاي كاربر (User Rootkit) و روتكيتهاي هسته (Kernel-Based Rootkit) استفاده ميشود، بهصورت روز افزون رشد و نمو بسيار زيادي داشتهاند و هرچه بيشتر در شبكههاي سازماني نفوذ ميكنند و با اختفا در سيپييوها و كاوش سيستمهاي چند سيپييواي، سعي در نفوذ از طريق بازيها دارند.
اصولاً روتكيتهاي كاربر به آن دسته از روتكيتهايي گفته ميشود كه توسط خود كاربران (بهصورت ناآگاهانه؛ بهعنوان مثال با مراجعه به سايتهاي آلوده و كليك روي لينكهاي مشكوك) روي سيستم فعال ميشوند و روتكيتهاي هسته نيز به روتكيتهايي گفته ميشود كه در لايه غير نرمافزاري يا Application Layer (مانند تجهيزات سختافزاري) قرار ميگيرند.
اصولاً وجود روتكيتها خود ميتواند زمينهسازي را براي ايجاد پايگاه ارسال اسپم در شبكهها، سرقت اطلاعات محرمانه و فعالسازي ديگر بدافزارها فراهم سازد. از سوي ديگر با توجه به نحوه فعالسازي و مكانيزم عملكردي روتكيتها، شناسايي و پاكسازي آنها با نرمافزارها و تجهيزات امنيتي بسيار مشكل خواهد بود.
كريستوف آلم يكي از كارشناسان ضدبدافزار ميگويد: <باتوجه به نمونههاي گوناگون بدافزارهايي كه ما جمعآوري ميكنيم، امروزه روتكيتها يكي از شايعترين نوع تهديدات بهشمار ميآيند.> او ميافزايد: <در ميان روتكيتها آن دسته كه در زمينه ارسال اسپمها (Spambot) فعال هستند، بيشتر شايع هستند. بهعنوان مثال، دو روتكيت Srizbi و Rustock از همين نوع روتكيتها به حساب ميآيند.>
طبق آخرين فهرست تهديداتي كه شيوعشان در جهان واقعي به اثبات رسيده است (In the Wild Malwares)، در سال 2007 روتيكت Rustock.C سيستمهاي زيادي را مورد هجوم قرار داده است. اين بدافزار مانند اغلب ويروسها به درايورهاي هستهاي هجوم ميبرد و با استفاده از خاصيت چندگانهبودن (Polymorphism) ميتواند ساختار خود را تغيير دهد تا توسط شناسههاي موجود در ضدويروسها به دام نيفتد.
اين روتكيت با استفاده از خاصيت دور زدن موانع امنيتي (Back-door Threat) ميتواند وارد قسمت درايورهاي سيستمي مورد اطمينان مايكروسافت شده و با باز كردن ارتباطي دو طرفه، از پورت هشتاد براي تبادل اطلاعات با خارج از سيستم راه را باز كند. طبق اعلام سايت Rootkit.com، اين روتكيت بهعنوان قدرتمندترين تهديد شايع از نظر توان مخفي سازي در ويندوز شناخته شده است.
با توجه به تركيب روتكيتها با بدافزارهاي ديگر (مانند تروجانها) مشكلات پيشروي دنياي امنيت كامپيوتر بيشتر از گذشته شدهاست. زيرا اين تهديدات ديگر فقط هدف خود را روي سيستمها قرار نميدهند، بلكه آنها با پخش شدن روي شبكهها گسترشي بالاتر و خطرناكتر خواهند داشت. از اينرو تنها راه يافتن روتكيتهاي اينچنيني نظارت روي شبكه و يافتن حركات مشكوك سيستمهايي است كه ممكن است به روتكيتها آلوده شده باشند.
آلم ميگويد: <شركتها مجبورند براي برقراري ترافيكي اينترنتي كارمندان خود پورت هشتاد را باز نگهدارند، حال آنكه خيلي از بدافزارها از جمله روتكيتها خود را روي پكتهاي ارسالي توسط پروتكل HTTP سوار كرده و از اين طريق ميتوانند بهصورت رفت و برگشتي در شبكهها پخش شوند.>
او در ادامه ميافزايد: <البته با توجه به اين خاصيت كه كاربردهاي اينترنتي بيشتر از ترافيك ورودي (Inbound) بهره ميبرند تا ترافيكهاي خروجي (Outbound)، ميتوان با اسكن كردن كليه پكتهاي ارسالي، روتكيتها را شناسايي كرد و مانع از توزيع آنها شد.>
به اعتقاد آلم، روتكيتها اغلب روي پكتهايي قرار ميگيرند كه در ترافيكهاي شبكهاي بهعنوان دادههاي مورد اطمينان شناسايي ميشوند. از اينرو نبايد با توجه به خصوصيت، از كنترل چنين دادههايي خودداري كرد. او ميگويد: <به خاطر داشته باشيد پشت اين ترافيكهاي مشكوك خرابكاراني وجود دارند كه بهصورت كنترل از راهدور ميخواهند اطلاعات با ارزش شما را مورد تهديد قرار دهند>.
دالتون معتقد است، شناسايي آن دسته از روتكيتهايي كه روي سيستمها قرار ميگيرند، در مقايسه با روتكيتهايي كه در شبكهها فعال هستند، بسيار مشكل و پيچيده خواهد بود. زيرا روتكيتها ميتوانند بهشكلي در سيستمها قرار گيرند كه ضدويروسها نتوانند آنها را شناسايي و پاكسازي كنند.
البته با پشتيباني VMware از آنتي ويروس در نسخه هاي جديد و بستههاي الحاقي، VMsafe، آنتي ويروسها خواهند توانست با VMM (يا ناظر ماشين مجازي كه هايپروايزور نيز ناميده ميشود) حفاظت شده اجرا شوند و بر هسته سيستم بيشتر تسلط پيدا كنند.
روتکيتشناسي
به گفته دالتون ماجراي ضدويروس و روتكيت همانند بازي موش و گربه است. از سويي ضدويروسها در سيستم به دنبال روتكيت ميگردند و از سوي ديگر روتكيتها به دنبال ضدويروسها. مشخصاً ضدويروسها بهدنبال روتكيتها خواهند گشت تا آنها را پاكسازي كنند، اما مقصود روتكيتها بسيار خطرناك و منفي خواهد بود.
زيرا آنها با توجه به مستقر شدن در قسمتهاي حساس سيستمي، توان از كار انداختن سرويسهاي ضدويروس و به نوعي مسلط شدن بر آنرا پيدا خواهند كرد. دالتون در ادامه ميگويد: <با توجه به برتري سيستمي روتكيتهاي هسته (در كنترل يافتن به ضدويروس)، نسل سيستمهاي امنيتي كه بتوانند بهصورت مجازي روي سيستم نصب شوند، اين خلاء امنيتي را پوشش خواهد داد. زيرا با توجه به مجازي بودن اين سيستم، روتكيت نميتواند از وجود ضدويروس و مكان آنها باخبر شود.>
به گفته دايزوي ابزارهاي ضدروتكيت (مانند Sophos Anti-Rootkit) يا فناوريهاي مجزايي كه در بعضي از ضديروسها بهكار ميرود (مانند BlackLight كه در ضدويروس F-Secure مورد استفاده قرار ميگيرد)، براي مقابله با روتكيتها از عمليات آزمون و مقايسه استفاده خواهند كرد.
در اين روش براي شناسايي موارد مشكوك (در هسته سيستم و ديگر بخشها) امكان وجود فايلهاي مخفي در بخشهاي حساس سيستم، وروديهاي غيرمجاز در رجيستري ويندوز و... مورد ارزيابي قرار خواهد گرفت. اما يكي ديگر از قسمتهايي كه ميتواند در اين ارزيابيها مورد بررسي قرار گيرد، مقايسه پروسسهاي فعال سيستم است.
در اين روش، فهرست پروسسهاي فعال سيستمي كه در Task Manager قرار دارند با نرمافزارهايي كه واقعاً در حال فعاليت هستند، مقايسه خواهند شد. در صورت وجود تناقض روتكيت شناسايي ميشود.
اما همانطور كه اشاره شد مشكل اصلي اين است كه نرمافزارهاي امنيتي از نظر رتبه سيستمي نسبت به روتكيتهاي هستهاي سطح پايينتري خواهند داشت. گري مكگراو از مديران شركت Cigital و ويرايشگر نهايي كتاب Rootkits ميگويد: <نرمافزارامنيتي در سطح حيطه كاربر سيستم فعال ميشوند و تحليل پوياي (Dynamic analyzed) پروسسهاي در حال اجرا، تلاش ميكند بفهمد كه آيا سيستم درباره فعاليتهاي در حال اجراي خود دروغ ميگويد يا خير! به اعتقاد من اين روش خيلي هوشمندانه و مؤثر نخواهد بود.>
به اعتقاد كارشناسان امنيتي جديدترين نسل روتكيتها قادر است يك پكيج كامل بدافزاري را در بايوس سيستم جاي دهد و در صورت پاكسازي سيستمعامل باز هم در هر بار بوت شدن، كنترل حافظه سيستم را در دست گيرد. دايزوي در اين باره ميگويد: <در اين نوع تهديد خطرناك روتكيتهاي ماندگار (Persistent Rootkit) نام دارند>. اين روتكيت اولين بار توسط جان هيسمن در كنفرانس سال BalckHat معرفي شد.
مك گراو ميگويد: <اگر كسي بتواند پردازش سيستم را كنترل كند، اين قابليت را چگونه به پول تبديل خواهد كرد؟ يكي از راههاي اين كار فروش روباتهاي نرمافزاري براي ارسال هرزنامه يا سرقت هويت است. اما مؤثرترين راه براي استفاده پولي از منابع پردازشي، بازيهاي آنلاين است. در اين حوزه آخرين فناوريهاي روباتهاي نرمافزاري به كار گرفته ميشود.>
وي ميافزايد: <روباتهاي نرمافزاري بازي، به خصوص به دنبال سيستمهاي چندپردازندهاي هستند كه ميتوانند در حين بارگذاري، پردازشهاي چندگانه را اجرا كنند.> او كه نويسنده كتاب <بهرهبرداري از بازيهاي آنلاين> است، معتقد است هرچه روباتهاي نرمافزاري بازيهاي بيشتري را مورد سوءاستفاده قرار دهند، بيشتر ميتوانند منابع مجازي خود را به پول واقعي تبديل كنند.
بيل مديرعامل شركت TDITX ميگويد: <راههاي بسياري زيادي در هسته سيستمها وجود دارد كه توسط آنها روتكيتها ميتوانند در ميانافزار (Firmware) نفوذ كنند.> او همچنين در ادامه ميافزايد: <سيستمهاي امنيت سختافزاري امروزي هم بهترين فناوري ممكن را براي مقابله با اين تهديدات ارائه نميدهند.> او معتقد است، كه بايد در اين حيطه فعاليتهاي بيشتري انجام شود.
با وجود ريشههاي سختافزاري در پس اين ماجرا هنوز خيلي از شركتهاي بزرگ چاره مقابله با روتكيتها را روشهاي نرمافزاري ميدانند. اين مقوله آنقدر با اهميت است كه امپراطور دنياي نرمافزاري هم براي مقابله با آن دست روي دست نگذاشته است. به تازگي سخنگوي مايكروسافت خبر از بهكارگيري فناوري جديدي بهنام Komoku در محصولات امنيتي اين شركت يعني Forefront و OneCare داده است. شايد بايد منتظر ماند و ديد آيا سيستمهاي نرمافزاري ضدبدافزاري قادر خواهند بود با فناوريهاي پيشرفتهتر از گذشته راهكاري را براي مقابله با تهديدات بيابند يا خير.
به هرترتيب موضوعي كه تمامي كارشناسان كامپيوتري روي آن اتفاق نظر دارند آن است كه ماجراي امنيت كامپيوتر در يك رقابت سرسخت و تقابل ميان خرابكاران و شركتهاي امنيتي بوده است. با توجه به اينكه هميشه يك تهديد به وجود ميآيد و پس از آن روش مقابلهاش منتشر ميشود، هميشه تهديدات يك گام جلوتر هستند. دايزوي در اين باره ميگويد: <خيلي ساده لوحانه است اگر بگوييم روشي براي در امان نگه داشتن صد درصد سيستمها وجود دارد، اما بايد هميشه بهترين روشها و قابل اطمينانترينها را برگزينيم كه درصد ريسك تهديدات را كمتر كنيم .>
http://www.shabakeh-mag.com/Data/Articles/Items/2009/4/1003751_b.jpg
اشاره: شايد اولين باري كه مبحث روتكيتها مطرح شد، هيچكس فكر نميكرد اين تهديد تازه وارد قرار است به نسل جديدي از تهديدات پيچيده و خطرناكي تبديل شود كه دشمن سرسختي براي امنيت اطلاعات به شمار آيد. در حقيقت شكل و ساختار اوليه روتكيتها مشكل خاص و تهديدي براي كامپيوترها محسوب نميشدند. ولي به مرور زمان و تركيب خاصيت اصلي اين مكانيزم، يعني مخفيسازي فرآيندهاي سيستمي و شبكهاي، با كدهاي بدافزارها، روتكيتها را بسيار خطرناك و هولناكتر از هرگونه تهديد مشابهي ساخت. زيرا با استفاده از همين پروسههاي مخفي، نفوذگران و بدافزارها به راحتي ميتوانند به دور از چشم كاربران اطلاعات محرمانه آنها را به سرقت ببرند. اما اينكه چگونه اين تهديد بهوجود آمده، چرا امروزه اينقدر مشكلات ريز و درشت را براي سيستمهاي كامپيوتري ايجاد كرده است، موضوع مقاله ما نخواهد بود. در اين نوشتار سعي كرديم، با مطرح كردن دو پرسش كليدي با روتكيتها و نسل جديد آنها آشنا شويم: روتكيتها چگونه و كجا پنهان ميشوند؟ چطور ميتوان جلوي آنها را گرفت؟
منبع: نتورك ورلد
روتكيتها چگونه و كجا پنهان ميشوند؟ چطور ميتوان جلوي آنها را گرفت؟
به اعتقاد كارشناسان امنيتي نسل جديد روتكيتها ساختاري بسيار پيچيده و خطرناكتر از گذشته پيدا كرده است. دينو داي زوي (Dino Dai Zovi) پژوهشگر امنيتي معتقد است روتكيتها با توجه به ساختار معماري پردازشگرهاي اينتل در لايه مجازي سيستم قرار ميگيرند.
اين نظريه در سال 2006 توسط وي در كنفرانس BlackHat ارائه شد. ضمن آنكه در كنفرانسي مشابه، جوانا روتكافسكي نيز با بيان همين ساختار، قرارگيري اين تهديدات را روي سيستمهايي كه از پردازشگرهاي AMD بهره ميبرند، معرفي كرد.
خوشبختانه طبق گفتههاي دايزوي تهديد مذكور هنوز بهصورت واقعي و عملي در سيستمهاي امروزي ديده نشده است و البته دليل اين موضوع خيلي هم خوب نيست، زيرا روشهاي قديمي كه در روتكيتها بهكار گرفته ميشود آنقدر خوب عمل ميكنند كه ديگر به استفاده از روشهاي جديد نيازي نخواهد بود.
مايك دالتون مدير فناوري شركت Revelogic، ميگويد: <اگر من خودم يك هكر بودم و مدلهاي كاربري و هستهاي روتكيتهايم هشتاد درصد مواقع به خوبي كار ميكردند براي چه بايد خود را به دردسر انداخته و مدلهاي جديدي را ايجاد ميكردم؟>
البته اين گفته به آن معني نيست كه خرابكاران كامپيوتر دست روي دست گذاشتهاند و از روشهاي قديمي بهصورت ايستا بهره ميبرند. بلكه به مرور زمان اين نوع تهديدات كه بر دو پايه روتكيتهاي كاربر (User Rootkit) و روتكيتهاي هسته (Kernel-Based Rootkit) استفاده ميشود، بهصورت روز افزون رشد و نمو بسيار زيادي داشتهاند و هرچه بيشتر در شبكههاي سازماني نفوذ ميكنند و با اختفا در سيپييوها و كاوش سيستمهاي چند سيپييواي، سعي در نفوذ از طريق بازيها دارند.
اصولاً روتكيتهاي كاربر به آن دسته از روتكيتهايي گفته ميشود كه توسط خود كاربران (بهصورت ناآگاهانه؛ بهعنوان مثال با مراجعه به سايتهاي آلوده و كليك روي لينكهاي مشكوك) روي سيستم فعال ميشوند و روتكيتهاي هسته نيز به روتكيتهايي گفته ميشود كه در لايه غير نرمافزاري يا Application Layer (مانند تجهيزات سختافزاري) قرار ميگيرند.
اصولاً وجود روتكيتها خود ميتواند زمينهسازي را براي ايجاد پايگاه ارسال اسپم در شبكهها، سرقت اطلاعات محرمانه و فعالسازي ديگر بدافزارها فراهم سازد. از سوي ديگر با توجه به نحوه فعالسازي و مكانيزم عملكردي روتكيتها، شناسايي و پاكسازي آنها با نرمافزارها و تجهيزات امنيتي بسيار مشكل خواهد بود.
كريستوف آلم يكي از كارشناسان ضدبدافزار ميگويد: <باتوجه به نمونههاي گوناگون بدافزارهايي كه ما جمعآوري ميكنيم، امروزه روتكيتها يكي از شايعترين نوع تهديدات بهشمار ميآيند.> او ميافزايد: <در ميان روتكيتها آن دسته كه در زمينه ارسال اسپمها (Spambot) فعال هستند، بيشتر شايع هستند. بهعنوان مثال، دو روتكيت Srizbi و Rustock از همين نوع روتكيتها به حساب ميآيند.>
طبق آخرين فهرست تهديداتي كه شيوعشان در جهان واقعي به اثبات رسيده است (In the Wild Malwares)، در سال 2007 روتيكت Rustock.C سيستمهاي زيادي را مورد هجوم قرار داده است. اين بدافزار مانند اغلب ويروسها به درايورهاي هستهاي هجوم ميبرد و با استفاده از خاصيت چندگانهبودن (Polymorphism) ميتواند ساختار خود را تغيير دهد تا توسط شناسههاي موجود در ضدويروسها به دام نيفتد.
اين روتكيت با استفاده از خاصيت دور زدن موانع امنيتي (Back-door Threat) ميتواند وارد قسمت درايورهاي سيستمي مورد اطمينان مايكروسافت شده و با باز كردن ارتباطي دو طرفه، از پورت هشتاد براي تبادل اطلاعات با خارج از سيستم راه را باز كند. طبق اعلام سايت Rootkit.com، اين روتكيت بهعنوان قدرتمندترين تهديد شايع از نظر توان مخفي سازي در ويندوز شناخته شده است.
با توجه به تركيب روتكيتها با بدافزارهاي ديگر (مانند تروجانها) مشكلات پيشروي دنياي امنيت كامپيوتر بيشتر از گذشته شدهاست. زيرا اين تهديدات ديگر فقط هدف خود را روي سيستمها قرار نميدهند، بلكه آنها با پخش شدن روي شبكهها گسترشي بالاتر و خطرناكتر خواهند داشت. از اينرو تنها راه يافتن روتكيتهاي اينچنيني نظارت روي شبكه و يافتن حركات مشكوك سيستمهايي است كه ممكن است به روتكيتها آلوده شده باشند.
آلم ميگويد: <شركتها مجبورند براي برقراري ترافيكي اينترنتي كارمندان خود پورت هشتاد را باز نگهدارند، حال آنكه خيلي از بدافزارها از جمله روتكيتها خود را روي پكتهاي ارسالي توسط پروتكل HTTP سوار كرده و از اين طريق ميتوانند بهصورت رفت و برگشتي در شبكهها پخش شوند.>
او در ادامه ميافزايد: <البته با توجه به اين خاصيت كه كاربردهاي اينترنتي بيشتر از ترافيك ورودي (Inbound) بهره ميبرند تا ترافيكهاي خروجي (Outbound)، ميتوان با اسكن كردن كليه پكتهاي ارسالي، روتكيتها را شناسايي كرد و مانع از توزيع آنها شد.>
به اعتقاد آلم، روتكيتها اغلب روي پكتهايي قرار ميگيرند كه در ترافيكهاي شبكهاي بهعنوان دادههاي مورد اطمينان شناسايي ميشوند. از اينرو نبايد با توجه به خصوصيت، از كنترل چنين دادههايي خودداري كرد. او ميگويد: <به خاطر داشته باشيد پشت اين ترافيكهاي مشكوك خرابكاراني وجود دارند كه بهصورت كنترل از راهدور ميخواهند اطلاعات با ارزش شما را مورد تهديد قرار دهند>.
دالتون معتقد است، شناسايي آن دسته از روتكيتهايي كه روي سيستمها قرار ميگيرند، در مقايسه با روتكيتهايي كه در شبكهها فعال هستند، بسيار مشكل و پيچيده خواهد بود. زيرا روتكيتها ميتوانند بهشكلي در سيستمها قرار گيرند كه ضدويروسها نتوانند آنها را شناسايي و پاكسازي كنند.
البته با پشتيباني VMware از آنتي ويروس در نسخه هاي جديد و بستههاي الحاقي، VMsafe، آنتي ويروسها خواهند توانست با VMM (يا ناظر ماشين مجازي كه هايپروايزور نيز ناميده ميشود) حفاظت شده اجرا شوند و بر هسته سيستم بيشتر تسلط پيدا كنند.
روتکيتشناسي
به گفته دالتون ماجراي ضدويروس و روتكيت همانند بازي موش و گربه است. از سويي ضدويروسها در سيستم به دنبال روتكيت ميگردند و از سوي ديگر روتكيتها به دنبال ضدويروسها. مشخصاً ضدويروسها بهدنبال روتكيتها خواهند گشت تا آنها را پاكسازي كنند، اما مقصود روتكيتها بسيار خطرناك و منفي خواهد بود.
زيرا آنها با توجه به مستقر شدن در قسمتهاي حساس سيستمي، توان از كار انداختن سرويسهاي ضدويروس و به نوعي مسلط شدن بر آنرا پيدا خواهند كرد. دالتون در ادامه ميگويد: <با توجه به برتري سيستمي روتكيتهاي هسته (در كنترل يافتن به ضدويروس)، نسل سيستمهاي امنيتي كه بتوانند بهصورت مجازي روي سيستم نصب شوند، اين خلاء امنيتي را پوشش خواهد داد. زيرا با توجه به مجازي بودن اين سيستم، روتكيت نميتواند از وجود ضدويروس و مكان آنها باخبر شود.>
به گفته دايزوي ابزارهاي ضدروتكيت (مانند Sophos Anti-Rootkit) يا فناوريهاي مجزايي كه در بعضي از ضديروسها بهكار ميرود (مانند BlackLight كه در ضدويروس F-Secure مورد استفاده قرار ميگيرد)، براي مقابله با روتكيتها از عمليات آزمون و مقايسه استفاده خواهند كرد.
در اين روش براي شناسايي موارد مشكوك (در هسته سيستم و ديگر بخشها) امكان وجود فايلهاي مخفي در بخشهاي حساس سيستم، وروديهاي غيرمجاز در رجيستري ويندوز و... مورد ارزيابي قرار خواهد گرفت. اما يكي ديگر از قسمتهايي كه ميتواند در اين ارزيابيها مورد بررسي قرار گيرد، مقايسه پروسسهاي فعال سيستم است.
در اين روش، فهرست پروسسهاي فعال سيستمي كه در Task Manager قرار دارند با نرمافزارهايي كه واقعاً در حال فعاليت هستند، مقايسه خواهند شد. در صورت وجود تناقض روتكيت شناسايي ميشود.
اما همانطور كه اشاره شد مشكل اصلي اين است كه نرمافزارهاي امنيتي از نظر رتبه سيستمي نسبت به روتكيتهاي هستهاي سطح پايينتري خواهند داشت. گري مكگراو از مديران شركت Cigital و ويرايشگر نهايي كتاب Rootkits ميگويد: <نرمافزارامنيتي در سطح حيطه كاربر سيستم فعال ميشوند و تحليل پوياي (Dynamic analyzed) پروسسهاي در حال اجرا، تلاش ميكند بفهمد كه آيا سيستم درباره فعاليتهاي در حال اجراي خود دروغ ميگويد يا خير! به اعتقاد من اين روش خيلي هوشمندانه و مؤثر نخواهد بود.>
به اعتقاد كارشناسان امنيتي جديدترين نسل روتكيتها قادر است يك پكيج كامل بدافزاري را در بايوس سيستم جاي دهد و در صورت پاكسازي سيستمعامل باز هم در هر بار بوت شدن، كنترل حافظه سيستم را در دست گيرد. دايزوي در اين باره ميگويد: <در اين نوع تهديد خطرناك روتكيتهاي ماندگار (Persistent Rootkit) نام دارند>. اين روتكيت اولين بار توسط جان هيسمن در كنفرانس سال BalckHat معرفي شد.
مك گراو ميگويد: <اگر كسي بتواند پردازش سيستم را كنترل كند، اين قابليت را چگونه به پول تبديل خواهد كرد؟ يكي از راههاي اين كار فروش روباتهاي نرمافزاري براي ارسال هرزنامه يا سرقت هويت است. اما مؤثرترين راه براي استفاده پولي از منابع پردازشي، بازيهاي آنلاين است. در اين حوزه آخرين فناوريهاي روباتهاي نرمافزاري به كار گرفته ميشود.>
وي ميافزايد: <روباتهاي نرمافزاري بازي، به خصوص به دنبال سيستمهاي چندپردازندهاي هستند كه ميتوانند در حين بارگذاري، پردازشهاي چندگانه را اجرا كنند.> او كه نويسنده كتاب <بهرهبرداري از بازيهاي آنلاين> است، معتقد است هرچه روباتهاي نرمافزاري بازيهاي بيشتري را مورد سوءاستفاده قرار دهند، بيشتر ميتوانند منابع مجازي خود را به پول واقعي تبديل كنند.
بيل مديرعامل شركت TDITX ميگويد: <راههاي بسياري زيادي در هسته سيستمها وجود دارد كه توسط آنها روتكيتها ميتوانند در ميانافزار (Firmware) نفوذ كنند.> او همچنين در ادامه ميافزايد: <سيستمهاي امنيت سختافزاري امروزي هم بهترين فناوري ممكن را براي مقابله با اين تهديدات ارائه نميدهند.> او معتقد است، كه بايد در اين حيطه فعاليتهاي بيشتري انجام شود.
با وجود ريشههاي سختافزاري در پس اين ماجرا هنوز خيلي از شركتهاي بزرگ چاره مقابله با روتكيتها را روشهاي نرمافزاري ميدانند. اين مقوله آنقدر با اهميت است كه امپراطور دنياي نرمافزاري هم براي مقابله با آن دست روي دست نگذاشته است. به تازگي سخنگوي مايكروسافت خبر از بهكارگيري فناوري جديدي بهنام Komoku در محصولات امنيتي اين شركت يعني Forefront و OneCare داده است. شايد بايد منتظر ماند و ديد آيا سيستمهاي نرمافزاري ضدبدافزاري قادر خواهند بود با فناوريهاي پيشرفتهتر از گذشته راهكاري را براي مقابله با تهديدات بيابند يا خير.
به هرترتيب موضوعي كه تمامي كارشناسان كامپيوتري روي آن اتفاق نظر دارند آن است كه ماجراي امنيت كامپيوتر در يك رقابت سرسخت و تقابل ميان خرابكاران و شركتهاي امنيتي بوده است. با توجه به اينكه هميشه يك تهديد به وجود ميآيد و پس از آن روش مقابلهاش منتشر ميشود، هميشه تهديدات يك گام جلوتر هستند. دايزوي در اين باره ميگويد: <خيلي ساده لوحانه است اگر بگوييم روشي براي در امان نگه داشتن صد درصد سيستمها وجود دارد، اما بايد هميشه بهترين روشها و قابل اطمينانترينها را برگزينيم كه درصد ريسك تهديدات را كمتر كنيم .>