ה-RootKit הוא איום ותיק הצובר כיום תאוצה. הוא מטריד יותר ויותר ומאתגר את המנמ"רים וחברות אבטחת המידע. מדובר בסט כלי פריצה המושתל ומוסתר בתוך ליבת מערכת ההפעלה ושוכן שם לאורך זמן, ללא ידיעת המשתמש ואמצעי ההגנה השונים. מדובר במעין סוס טרויאני בסיסי ורב-שימושי, שמומחיותו - הסתתרות בתוך מערכת ההפעלה ושימוש בה, בזמן ובדרך, עליהם יחליט מי שהתקין אותו.
תפקיד ה-RootKit, להוות דלת אחורית זמינה לפעילות אחרת, כהחדרת נוזקות, גניבת מידע, הסתרת מידע, הפצת ספאם וגם פעילות לגיטימית או לגיטימית למחצה (למשל במערכת הגנת זכויות יוצרים). האופי החמקמק של ה-RootKit, יכולתו להוות קרש קפיצה לתקיפות שונות, הפוטנציאל הפלילי הרחב שטמון בו והנזק המתגלגל, מחייבים הערכות מיוחדת ברמת האמצעים, ברמת הידע וברמה הניהולית.
RootKit נחלקים בהכללה לשני סוגים: RootKit ברמת המשתמש, שפועל כיישום עצמאי או משעבד ישום קיים והוא הקל יחסית לאיתור. RootKit ברמת ליבת מערכת ההפעלה (ה-Kernel), פועל לעיתים בתוך מנהלי התקן או רכיבי מערכת אחרים והוא בעל פוטנציאל השפעה רחב וקשה לאיתור. העיקרון דומה בשני הזנים: הסתרת מידע של מצב המערכת מכלי הדיאגנוסטיקה וההגנה.
ההדבקה עשויה להתרחש במגוון דרכים מוכרות להפצת נוזקה, דוגמת התקנת תוכנה נגועה, לחיצה על קישור באתר נגוע או פתיחת קובץ נגוע, המקושר להודעת דואר.
השלכות לארגונים
ההשלכות לארגונים חמורות: ארגון החש מוגן, עשוי להיות בפועל פרוץ לתקיפות רבות. אם מתרחשת תקיפה באופן זה, היא יכולה בקלות להיות חשאית ולהתגלות רק אחרי זמן רב. הנזקים עשויים להיות רבים: דליפת מידע מהארגון, פגיעה בשמו הטוב, בעקבות הפצת ספאם או חדירה לפרטיות, בהמשכיות העסקית ומגוון נזקים כלכליים, כמו למשל שינוי נתונים כספיים, מחירי מוצרים או מידע על לקוחות, קנסות, תביעות, הגבלות - רגולטוריות, חוקיות וכלכליות, בעקבות חשיפת מידע לקוחות רגיש. התפשטות נגעים שונים, תוספת קריאות שרות והאטת ביצועים.
מגמות אחרונות בתחום, מגבירות את דחיפות העלאת המודעות לקריטיות האיום: עליה בתחכום ה-RootKits, גידול בהיקפים, במספר הסוגים ובמגוון אופני ניצולם על ידי התוקפים.
בעוד שלרוב אין ל-RootKits כל נזק ישיר, ישנם נזקים כלכליים משמעותיים, עקב פתיחת פתח לפעולת נוזקות אחרות, גניבת מידע או פגיעה בפרטיות. לדוגמא: עובד ממוצע מבזבז מעל שעה בחודש על טיפול בספאם (ITU), שעולה 50 מיליארד דולר בשנה, לכל הארגונים בעולם ביחד (Ferris Research). ככלל, השיעור הממוצע של נזקי אבטחה בארגונים, הוא כ-0.14%-0.23% מתקציבם (גרטנר).
על פי סימנטק (Symantec), התחזקות ה-RootKits היא אחת המגמות הבולטות ביותר באבטחה ב-2006. ואכן, כיום 22% מהפגיעות עליהן מדווחים מנהלי מחשוב, נובעות מ-RootKits ו-KeyLoggers (נתוני FaceTime Communications). לפי McAfee Avert Labs היקף התופעה כנראה ייתרחב ב-2007. מצד שני, צפוי שכך גם יקרה להיקף הפתרונות ויעילותם.
פתרונות בולטים
אלו כמה מוצרים בולטים, שיסייעו בהתמודדות: מיקרוסופט רכשה לאחרונה את המוצר Rootkit Revealer, Malicious Software Removal Tool (MSRT), DiamondCS,F-secure שמציעה את Internet Security Suite 2006 ואת Blacklight, כלי זיהוי וניקוי RootKit,G
MER, Ice Sword, InfoProcess, McAfee בייצוג רנסאנס, ESET בייצוג קומליין, Resplendence,Sophos Anti-Rootkit, Symantec(סימנטק) עם מגוון פתרונות כוללים, טרנד מיקרו (Trend Micro),Sunbelt CounterSpy ו-Webroot SpySweeper.
פרשת סוני
פרשה בולטת היא פרשת ה-RootKit, ששתלה חברת Sony BMG בשנת 2005 בתקליטורי מוזיקה, לצורך הגנה בפני העתקה. באמצעות יישום מדף של חברת First4Internet, הוסיפה סוני לכמה CD מתוצרתה מערכת ההגנה בפני העתקות לא חוקיות בשם XCP. תוכנה זו הסתירה עצמה מניסיונות גילוי, לא אפשרה הסרה ובשלב מסוים זוהתה והוגדרה כ-RootKit. החל מאוגוסט 2005, דיווחים מסתוריים על התרסקויות מערכת, הקשורות בקובץ מסתורי בשם aries.sys, דווחו ועם הזמן קושרו לתוכנה של סוני. מי שניסו להסיר את התוכנה ידנית, דיווחו כי פעולה זו שיבשה את הגישה לכונן ה-CDROM.
למרות כוונותיה הטובות של סוני, לפחות מבחינת שמירת האינטרסים שלה, תגובת הציבור הייתה חריפה ובהדרגה, חברות אנטי וירוס החלו לכלול במוצריהן יכולות זיהוי והסרה, גם לקוד זה. עוד נטען, כי RootKit זה פתח חור אבטחה במחשבי הלקוחות, אשר האקרים עלולים לנצל לרעה. "פרשת סוני" העלתה למודעות הציבורית את נושא ה-RootKit בכללו ובמיוחד את הזווית המפתיעה של יישומם ה"אפור", על ידי חברות מסחריות לגיטימיות.
עדכונים נכון ליום ההזנה
לאחרונה גילו בחברת האבטחה F-Secure עוד תוכנה של סוני, שמיועדת להתקן זיהוי ביומטרי, הנגועה ברוגלה מסוג Rootkit ומסוגלת להסתיר עצמה גם מתוכנות הגנה. בתחום הפתרונות, עדיין אין פתרון אחד בודד, שיספק מענה איכותי מספיק לתופעה זו.
סיכום
חיוני להכיר את הסיכון החמקמק שמציבים יישומי ה-RootKit ולטפל בהם, באופן שגרתי, יסודי ומתודי.
אנשים מהתחום, מוזמנים להגיב לתרום ולהוסיף...
התקציר לקוח מתוך תחקיר pCon בשם RootKit - חפרפרת במחשב.
גילית מידע חדש? מעניין?... רוצה עוד? ראה 100+ תחקירי מפתח.http://www.pcon.co.il/v5/105Debriefs.asp
הרחבות, ראיונות עם מומחים, טיפים מעשיים וקישורים להעמקה ניתן למצוא בקישור הבא - http://www.pcon.co.il/v5/Debrief.asp?debrief=793
למאמרים מקצועיים ואובייקטיביים נוספים של קובי שפיבק, בתחומי מידע מחשבים ואינטרנט, באתר "מאמרים" ראה - http://www.articles.co.il/author/1944
קובי שפיבק Bsc., MBA הוא העורך הראשי של תחקירי pCon ואתר pCon-line. כמי שעוסק במחשבים, על מכלול היבטיהם משנת 1976 וכן כמי שכתב וערך למעלה משמונה מאות תחקירים על כל היבטי המחשוב העיקריים, הוא נמנה על אותם אנשים בודדים בארץ ובעולם, שבאמת ובתמים, מבינים לאן הולך עולם המחשוב ומהן השלכותיו המידיות והעתידיות, על אנשים וארגונים. הוא גם פרסם מספר רב של מאמרים במרבית העיתונים הגדולים והמקצועיים, והופיע פעמים רבות בערוצי הטלוויזיה והרדיו המרכזיים. נכון להיום הוא מייעץ למרבית מנהלי המחשוב בארגונים המובילים בישראל, והוא נחשב בעיני רבים, לגורו של המחשוב העסקי.
