Hackere har det seneste år for alvor fået øjnene op for de såkaldte rootkits, altså ondsindede programmer, der gemmer sig helt inde i kernen af operativsystemet og kan manipulere med de mest grundlæggende funktioner på computeren.
– Der sker en virkelig stor udvikling i øjeblikket, siger Carsten Jørgensen, der står bag siden computerforensics.dk og til daglig arbejder med it-sikkerhed i rådgivningsfirmaet KPMG.
Seksdoblet
En ny rapport fra antivirus-firmaet McAfee viser, at brugen af rootkits er blevet mere udbredt og langt mere avanceret. De første tre måneder af 2006 registrerede firmaet 612 nye rootkit-komponenter, mod blot 60 i første kvartal 2005.
I alt er antallet af rootkit-problemer, som McAfee har registreret, seksdoblet på to år.
Som noget relativt nyt er også kommercielle programmer begyndt at gemme rootkits på computeren, som balladen med Sonys kopisikring viste i efteråret 2005.
Skyder skylden på open source-miljøet
Sonys rootkit skjulte enhver fil eller kommando, der startede med "$sys$", hvilket sikrede, at kopisikringen ikke kunne fjernes af brugeren.
Problemet var bare, at hackere også kunne udnytte dette gemmested til virus, bagdøre og andet ondsindet kode.
De mange diskussioner om rootkits, der fulgte i kølvandet på afsløringen af Sonys metoder, kan være en af grundene til, at udbredelsen er steget kraftigt. McAfee har dog en anden forklaring i selskabets rapport:
– Open source-miljøet bærer sammen med diskussionssider på nettet og blogs en stor del af skylden for den øgede udbredelse og kompleksitet, skriver firmaet.
Et eksempel på en diskussionside er rootkit.com, hvor rootkits klar til brug kan downloades af enhver, sammen med gode råd til at bruge dem.
Røgslør over computeren
Men hvad betyder brugen af rootkits for den almindelige computerbruger?
– Forskellen er, at det før i tiden kun var meget avancerede hackere, der brugte rootkits, mens det nu også bliver brugt af scriptkiddies (laveste niveau i hacker-hierakiet, red.). Så hvis man er så uheldig at blive hacket, skal man være klar over, at man kan have et rootkit liggende, der skjuler alt, hvad der foregår, siger Carsten Jørgensen.
Et rootkit kan lægge et totalt røgslør over computeren, for eksempel ved at skjule programmer og filer fuldstændigt, og få almindelige programmer til at returnere helt forkerte oplysninger.
– Det gør det utroligt svært at finde ud af, om ens computer er inficeret af rootkits. De kan bruges til at få fuldstændig kontrol over computeren, forklarer Carsten Jørgensen.
Piratkopier og børneporno
Således kan en privat server hjemmme i soveværelset blive misbrugt af skumle typer som lagerplads for piratkopier, børneporno og andre ulovligheder – uden at det kan ses nogen steder på computeren.
– Oplysninger om harddiskplads og hvilke programmer, der ligger på maskinen, kan alt sammen manipuleres. Du kan faktisk ikke regne med noget som helst, hvis der er et rootkit på din computer, siger Carsten Jørgensen.
Tjek din computer
Foregår der luskede ting på computeren, skjult af et rootkit, vil det typisk være en mere ustabil computer eller en mistænkelig netværkstrafik, der afslører hackerne.
Det findes også en række gratis programmer, som gør det muligt at scanne en computer for rootkits.
Men da det er selve styresystemet, der er inficeret, skal scanningen ske 'udefra'.
– Man kan undersøge computeren via en anden computer, eller boote fra en cd eller USB-nøgle. Men det bedste er, at tage en nøjagtig kopi af harddisken, og så undersøge den nærmere, forklarer Carsten Jørgensen.
En ordret kopi af harddisken – også kaldet et image – kan også bruges forebyggende.
– Ved at have en kopi liggende, kan man senere hen sammenligne indholdet helt nøjagtigt, hvis man tror, der er blevet installeret et rootkit på computeren, siger Carsten Jørgensen.
Er skaden sket, er det vigtigt ikke at nøjes med at rydde op og slette de ondsindede programmer.
Det er nødvendigt at starte helt forfra med at installere styresystemet fra bunden, understreger Carsten Jørgensen.
Relevante links:
RootkitRevealer – gratis program til at afsløre rootkits
http://www.sysinternals.com/utilities/rootkitrevealer.html
En boot-cd med Linux kan bruges som udgangspunkt for en undersøgelse. Her er det Helix
http://www.e-fense.com/helix/
