- Přehledy IS
- APS (25)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (31)
- CRM (52)
- DMS/ECM - správa dokumentů (19)
- EAM (17)
- Ekonomické systémy (68)
- ERP (75)
- HRM (28)
- ITSM (6)
- MES (33)
- Řízení výroby (36)
- WMS (28)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (41)
- Dodavatelé CRM (38)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (66)
- Informační bezpečnost (48)
- IT řešení pro logistiku (48)
- IT řešení pro stavebnictví (26)
- Řešení pro veřejný a státní sektor (27)
Hlavní partner sekce
Partneři sekce
Tematické sekce
ERP systémy CRM systémy Plánování a řízení výroby AI a Business Intelligence DMS/ECM - Správa dokumentů HRM/HCM - Řízení lidských zdrojů EAM/CMMS - Správa majetku a údržby Účetní a ekonomické systémy ITSM (ITIL) - Řízení IT Cloud a virtualizace IT IT Security Logistika, řízení skladů, WMS IT právo GIS - geografické informační systémy Projektové řízení Trendy ICT E-commerce B2B/B2C CAD/CAM/CAE/PLM/3D tiskBranžové sekce
 | Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | |
| ||
Partneři webu
IT Professional - IT Security I , IT Security
Prakticky všechny prognózy a analýzy v oblasti informační bezpečnosti se vzácně shodují: jedním z největších nebezpečí příštích let se stanou rootkity. (Ostatně, to byl i jeden ze závěrů studie společnosti Gartner, kterou jsme přinesli v čísle 11/2006.) A protože s nepřítelem, kterého známe, se bojuje lépe než s protivníkem neznámým, pojďme se na rootkity podívat detailněji.
Nejste z této definice příliš moudří? Ač je přesná a pravdivá, podstatu fungování rootkitů opravdu nevysvětluje. Zkusme to tedy jinak. Začněme od bezpečnostních nástrojů, jako jsou třeba antivirové programy nebo antispyware. Tyto pracují na základě určitých algoritmů, přičemž pro pochopení rootkitů není podstatné jak, ale kde hledají. Procházejí soubor za souborem, oblast za oblastí, registr za registrem, službu za službou a neúnavně pátrají po škodlivých kódech nebo třeba stopách nějaké nekalé činnosti. Je lhostejno, zdali aplikace pracuje v režimu on-line (tedy kontroluje za běhu vše, s čím je pracováno) nebo „on demand“ (na vyžádání zkontroluje úplně všechno).
Podstatné je, že bezpečnostní či jiná aplikace bezezbytku věří informacím, které jim předává operační systém. Ostatně, co jim také jiného zbývá? Mohou kontrolovat jen soubory, o kterých vědí, že existují. Totéž platí pro oblasti, registry apod. A tím se pomalu dostáváme k principu fungování rootkitu. Ten zásadním způsobem mění chod operačního systému, takže informace od něj předávané nejsou úplné a pravdivé.
Byť je tento popis trochu zjednodušený, jasně ukazuje, jaký je princip činnosti rootkitů. V praxi fungují tak, že kdykoliv (opět zjednodušeně řečeno) na ně přijde třeba při kontrole antivirovým programem řada, jsou jakoby přeskočené, aniž by to dotyčná kontrolní aplikace byla schopna zaregistrovat. Prostě není možné najít/smazat/zkontrolovat soubor, jehož existence není přiznaná – protože sám sebe zapírá. A díky modifikaci na úrovni operačního systému si tento komfort může dovolit…
Rootkity se špatně odhalují. I když podotýkáme, že odhalitelné jsou. Třeba podle svých projevů nebo podle některých změn na počítači. Ale běžnými detekčními nástroji jen velmi obtížně, protože tyto slepě spoléhají na stoprocentní kvalitu informací, které od operačního systému dostávají.
Jde-li o takto nebezpečnou technologii, která vyloženě hraje na ruku hackerům, kyberzločincům, průmyslovým špiónům a dalším živlům, proč ještě svět není rootkity doslova zaplavený? Ono to totiž zase tak jednoduché není. Jistě si dokážete představit, že naprogramovat aplikaci schopnou zásadním způsobem měnit práci jádra operačního systému vyžaduje hluboké znalosti programování, systémů, analytického myšlení atd. Jinak řečeno: rootkit nedokáže naprogramovat a odladit každý, ale je to technologie vyhrazená jen opravdovým špičkám v oboru (nepočítáme nyní tzv. script kiddies, tedy zoufalce, kteří ze „studijních stránek“ na internetu stahují kusy programového kódu, upravují je jen minimálně nebo vůbec a následně pod svým jménem pouštějí do světa).
Podotýkáme, že rootkity existují pro rozmanité operační systémy (Windows, Linux, Mac OS či třeba Solaris). A že první rootkity se objevily už v osmdesátých letech pro Unix. Problém tedy není otázkou některé z platforem, ale otázkou celkové koncepce našich stávajících informačních technologií.
Příkladem mohou být třeba programy pro vzdálenou správu umožňující administrátorovi provádět zásahy bez vědomí uživatele a bez kolize s bezpečnostními programy. V tomto případě jde jednoznačně o kladnou roli. Ale běda ve chvíli, kdy stejný nástroj pro vzdálenou správu začne používat agresor…
Rootkitů se snažil využít i hudební průmysl pro zajištění ochrany svých autorských práv, ale tady se se zlou potázal. Důvodem byla skutečnost, že software byl do počítačů instalovaný bez vědomí uživatele – a tudíž ilegálně. A že kromě zajištění ochrany autorských práv omezoval i legitimní práva uživatele. Bližší podrobnosti viz samostatný rámeček.
Je zajímavé, že služeb rootkitů coby věrných spojenců využívají třeba různé bezpečnostní a ochranné programy! Zjednodušeně řečeno mohou pomocí neodhaleného rootkitu sledovat chod operačního systému, přičemž když dojde k útoku (virus, hacker, …), tak jako první na řadě „na odstřel“ bývá z mnoha důvodů právě bezpečnostní aplikace – útočník ale v tu chvíli netuší, že jí kryje záda další program umně skrytý pomocí rootkitu. Stejně tak třeba jistý antivirový program využívá streamy (proudy) pod souborovým systémem NTFS. Je to speciální datová oblast na pevném disku za každým souborem pod systémem NTFS, do níž jsou zapisovány informace o těchto souborech. Při kontrolách pak může antivirový program snadno vyhledávat změny tím, že porovnává aktuální stav s informací v databázi, která je běžným způsobem neviditelná.
A takto bychom mohli pokračovat. Rootkity zkrátka mohou hrát i kladnou roli.
Tajemství úspěšného boje s rootkity je jednoduché: prostě se na ně dopředu připravíme. Rootkit není žádný neviditelný duch, který by o půlnoci po špičkách vstoupil neslyšen a neviděn do počítače – ale jedná se o určitý program, který přichází ve formě souboru apod. Do systému se přitom dokáže instalovat pouze tehdy, je-li mu to umožněno. V tom se neliší od třeba virů (i když ty jsou automaticky škodlivé, kdežto rootkity nikoliv) – také napadnou počítač jen v případě, že jim to umožníte.
Základem je tak kvalitní antivirová kontrola, nasazení systému detekce a prevence průniku, vypracování a dodržování důsledné bezpečnostní politiky apod. Tedy nic nového pod sluncem. Nicméně rootkity na tyto prvky bezpečnosti kladou výrazně vyšší nároky než běžné škodlivé kódy nebo útoky. Už třeba proto, že když pronikne virus nebo hacker, dá se ještě ledasco zachránit – ale v případě rootkitu může jít o navěky prohraný boj…
Rootkity
Tomáš Přibyl
Prakticky všechny prognózy a analýzy v oblasti informační bezpečnosti se vzácně shodují: jedním z největších nebezpečí příštích let se stanou rootkity. (Ostatně, to byl i jeden ze závěrů studie společnosti Gartner, kterou jsme přinesli v čísle 11/2006.) A protože s nepřítelem, kterého známe, se bojuje lépe než s protivníkem neznámým, pojďme se na rootkity podívat detailněji. Co je to rootkit?
Rootkit je počítačový program (nebo skupina několika programů), který zásadním způsobem mění chod operačního systému a který slouží ke skrývání (sebe sama i dalších aplikací).Nejste z této definice příliš moudří? Ač je přesná a pravdivá, podstatu fungování rootkitů opravdu nevysvětluje. Zkusme to tedy jinak. Začněme od bezpečnostních nástrojů, jako jsou třeba antivirové programy nebo antispyware. Tyto pracují na základě určitých algoritmů, přičemž pro pochopení rootkitů není podstatné jak, ale kde hledají. Procházejí soubor za souborem, oblast za oblastí, registr za registrem, službu za službou a neúnavně pátrají po škodlivých kódech nebo třeba stopách nějaké nekalé činnosti. Je lhostejno, zdali aplikace pracuje v režimu on-line (tedy kontroluje za běhu vše, s čím je pracováno) nebo „on demand“ (na vyžádání zkontroluje úplně všechno).
Podstatné je, že bezpečnostní či jiná aplikace bezezbytku věří informacím, které jim předává operační systém. Ostatně, co jim také jiného zbývá? Mohou kontrolovat jen soubory, o kterých vědí, že existují. Totéž platí pro oblasti, registry apod. A tím se pomalu dostáváme k principu fungování rootkitu. Ten zásadním způsobem mění chod operačního systému, takže informace od něj předávané nejsou úplné a pravdivé.
Byť je tento popis trochu zjednodušený, jasně ukazuje, jaký je princip činnosti rootkitů. V praxi fungují tak, že kdykoliv (opět zjednodušeně řečeno) na ně přijde třeba při kontrole antivirovým programem řada, jsou jakoby přeskočené, aniž by to dotyčná kontrolní aplikace byla schopna zaregistrovat. Prostě není možné najít/smazat/zkontrolovat soubor, jehož existence není přiznaná – protože sám sebe zapírá. A díky modifikaci na úrovni operačního systému si tento komfort může dovolit…
V čem je nebezpečný?
Asi není nutné dlouze rozepisovat, v čem může spočívat nebezpečí rootkitu. Prostě v tom, že cokoliv skryje – a toto může dál existovat na počítači. Ať jsou to viry, sledovací programy, programy pro vzdálenou správu, … Z toho ale zároveň také vyplývá, že samotný rootkit není nebezpečný. Nebezpečné je to, že dokáže téměř neodhalitelně skrýt další aplikace.Rootkity se špatně odhalují. I když podotýkáme, že odhalitelné jsou. Třeba podle svých projevů nebo podle některých změn na počítači. Ale běžnými detekčními nástroji jen velmi obtížně, protože tyto slepě spoléhají na stoprocentní kvalitu informací, které od operačního systému dostávají.
Jde-li o takto nebezpečnou technologii, která vyloženě hraje na ruku hackerům, kyberzločincům, průmyslovým špiónům a dalším živlům, proč ještě svět není rootkity doslova zaplavený? Ono to totiž zase tak jednoduché není. Jistě si dokážete představit, že naprogramovat aplikaci schopnou zásadním způsobem měnit práci jádra operačního systému vyžaduje hluboké znalosti programování, systémů, analytického myšlení atd. Jinak řečeno: rootkit nedokáže naprogramovat a odladit každý, ale je to technologie vyhrazená jen opravdovým špičkám v oboru (nepočítáme nyní tzv. script kiddies, tedy zoufalce, kteří ze „studijních stránek“ na internetu stahují kusy programového kódu, upravují je jen minimálně nebo vůbec a následně pod svým jménem pouštějí do světa).
Podotýkáme, že rootkity existují pro rozmanité operační systémy (Windows, Linux, Mac OS či třeba Solaris). A že první rootkity se objevily už v osmdesátých letech pro Unix. Problém tedy není otázkou některé z platforem, ale otázkou celkové koncepce našich stávajících informačních technologií.
Případ roootkit a Sony BMG
Společnost Sony BMG od března 2005 začala na svá hudební CD instalovat program XCP (eXtended Copy Protection) od britského výrobce First4Internet. Ochrana fungovala tak, že po prvním vložení CD s hudbou do počítače se zobrazily licenční podmínky EULA (End User Licence Agreement), s nimiž musel uživatel souhlasit (jinak se pochopitelně nedostal dál). Do počítače se pak instaloval speciální rootkitový program, který modifikoval operační systém (sledoval a kontroloval jeho určité funkce). Tato modifikace umožňovala vypálení pouze určitého množství záložních kopií (pro osobní potřebu) a blokovala třeba spouštění hudby přes jiné přehrávače než přes přehrávač dodávaný od firmy Sony (což bylo pochopitelně omezení práv uživatelů legálně zakoupené hudby). Vlastní problém přitom nebyl ani tak v instalaci rootkitu, jako ve skutečnosti, že o instalaci uživatel nebyl informován. Přitom rootkit z CD od Sony BMG skrýval veškeré soubory, jejichž název začínal znakovým řetězcem $sys$. Po odhalení v říjnu 2005 následoval velký skandál. Firma Sony BMG musela svá CD s ochranou XCP stáhnout z prodeje a vydala i software pro odinstalaci rootkitů. Jen pro úplnost dodáváme, že CD s problematikou ochranou nebyly v ČR oficiálně distribuovány. Nicméně v našem regionu se objevily některé filmové tituly jiných distributorů, kteří se pokoušeli svá práva prosazovat stejně svérázným způsobem na úkor práv a bezpečnosti legálních uživatelů jako Sony BMG.Rootkit je i užitečný
Jak jsme již uvedli, rootkit sám o sobě není nebezpečný – ba dokonce naopak, může být užitečný. Je to zkrátka dvojsečná technologie, kterou je možné využít ke špatným stejně jako k dobrým úmyslům.Příkladem mohou být třeba programy pro vzdálenou správu umožňující administrátorovi provádět zásahy bez vědomí uživatele a bez kolize s bezpečnostními programy. V tomto případě jde jednoznačně o kladnou roli. Ale běda ve chvíli, kdy stejný nástroj pro vzdálenou správu začne používat agresor…
Rootkitů se snažil využít i hudební průmysl pro zajištění ochrany svých autorských práv, ale tady se se zlou potázal. Důvodem byla skutečnost, že software byl do počítačů instalovaný bez vědomí uživatele – a tudíž ilegálně. A že kromě zajištění ochrany autorských práv omezoval i legitimní práva uživatele. Bližší podrobnosti viz samostatný rámeček.
Je zajímavé, že služeb rootkitů coby věrných spojenců využívají třeba různé bezpečnostní a ochranné programy! Zjednodušeně řečeno mohou pomocí neodhaleného rootkitu sledovat chod operačního systému, přičemž když dojde k útoku (virus, hacker, …), tak jako první na řadě „na odstřel“ bývá z mnoha důvodů právě bezpečnostní aplikace – útočník ale v tu chvíli netuší, že jí kryje záda další program umně skrytý pomocí rootkitu. Stejně tak třeba jistý antivirový program využívá streamy (proudy) pod souborovým systémem NTFS. Je to speciální datová oblast na pevném disku za každým souborem pod systémem NTFS, do níž jsou zapisovány informace o těchto souborech. Při kontrolách pak může antivirový program snadno vyhledávat změny tím, že porovnává aktuální stav s informací v databázi, která je běžným způsobem neviditelná.
A takto bychom mohli pokračovat. Rootkity zkrátka mohou hrát i kladnou roli.
Jak se chránit?
Univerzální recept na ochranu před rootkity neexistuje. Zjednodušeně by se dalo říci, že nejlepší je blokovat administrativně i fyzicky média či soubory, které by se mohly stát zdrojem rootkitů. Což by ale v praxi znamenalo blokovat naprosto vše (viz případ s rootkity na legálně zakoupených hudebních nebo filmových CD).Tajemství úspěšného boje s rootkity je jednoduché: prostě se na ně dopředu připravíme. Rootkit není žádný neviditelný duch, který by o půlnoci po špičkách vstoupil neslyšen a neviděn do počítače – ale jedná se o určitý program, který přichází ve formě souboru apod. Do systému se přitom dokáže instalovat pouze tehdy, je-li mu to umožněno. V tom se neliší od třeba virů (i když ty jsou automaticky škodlivé, kdežto rootkity nikoliv) – také napadnou počítač jen v případě, že jim to umožníte.
Základem je tak kvalitní antivirová kontrola, nasazení systému detekce a prevence průniku, vypracování a dodržování důsledné bezpečnostní politiky apod. Tedy nic nového pod sluncem. Nicméně rootkity na tyto prvky bezpečnosti kladou výrazně vyšší nároky než běžné škodlivé kódy nebo útoky. Už třeba proto, že když pronikne virus nebo hacker, dá se ještě ledasco zachránit – ale v případě rootkitu může jít o navěky prohraný boj…
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.
duben - 2025  | ||||||
| Po | Út | St | Čt | Pá | So | Ne |
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 1 | 2 | 3 | 4 |
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
IT Systems podporuje
Formulář pro přidání akce
Další vybrané akce
| 15.5. | Konference SCADA Security |
| 22.5. | Akce pro automobilové dodavatele "3DEXPERIENCE... |
| 12.6. | Konference ABIA CZ 2025: setkání zákazníků a partnerů... |
| 29.9. | The Massive IoT Conference |
