1. шкідлива захист
2. ядерна атака
3. фальшиві перспективи
4. * * *

Традиційні віруси, з якими боролися на зорі світової комп'ютеризації, йдуть зі сцени разом зі своїм коханим носієм - 3,5-дюймової дискетою. Широкі канали зв'язку виявилися для них занадто вузькими. Пальму першості перехопили мережеві черв'яки. Саме з ними доводилося боротися антивірусним компаніям в останні роки.

Незважаючи на винахідливість вірусів, на кожен вид хробака знайдений свій дихлофос. Однак сьогодні на сцену виходить новий різновид шкідливих програм, яку не в силах виявити жоден антивірус або брандмауер. Напасти отримала назву руткіти. Це не віруси в звичному сенсі. Вони не розмножуються самі по собі (у всякому разі, поки). Але руткіти відкривають дорогу зарази, яка може стати причиною загибелі операційної системи.

І те, що виявити їх вкрай складно, робить цю нову загрозу вдвічі небезпечнішою. Зрештою, люди теж вмирають не від самого вірусу СНІДу, а від будь-якої іншої сторонньої інфекції, що потрапила в ослаблений організм.

шкідлива захист

Підчепити руткит можна де завгодно. Хоч з музичного CD, хоч на інтернет-аукціоні.

Руткіти (rootkit), як і бекдори (backdoor), - типово хакерський інструментарій. Але якщо останні призначені для прямого силового впливу на захист атакованого комп'ютера (їх можна порівняти з фомкой і ломиком), то у руткітів зовсім інша роль. Вони ховають від стороннього погляду сліди насильства над комп'ютером жертви - файли програм, яких ніхто з доброї волі туди не ставив. Тобто руткіти виступають як «група прикриття», а в самому шкідництві, як правило, участі не беруть.

Здавалося б, і чого в них тоді такого страшного? Ідея зовсім не оригінальна. Всім відомо, що Windows з давніх пір цілком офіційно ховає від очей потенційно небезпечного для неї криворукого користувача, якими за замовчуванням в Microsoft вважаються всі, деякі особливо важливі папки. Та й багато програм, в тому числі і ігри, теж показують далеко не всі, що встановлюють на жорсткий диск. Однак ця скритність прозора - досить у властивостях папки встановити прапорець «Показувати приховані файли», і вам відкриється все. А ось до захованого руткітом так просто не дістатися. Більш того, без спеціальних програм ви навіть не дізнаєтеся, що на вашому комп'ютері щось заховано. І це вже велика проблема, оскільки відкриває широкі можливості для будь-яких зловживань цим незнанням. І, між іншим, мова йде не тільки про хакерів.

Не так давно руткіти стали причиною гучного скандалу навколо мегакорпорація Sony. В один непогожий осінній день Марк Руссинович (незважаючи на прізвище, не російська, а зовсім навіть американець) сидів удома і за звичаєм возився зі своєю новою програмою (в Мережі багато корисного софта за його авторством). Марк стежив за останніми досягненнями хакерської думки, і його програма - RootkitRevealer (доступна для вільного скачування за адресою http://download.sysinternals.com/Files/RootkitRevealer.zip ) - як раз призначалася для пошуку ворожих «засланців» і хитро захованих ними сторонніх файлів.

За Мережі бродять наполегливі чутки, що руткіти існують не тільки під Windows, але під ОС Symbian для смартфонів. Доказів нам виявити не вдалося.

Тестовий запуск перервався зовсім несподіваним чином. Марк виявив на своєму комп'ютері справжнісінький руткит! Його здивуванню не було меж. Він не мав порочних зв'язків в ХХХ-контенті, що не скачував сумнівних файлів - загалом, не був завсідником інтернет-смітників, де чуйні товариші завжди готові безкоштовно поділитися останньою партією смердючих покидьків. Проте RootkitRevealer недвозначно сигналізував про прихований драйвер пристрою, папці і якійсь програмі.

При цьому диспетчер задач не виявив ніяких запущених на комп'ютері підозрілих процесів. Марк віддав перевагу все ж повірити власною програмою і не помилився. Після тривалих пошуків джерело був виявлений. Деякий час тому він придбав на Amazon.Com музичний CD Get Right With the Man із записом пісень братів Van Zant. А щоб покупець не нажився на вмісті цього диска, фірма Sony BMG завбачливо поставила на нього системи захисту від копіювання MediaMax CD-3 і Extended Copy Protection, зроблені за технологією DRM (Digital Rights Management).

Захист дозволяла Марку зробити три копії продукту. Як виявилося, основна частина антикопіювальний механізму була заснована на прихованій установці в систему драйвера додаткового пристрою, а також програми, яка це пристрій використовувала, і папки, куди вкладалися файли. Все це ставало абсолютно невидимим за допомогою руткита.

Заклопотаний Марк кинувся вивчати ліцензійну угоду на диску із захистом DRM і ніде не виявив жодних згадок про можливе втручання в роботу операційної системи. Інформацією про створення прихованих від користувача файлів і папок розробники захисту Sony BMG теж не поділилися. Про цей прикрий недогляд з їх боку Руссинович негайно настукав світової громадськості через свій блог ( www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html ). «Опа, подумаєш, Америку відкрив! - вигукне деякі. - На те вона і система захисту, щоб її шестерінки ховалися в найбільш недоступних місцях ». Вся справа в тому, яким саме способом вони заховані.

ядерна атака

Вставляючи ліцензійний диск в DVD-привід, ніколи не можна бути впевненим, що ви не заносите на комп'ютер руткит.

В кінці 90-х в одному популярному мультсеріалі віртуальні 3D-герої боролися з не менш віртуальними мега-лиходіями безпосередньо всередині операційної системи. Основною метою мультяшних вірусів, троянів і шпигунських програм було якесь незрозуміле ядро. Художники зображували його у вигляді круглого бункера зі спеціальною панеллю керування всіма процесами. Якщо сама система представлялася їм як відкритий величезний місто, по якому ходили дивні мешканці - байти (квадратні, одноокі прямокутники з ніжками і ручками), то ядро ​​ховалося глибоко під землею, в секретній шахті. Всі підступи до неї охоронялися потужними захисними механізмами. За уявленнями авторів серіалу, якщо шкідливі програми доберуться до ядра, то все пропало. Само собою, в мультику цього не сталося. Зате в житті стало реальним фактом.

Довгий час створення програм, які будуть працювати на самому нижньому, самому захищеному рівні операційних систем здавалося неможливим. Занадто багато труднощів. Потрібні спеціальні знання, часто засекречені виробниками як найважливіша частина їх капіталу. Потрібен високий рівень теоретичної підготовки, щоб скористатися цими знаннями. Людей, які могли б написати такі програми, зовсім небагато. Здавалося фантастикою, що хтось із них захоче займатися подібними дурницями. Проте такі знайшлися.

Першим упав Unix. З'явився руткит, який використовує базові властивості, на яких заснована ця система. До речі, сам термін (від англ. Root і kit) говорить про початкової зв'язку з Unix (root - корінь, ядро ​​цієї ОС). «Ядерна» програма в звичайному режимі вміє ховати кінці за рахунок зміни функцій Windows API (на яких заснована робота системи) на зразок FindFirstFile / FindNextFile, що відповідають за показ файлів і папок. Вони просто перестають помічати те, що потрібно заховати, чим би ви не намагалися подивитися вміст логічних дисків. В захищеному ж режимі руткит перехоплює звернення і змінює таблицю системних викликів. Безпечний режим перестав бути безпечним.

Хоч як сумно, але жоден сучасний антивірус не побачить руткит на вашому жорсткому диску. Що й не дивно - руткіти переписують властивості API.

Windows має спеціальну базу даних, в якій зберігає ідентифікаційні номери всіх сервісних служб і покажчиків на функції драйверів різних пристроїв. Зазвичай несанкціоноване втручання в таблицю закінчується крахом системи або її часткової непрацездатністю. Однак руткіти вносять зміни дуже акуратно.

Зовні все залишається як раніше - система працює, програми запускаються без затримки. Але на диску вже створена прихована папка, в якій може опинитися все що завгодно - від вірусу до шпигунської програми. Причому вміст цієї папки нормальному антивірусу так само недоступно, як і самому користувачеві комп'ютера. Адже для своєї роботи він теж використовує Windows API!

Руткіти забезпечують новим вірусам вищі шанси на виживання. Цим вдалим обставиною негайно скористалися вирусописатели. Майже відразу після появи інформації про Рутка, який використовувала для захисту дисків від копіювання компанія Sony BMG, в «Лабораторії Касперського» заявили про появу в Мережі хакерської відмички Backdoor.Win32.Breplibot.b. Поширювалася вона через спам-розсилку. До листа прикріплювалася фальшива фотографія (техніка підміни картинок вірусами описувалася нами раніше). Як тільки користувач пробував подивитися малюнок, запускався шкідливий код. Причому в першу чергу він копіював себе в системний каталог $ SYS $ DRV.EXE. А саме в папці під такою назвою зберігалися частини DRM-захисту фірми Sony. Якщо користувач слухав диски Audio CD Sony, то бекдор опинявся надійно схований від виявлення будь-якими доступними методами.

Ось так відгукнулася головотяпство Sony. До речі, у багатьох професійних програмістів відразу ж виникло кілька цікавих питань. Хакер, котрий використовував руткит, швидше за все сам нічого не розповідав. Він просто скористався інформацією, яку розмістив в Мережі Марк Руссинович. То чи варто було розповідати кожному зустрічному про своє відкриття? З іншого боку, на брудній справі попалася дуже шановна компанія. Хто дасть гарантію, що інші системи захисту дисків від інших виробників не використовують те ж саме? У тому числі і на дисках з комп'ютерними іграми? Ніяких гарантій у нас немає!

фальшиві перспективи

На боротьбу з новою загрозою кинуті кращі сили, але тим не менш прогнози невтішні. Окремі ентузіасти і фахівці великих корпорацій з виробництва софта намагаються знайти протидію. Той же Марк Руссинович, як ми вже говорили, працює над програмою по виявленню руткітів - RootkitRevealer.

Є й багато інших програм - Avenger ( http://swandog46.geekstogo.com/avenger.zip ), Helios ( http://helios.miel-labs.com/downloads/Helios.zip , Утиліта вимагає для установки Net Framework v.2.0.50727), DarkSpy (мережева версія доступна за адресою www.fyyre.net/~cardmagic/download/darkspy105_en.rar ), IceSword ( www.xfocus.net/tools/200509/IceSword_en1.12.rar ). На наш диск ми ці програми не викладаємо з банальної причини - практично всі антивіруси помилково бачать в них троянців. Важать утилитки трохи, так що якщо буде бажання або необхідність, ви завжди зможете їх завантажити з сайтів розробників.

Однак співробітникам Microsoft разом з фахівцями Мічиганського університету навесні цього року вдалося створити принципово новий руткіт, який взагалі не піддається виявленню ніякими стандартними способами. Новий монстр отримав умовну назву SubVirt. Він створює монітор віртуальної машини (Virtual Machine Monitor, VMM) і повністю підгортає під себе всі запущені програми. І вони прекрасно працюють. Але жодна з них не в змозі визначити, що Windows насправді фальшива. Все як в теорії відносності Альберта Ейнштейна - щоб визначити, рухається тіло чи ні, потрібно перебувати зовні, а не всередині.

* * *

Швидше за все, фахівці щось придумають для захисту наших комп'ютерів від руткітів. А поки що доводиться констатувати той факт, що ми, звичайні користувачі, все більше втрачаємо контроль над своїми власними комп'ютерами. Оскільки тепер ніхто не може з упевненістю стверджувати, що на його машині немає схованок з сюрпризами.