- Přehledy IS
- APS (20)
- BPM - procesní řízení (22)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (33)
- CRM (51)
- DMS/ECM - správa dokumentů (20)
- EAM (17)
- Ekonomické systémy (68)
- ERP (80)
- HRM (27)
- ITSM (6)
- MES (32)
- Řízení výroby (36)
- WMS (29)
- Dodavatelé IT slueb a řeení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (39)
- Dodavatelé CRM (33)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (71)
- Informační bezpečnost (50)
- IT řeení pro logistiku (45)
- IT řeení pro stavebnictví (26)
- Řeení pro veřejný a státní sektor (27)
Hlavní partner sekce
Partneři sekce
Tematické sekce
ERP systémy CRM systémy Plánování a řízení výroby AI a Business Intelligence DMS/ECM - Správa dokumentů HRM/HCM - Řízení lidských zdrojů EAM/CMMS - Správa majetku a údrby Účetní a ekonomické systémy ITSM (ITIL) - Řízení IT Cloud a virtualizace IT IT Security Logistika, řízení skladů, WMS IT právo GIS - geografické informační systémy Projektové řízení Trendy ICT E-commerce B2B/B2C CAD/CAM/CAE/PLM/3D tiskBranové sekce
 | |
| Přihlaste se k odběru newsletteru SystemNEWS, který kadý týden přináí výběr článků z oblasti podnikové informatiky | |
 | |
Partneři webu
IT Professional - IT Security I , IT Security
Prakticky vechny prognózy a analýzy v oblasti informační bezpečnosti se vzácně shodují: jedním z největích nebezpečí přítích let se stanou rootkity. (Ostatně, to byl i jeden ze závěrů studie společnosti Gartner, kterou jsme přinesli v čísle 11/2006.) A protoe s nepřítelem, kterého známe, se bojuje lépe ne s protivníkem neznámým, pojďme se na rootkity podívat detailněji.
Nejste z této definice příli moudří? Ač je přesná a pravdivá, podstatu fungování rootkitů opravdu nevysvětluje. Zkusme to tedy jinak. Začněme od bezpečnostních nástrojů, jako jsou třeba antivirové programy nebo antispyware. Tyto pracují na základě určitých algoritmů, přičem pro pochopení rootkitů není podstatné jak, ale kde hledají. Procházejí soubor za souborem, oblast za oblastí, registr za registrem, slubu za slubou a neúnavně pátrají po kodlivých kódech nebo třeba stopách nějaké nekalé činnosti. Je lhostejno, zdali aplikace pracuje v reimu on-line (tedy kontroluje za běhu ve, s čím je pracováno) nebo on demand (na vyádání zkontroluje úplně vechno).
Podstatné je, e bezpečnostní či jiná aplikace bezezbytku věří informacím, které jim předává operační systém. Ostatně, co jim také jiného zbývá? Mohou kontrolovat jen soubory, o kterých vědí, e existují. Toté platí pro oblasti, registry apod. A tím se pomalu dostáváme k principu fungování rootkitu. Ten zásadním způsobem mění chod operačního systému, take informace od něj předávané nejsou úplné a pravdivé.
By je tento popis trochu zjednoduený, jasně ukazuje, jaký je princip činnosti rootkitů. V praxi fungují tak, e kdykoliv (opět zjednodueně řečeno) na ně přijde třeba při kontrole antivirovým programem řada, jsou jakoby přeskočené, ani by to dotyčná kontrolní aplikace byla schopna zaregistrovat. Prostě není moné najít/smazat/zkontrolovat soubor, jeho existence není přiznaná protoe sám sebe zapírá. A díky modifikaci na úrovni operačního systému si tento komfort můe dovolit
Rootkity se patně odhalují. I kdy podotýkáme, e odhalitelné jsou. Třeba podle svých projevů nebo podle některých změn na počítači. Ale běnými detekčními nástroji jen velmi obtíně, protoe tyto slepě spoléhají na stoprocentní kvalitu informací, které od operačního systému dostávají.
Jde-li o takto nebezpečnou technologii, která vyloeně hraje na ruku hackerům, kyberzločincům, průmyslovým piónům a dalím ivlům, proč jetě svět není rootkity doslova zaplavený? Ono to toti zase tak jednoduché není. Jistě si dokáete představit, e naprogramovat aplikaci schopnou zásadním způsobem měnit práci jádra operačního systému vyaduje hluboké znalosti programování, systémů, analytického mylení atd. Jinak řečeno: rootkit nedokáe naprogramovat a odladit kadý, ale je to technologie vyhrazená jen opravdovým pičkám v oboru (nepočítáme nyní tzv. script kiddies, tedy zoufalce, kteří ze studijních stránek na internetu stahují kusy programového kódu, upravují je jen minimálně nebo vůbec a následně pod svým jménem poutějí do světa).
Podotýkáme, e rootkity existují pro rozmanité operační systémy (Windows, Linux, Mac OS či třeba Solaris). A e první rootkity se objevily u v osmdesátých letech pro Unix. Problém tedy není otázkou některé z platforem, ale otázkou celkové koncepce naich stávajících informačních technologií.
Příkladem mohou být třeba programy pro vzdálenou správu umoňující administrátorovi provádět zásahy bez vědomí uivatele a bez kolize s bezpečnostními programy. V tomto případě jde jednoznačně o kladnou roli. Ale běda ve chvíli, kdy stejný nástroj pro vzdálenou správu začne pouívat agresor
Rootkitů se snail vyuít i hudební průmysl pro zajitění ochrany svých autorských práv, ale tady se se zlou potázal. Důvodem byla skutečnost, e software byl do počítačů instalovaný bez vědomí uivatele a tudí ilegálně. A e kromě zajitění ochrany autorských práv omezoval i legitimní práva uivatele. Blií podrobnosti viz samostatný rámeček.
Je zajímavé, e slueb rootkitů coby věrných spojenců vyuívají třeba různé bezpečnostní a ochranné programy! Zjednodueně řečeno mohou pomocí neodhaleného rootkitu sledovat chod operačního systému, přičem kdy dojde k útoku (virus, hacker, ), tak jako první na řadě na odstřel bývá z mnoha důvodů právě bezpečnostní aplikace útočník ale v tu chvíli netuí, e jí kryje záda dalí program umně skrytý pomocí rootkitu. Stejně tak třeba jistý antivirový program vyuívá streamy (proudy) pod souborovým systémem NTFS. Je to speciální datová oblast na pevném disku za kadým souborem pod systémem NTFS, do ní jsou zapisovány informace o těchto souborech. Při kontrolách pak můe antivirový program snadno vyhledávat změny tím, e porovnává aktuální stav s informací v databázi, která je běným způsobem neviditelná.
A takto bychom mohli pokračovat. Rootkity zkrátka mohou hrát i kladnou roli.
Tajemství úspěného boje s rootkity je jednoduché: prostě se na ně dopředu připravíme. Rootkit není ádný neviditelný duch, který by o půlnoci po pičkách vstoupil neslyen a neviděn do počítače ale jedná se o určitý program, který přichází ve formě souboru apod. Do systému se přitom dokáe instalovat pouze tehdy, je-li mu to umoněno. V tom se nelií od třeba virů (i kdy ty jsou automaticky kodlivé, kdeto rootkity nikoliv) také napadnou počítač jen v případě, e jim to umoníte.
Základem je tak kvalitní antivirová kontrola, nasazení systému detekce a prevence průniku, vypracování a dodrování důsledné bezpečnostní politiky apod. Tedy nic nového pod sluncem. Nicméně rootkity na tyto prvky bezpečnosti kladou výrazně vyí nároky ne běné kodlivé kódy nebo útoky. U třeba proto, e kdy pronikne virus nebo hacker, dá se jetě ledasco zachránit ale v případě rootkitu můe jít o navěky prohraný boj
Rootkity
Tomá Přibyl
Prakticky vechny prognózy a analýzy v oblasti informační bezpečnosti se vzácně shodují: jedním z největích nebezpečí přítích let se stanou rootkity. (Ostatně, to byl i jeden ze závěrů studie společnosti Gartner, kterou jsme přinesli v čísle 11/2006.) A protoe s nepřítelem, kterého známe, se bojuje lépe ne s protivníkem neznámým, pojďme se na rootkity podívat detailněji. Co je to rootkit?
Rootkit je počítačový program (nebo skupina několika programů), který zásadním způsobem mění chod operačního systému a který slouí ke skrývání (sebe sama i dalích aplikací).Nejste z této definice příli moudří? Ač je přesná a pravdivá, podstatu fungování rootkitů opravdu nevysvětluje. Zkusme to tedy jinak. Začněme od bezpečnostních nástrojů, jako jsou třeba antivirové programy nebo antispyware. Tyto pracují na základě určitých algoritmů, přičem pro pochopení rootkitů není podstatné jak, ale kde hledají. Procházejí soubor za souborem, oblast za oblastí, registr za registrem, slubu za slubou a neúnavně pátrají po kodlivých kódech nebo třeba stopách nějaké nekalé činnosti. Je lhostejno, zdali aplikace pracuje v reimu on-line (tedy kontroluje za běhu ve, s čím je pracováno) nebo on demand (na vyádání zkontroluje úplně vechno).
Podstatné je, e bezpečnostní či jiná aplikace bezezbytku věří informacím, které jim předává operační systém. Ostatně, co jim také jiného zbývá? Mohou kontrolovat jen soubory, o kterých vědí, e existují. Toté platí pro oblasti, registry apod. A tím se pomalu dostáváme k principu fungování rootkitu. Ten zásadním způsobem mění chod operačního systému, take informace od něj předávané nejsou úplné a pravdivé.
By je tento popis trochu zjednoduený, jasně ukazuje, jaký je princip činnosti rootkitů. V praxi fungují tak, e kdykoliv (opět zjednodueně řečeno) na ně přijde třeba při kontrole antivirovým programem řada, jsou jakoby přeskočené, ani by to dotyčná kontrolní aplikace byla schopna zaregistrovat. Prostě není moné najít/smazat/zkontrolovat soubor, jeho existence není přiznaná protoe sám sebe zapírá. A díky modifikaci na úrovni operačního systému si tento komfort můe dovolit
V čem je nebezpečný?
Asi není nutné dlouze rozepisovat, v čem můe spočívat nebezpečí rootkitu. Prostě v tom, e cokoliv skryje a toto můe dál existovat na počítači. A jsou to viry, sledovací programy, programy pro vzdálenou správu, Z toho ale zároveň také vyplývá, e samotný rootkit není nebezpečný. Nebezpečné je to, e dokáe téměř neodhalitelně skrýt dalí aplikace.Rootkity se patně odhalují. I kdy podotýkáme, e odhalitelné jsou. Třeba podle svých projevů nebo podle některých změn na počítači. Ale běnými detekčními nástroji jen velmi obtíně, protoe tyto slepě spoléhají na stoprocentní kvalitu informací, které od operačního systému dostávají.
Jde-li o takto nebezpečnou technologii, která vyloeně hraje na ruku hackerům, kyberzločincům, průmyslovým piónům a dalím ivlům, proč jetě svět není rootkity doslova zaplavený? Ono to toti zase tak jednoduché není. Jistě si dokáete představit, e naprogramovat aplikaci schopnou zásadním způsobem měnit práci jádra operačního systému vyaduje hluboké znalosti programování, systémů, analytického mylení atd. Jinak řečeno: rootkit nedokáe naprogramovat a odladit kadý, ale je to technologie vyhrazená jen opravdovým pičkám v oboru (nepočítáme nyní tzv. script kiddies, tedy zoufalce, kteří ze studijních stránek na internetu stahují kusy programového kódu, upravují je jen minimálně nebo vůbec a následně pod svým jménem poutějí do světa).
Podotýkáme, e rootkity existují pro rozmanité operační systémy (Windows, Linux, Mac OS či třeba Solaris). A e první rootkity se objevily u v osmdesátých letech pro Unix. Problém tedy není otázkou některé z platforem, ale otázkou celkové koncepce naich stávajících informačních technologií.
Případ roootkit a Sony BMG
Společnost Sony BMG od března 2005 začala na svá hudební CD instalovat program XCP (eXtended Copy Protection) od britského výrobce First4Internet. Ochrana fungovala tak, e po prvním vloení CD s hudbou do počítače se zobrazily licenční podmínky EULA (End User Licence Agreement), s nimi musel uivatel souhlasit (jinak se pochopitelně nedostal dál). Do počítače se pak instaloval speciální rootkitový program, který modifikoval operační systém (sledoval a kontroloval jeho určité funkce). Tato modifikace umoňovala vypálení pouze určitého mnoství záloních kopií (pro osobní potřebu) a blokovala třeba spoutění hudby přes jiné přehrávače ne přes přehrávač dodávaný od firmy Sony (co bylo pochopitelně omezení práv uivatelů legálně zakoupené hudby). Vlastní problém přitom nebyl ani tak v instalaci rootkitu, jako ve skutečnosti, e o instalaci uivatel nebyl informován. Přitom rootkit z CD od Sony BMG skrýval vekeré soubory, jejich název začínal znakovým řetězcem $sys$. Po odhalení v říjnu 2005 následoval velký skandál. Firma Sony BMG musela svá CD s ochranou XCP stáhnout z prodeje a vydala i software pro odinstalaci rootkitů. Jen pro úplnost dodáváme, e CD s problematikou ochranou nebyly v ČR oficiálně distribuovány. Nicméně v naem regionu se objevily některé filmové tituly jiných distributorů, kteří se pokoueli svá práva prosazovat stejně svérázným způsobem na úkor práv a bezpečnosti legálních uivatelů jako Sony BMG.Rootkit je i uitečný
Jak jsme ji uvedli, rootkit sám o sobě není nebezpečný ba dokonce naopak, můe být uitečný. Je to zkrátka dvojsečná technologie, kterou je moné vyuít ke patným stejně jako k dobrým úmyslům.Příkladem mohou být třeba programy pro vzdálenou správu umoňující administrátorovi provádět zásahy bez vědomí uivatele a bez kolize s bezpečnostními programy. V tomto případě jde jednoznačně o kladnou roli. Ale běda ve chvíli, kdy stejný nástroj pro vzdálenou správu začne pouívat agresor
Rootkitů se snail vyuít i hudební průmysl pro zajitění ochrany svých autorských práv, ale tady se se zlou potázal. Důvodem byla skutečnost, e software byl do počítačů instalovaný bez vědomí uivatele a tudí ilegálně. A e kromě zajitění ochrany autorských práv omezoval i legitimní práva uivatele. Blií podrobnosti viz samostatný rámeček.
Je zajímavé, e slueb rootkitů coby věrných spojenců vyuívají třeba různé bezpečnostní a ochranné programy! Zjednodueně řečeno mohou pomocí neodhaleného rootkitu sledovat chod operačního systému, přičem kdy dojde k útoku (virus, hacker, ), tak jako první na řadě na odstřel bývá z mnoha důvodů právě bezpečnostní aplikace útočník ale v tu chvíli netuí, e jí kryje záda dalí program umně skrytý pomocí rootkitu. Stejně tak třeba jistý antivirový program vyuívá streamy (proudy) pod souborovým systémem NTFS. Je to speciální datová oblast na pevném disku za kadým souborem pod systémem NTFS, do ní jsou zapisovány informace o těchto souborech. Při kontrolách pak můe antivirový program snadno vyhledávat změny tím, e porovnává aktuální stav s informací v databázi, která je běným způsobem neviditelná.
A takto bychom mohli pokračovat. Rootkity zkrátka mohou hrát i kladnou roli.
Jak se chránit?
Univerzální recept na ochranu před rootkity neexistuje. Zjednodueně by se dalo říci, e nejlepí je blokovat administrativně i fyzicky média či soubory, které by se mohly stát zdrojem rootkitů. Co by ale v praxi znamenalo blokovat naprosto ve (viz případ s rootkity na legálně zakoupených hudebních nebo filmových CD).Tajemství úspěného boje s rootkity je jednoduché: prostě se na ně dopředu připravíme. Rootkit není ádný neviditelný duch, který by o půlnoci po pičkách vstoupil neslyen a neviděn do počítače ale jedná se o určitý program, který přichází ve formě souboru apod. Do systému se přitom dokáe instalovat pouze tehdy, je-li mu to umoněno. V tom se nelií od třeba virů (i kdy ty jsou automaticky kodlivé, kdeto rootkity nikoliv) také napadnou počítač jen v případě, e jim to umoníte.
Základem je tak kvalitní antivirová kontrola, nasazení systému detekce a prevence průniku, vypracování a dodrování důsledné bezpečnostní politiky apod. Tedy nic nového pod sluncem. Nicméně rootkity na tyto prvky bezpečnosti kladou výrazně vyí nároky ne běné kodlivé kódy nebo útoky. U třeba proto, e kdy pronikne virus nebo hacker, dá se jetě ledasco zachránit ale v případě rootkitu můe jít o navěky prohraný boj
Chcete získat časopis IT Systems s tímto a mnoha dalími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z naeho archivu.
