ЧТО ТАКОЕ РУТКИТ Чтобы обеспечить себе возможность повторно зайти в систему, которую
вы взломали, вам нужно установить там утилиту скрытого управления
(backdoor). Но если пользователь (администратор системы) заподозрит, что
его компьютер (или сеть) взломан, он немедленно проверит, не установлены
ли такие утилиты, то есть, не продолжает ли злоумышленник использовать
систему. Значит, backdoor должен быть «невидимкой».
В Интернете можно найти множество backdoor-утилит (назову, к примеру,
популярные NetBUS и Back Orifice), но большинство из них не умеют достаточно
хорошо скрывать свое присутствие. К тому же многие разработчики
backdoor'oB стараются добавить в свои программы как можно больше
функций, зачастую непонятно зачем нужных. Ну, например, зачем серьезному
крекеру функция дистанционного открытия лотка CD-ROM? Ради
забавы? Да, можно подшутить над коллегами на работе, но не более того.
Для профессиональной атаки вам нужна профессиональная программа —
программа, которая выполняет только одну функцию и больше не делает
ничего лишнего. Помните, чем проще система, тем она надежнее.
Утилита скрытого управления компьютером должна быть невидима в том
числе для антивирусных средств. Средства, предназначенные для сокрытия
присутствия в системе постороннего кода, называются руткитами
(rootkit).
Термину «rootkit» улсе более десяти лет. Он пришел из мира Unix, где root - это
пользователь с наивысшими полномочиями; kit - это набор инструментов,
таким образом, rootkit - это набор программ, позволяющих крекеру получить
полный контроль над взломанной системой и предотвратить свое
обнаружение.
Каждая программа в составе руткита выполняет свои, четко определенные
функции, в отличие от backdoor-программ, в которых много ненужного.
Важнейшим компонентом любого руткита являются программы, скрывающие
присутствие в системе жертвы постороннего кода (например, кода
какой-либо backdoor-программы), данных (файлов, каталогов, ключей
реестра), процессов и т. п.
Часто программы, обеспечивающие удаленный доступ к компьютеру-жертве
(backdoor) или прослушивание пакетов в сети, также входят в состав
руткита. Обязательно в составе руткита будут средства, «прикрывающие»
весь руткит в целом: файлы и каталоги, которые вы укажете. Обычно функции
руткита не ограничиваются простым сокрытием файлов и процессов:
хороший руткит может скрывать ключи реестра, сетевые соединения,
драйверы устройств, то есть делает все, чтобы администратор системы не
обнаружил его присутствие.
Я не хочу, чтобы у вас сложилось впечатление, что руткит - это плохо,
что руткиты используются только для совершения незаконных действий.
Руткит - это всего лишь технология, которую могут использовать как
«плохие», так и «хорошие». Компоненты руткита по функциональности
не отличаются от благопристойных программ: ssh и telnet, как и backdoor,
служат для удаленного доступа в систему; снифферы (сетевые мониторы)
часто используются сетевыми администраторами и сетевыми программистами
для анализа пакетов, передаваемых по сети. Администраторы могут
использовать их даже для борьбы с крекерами!
Руткиты в собственном смысле некоторые корпорации специально устанавливают
на рабочие станции своей сети, чтобы контролировать своих
сотрудников, а западные правоохранительные органы и спецслужбы - на
компьютеры подозреваемых в преступлениях.
