המחשב שלכם מקרטע? אולי נדבקתם ב-RootKit

נתחיל מהיסודות. מה זה בכלל RootKit או בתרגום חופשי מאוד, ערכה לטיפול שורש? כמו כל גורם צרות בתחום המחשבים, זוהי חבילת תוכנה המותקנת על המחשב, בדרך כלל ללא אישור המשתמש. במובן הזה, ה-RootKit לא שונה מווירוס או תולעת וכאלה יש הרבה.

מה שמייחד אותו ונותן לו את שמו, הוא החדירה העמוקה שלו למערכת ההפעלה. ה-RootKit נכנס אל עמקי מערכת ההפעלה ושותל עצמו בנקודות אסטרטגיות.

כל זה נעשה מתוך מטרה אחת ויחידה: להסתיר אותו מכל אמצעי גילוי ואפילו ממערכת ההפעלה עצמה.

הנושא החדש ישן הזה מסתובב כבר די הרבה זמן בתעשיית האבטחה. העיקרון מוכר כבר שנים, יש לו שורשים בעולם ה-UNIX והוא קיים גם בתחומים טכנולוגיים אחרים (בדרך כלל בהקשרים צבאיים). בזמן האחרון הנושא תופס יותר ויותר כותרות וכדאי לדעת עליו, למרות שבדרך כלל אין מה לעשות עם הידע הזה.

רוב הווירוסים והתולעים בוחרים לעצמם שם מטעה או מוכר יחסית. ההנחה היא שמעטים מכירים בעל פה את שמות כל התוכנות וכלי העזר של המשתמש.

משתמש ממוצע מריץ לעיתים נדירות את מנהל המשימות (Task Manager) וגם אם כן - מעטים אלו המסוגלים לעבור על לשונית התהליכים (Processes) ולומר במדויק למה משמש כל תהליך. כתוצאה מכך,

רבים לא ידעו בכלל שהם נגועים בווירוס או תולעת גם אם יראו אותה.

ה-Rootkit מעלים את עצמו מרשימת התהליכים המוצגים ולא רק משם. גם תוכנות אחרות שמטרתן להציג את כל מה שרץ על המחשב, ייכשלו בהצגת העובדה שה-RootKit רץ ובועט במחשב שלכם.

לא Plist ולא Tasklist ולא Process Exlorer. גם אם תפעילו debugger ותנסו להציג את רשימת התהליכים במחשב, מצפה לכם הפתעה - אין תהליך כזה.

ה-Rootkit מתלבש על הקריאה הפנימית, של מערכת ההפעלה עצמה, לביצוע מנייה (enumeration) של התהליכים שלה. הוא עוקב אחר כל התשובות המועברות לשאילתה, ומעביר אותם בדייקנות לשואל. אבל ברגע שמגיע התור שלו, הוא פשוט מדלג על התשובה וממשיך להעביר בנאמנות תוצאות, החל מהבא אחריו ברשימה.

כל וירוס או תולעת פועלים מקובץ שבעזרתו הם מטעינים עצמם לזיכרון. בדרך כלל הם מסתירים אותו באמצעות הכלים הרגילים של מערכת ההפעלה (ביט ההסתרה), או שותלים עצמם במקום שבו יש הרבה קבצים, בהנחה שרוב המשתמשים ממילא לא מכירים את השמות של כל הקבצים החוקיים במערכת ההפעלה ולא ירגישו אם נמצא ביניהם קובץ עם שם שנראה ברור לפחות כמו האחרים.

ה-RootKit מעלים עצמו מרשימת הקבצים. לא רק מה-Explorer, אלא גם מ-dir ומהמון תוכנות אחרות. גם אם נניח שאתם יודעים מה שמו של הקובץ הביצועי של ה-RootKit, וגם אם תחפשו אותו בכל הכלים הקיימים במערכת ההפעלה - לא תצליחו למצוא.

הוא מתלבש על הקריאות הפנימיות של מערכת הקבצים במערכת ההפעלה ומסתיר את קיומו ברשימת הקבצים. כל הכלים שמציגים את רשימת הקבצים, פונים לממשק התקני של מערכת ההפעלה לביצוע מניית קבצים. שם מכניס ה-RootKit את אצבעותיו ומעביר בנאמנות את כל התשובות, עד שזה מגיע לקבצים שלו, אז הוא מדלג על הרשומה וממשיך הלאה. הכלים הרגילים פשוט לא רואים אותו.

אני מכיר את הוויכוח הדתי בין Windows לעולם ה-UNIX. אבל זה לא פוגע רק ב-Windows. חיפוש בגוגל מעלה קרוב ל-850,000 אזכורים של הנושא, מתוכם כ-470,000 עוסקות בלינוקס ו-UNIX, בעוד שב-Windows יש כ-480,000 אזכורים. ניתן להניח שהתופעה משמעותית הרבה יותר בעולם ה-UNIX.

כמו בכל נושא טכנולוגי, הבעיה אינה הטכנולוגיה, אלא מה עושים איתה. למרות שקצת קשה למצוא שימוש מוצדק לקיומו של ה-RootKit ורשימת הדברים הרעים שניתן לעשות איתו גדולה משמעותית מהדברים הטובים, הגורו של הנושא, גרג הוגלנד,

שתחום ההתמחות שלו הוא כנראה הכשרת האקרים מקצועיים - טוען שזה נושא מחקרי מעניין וחשוב להכיר אותו. זו אמנם טענה נכונה. אבל קחו אותה בערבון מוגבל.

באתר המרכזי העוסק ב-Rootkit מגירסאות שונות (ולא מומלץ לגלוש בו ללא הגנה), יש קבוצות דיון ומאמרים על התחום והמון ידע מקצועי.

מי שמשחק כאן את האביר על הסוס הלבן הוא מרק רוזנוביץ, אחד משני כותבי התנ"כ של Windows (ה-Windows Internals). באתר הבית שלו תמצאו כלים שאמורים לגלות אם יש לכם במחשב RootKit. יש לציין שכאדם ישר הוא מציין את כל ההסתייגויות שהייתם מצפים מאיש מקצוע, ואומר שלא בטוח שהתוכנה שלו באמת מגלה את הכל.

למה זה מעניין?

הנה כמה דוגמאות:

דואר זבל הוא כבר מזמן עסק של הפשע המאורגן, והבחור הנחמד שמציע לכם רשימת תפוצה של 20,000 לקוחות נבחרים תמורת 10 דולר למשלוח, אינו שונה בהרבה מסוחר הסמים השכונתי, שמציע אקסטזי במחיר מוזל. זו תעשיה שמגלגלת מיליארדים.

אם תדרשו מספק האינטרנט לחסום את החשבון של המפיץ שמכתובת ה-IP שלו קיבלתם דואר זבל, זה כנראה לא יקרה, אבל בואו נניח כך לרגע. ספק האינטרנט יחקור את העניין ויגלה כנראה שהספאם נשלח ממחשב של לקוח תמים, שהוחדרה לו תוכנת משלוח דואר זבל שמופעלת מרחוק.

הזבלנים היו בין המשתמשים הראשונים שאימצו טכנולוגיות כאלה. מדובר בתעשיה שלמה של פורצי מחשבים בתשלום, הפועלים בשירות הפשע המאורגן ופורצים למחשבים של אזרחים תמימים, שמשמשים כ"זומבים" למשלוח ספאם.

הפשע המאורגן השתלט גם על תעשיית כרטיסי האשראי המזויפים. כמה מכם באמת בודקים את תדפיס כרטיס האשראי ומוודאים שאתם באמת מכירים את כל מי שמופיע שם כמקבל תשלום. כמה מכם נתקלו בחיוב שלא אתם עשיתם? בדומה לתחום דואר הזבל, זו כבר מזמן לא תעשיה חובבנית. המסחר בכרטיסי אשראי מזויפים הוא אחת המכות של תעשיית האשראי.

מה שמבדיל פושע מקצועי מחובבן זה בין השאר השימוש ב-RootKit. הסוס הטרויאני שעלה לאחרונה לכותרות לא השתמש ב-RootKit, מה שמטיל ספק באינטליגנציה של הקורבנות יותר מאשר במקצוענות של המדביקים.

כך תימנעו מהמחלה

אז מה אפשר לעשות כדי להימנע מכל הצרות הללו? הכי טוב לא להידבק מראש. אין סודות, הרשימה מוכרת וידועה אבל אף אחד לא משתמש בה. כשהנזק מתגלה, כולם צועקים על כל מי שרק אפשר, מלבד על עצמם. למי שבכל אופן מוכן להקשיב, הנה כמה צעדים שיעזרו לכם להגן על עצמכם באינטרנט:

1. אל תעבדו עם סמכויות Administrator - אינכם זקוקים לסמכויות אדמיניסטרטור כדי לעבוד עם Word או אאוטלוק. אם תוכנה כלשהי דורשת מכם להיות אדמיניסטרטור כדי לעבוד - ותרו עליה. רוב ה-Rootkit אינם מסוגלים להתקין את עצמם, אם המשתמש אינו אדמיניסטרטור של המחשב.
   
   
2. השתמשו במערכת הפעלה עדכנית ובטוחה - הורידו והתקינו את חבילת העדכונים SP2 ל-Windows XP. היא יותר בטוחה משאר הגירסאות של Windows (ומבלי להיכנס למלחמת הדתות, גם יותר מחלק ממערכות ה-UNIX). הרבה יותר קל להחדיר Rootkit ל-Windows 95 מאשר ל-XP/SP2.
   
   
3. עדכונים אוטומטיים - דאגו שמערכת ההפעלה תתעדכן באופן קבוע ורצוי באופן אוטומטי, עם עדכוני האבטחה האחרונים. מרגע שמתפרסם עדכון אבטחה כל ההאקרים עושים לו Reverse Engineering ומייצרים קוד פריצה המותאם לעדכון. כל רגע של המתנה מגדיל את הסיכוי לפגיעה.
   
   
4. התקינו אנטי וירוס - עדיף מחברה מוכרת, עם שרות עדכון אוטומטי, המתעדכן באופן קבוע. פשע מאורגן מתרחש בזירה למקצוענים. תוכנות של חובבנים יגרמו לתחושת ביטחון מזויפת, וחלק מתוכנות האנטי וירוס כוללות מנגנוני זיהוי ל-RootKit.
   
   
5. הפעילו את הראש, זה כלי הנשק הכי חזק - לא כל תוכנה שמבטיחה גם מקיימת. אל תתקינו שטויות על המחשב, כי בסופו של דבר, הן עלולות לפגוע בכם. בל מצטבר ומתחיל להסריח. אם אינכם מסוגלים להתמודד עם האיומים באינטרנט - אל תתחברו.
   

הכותב מנהל מו"פ בחברת ידאג בע"מ.