Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Botnet er én sikkerhedstrussel. Rootkits er en anden. Men for nylig er de første begyndt at tage ved lære af de sidste.
Et rootkit er et sæt værktøjer, som en hacker kan placere på en computer, han har brudt ind i. Definitionen af et rootkit er ikke helt klar.
Oprindelig betegnede udtrykket et program, hackeren anvendte til at få administratorrettigheder ("root") på computeren.
Kan skjule hackeren
I dag bruges udtrykket bredere. Et kendetegn ved rootkits er, at de indeholder værktøjer til at skjule hackerens aktivitet.
Det kan for eksempel være ændrede versioner af systemkommandoer. Når brugeren beder om at se kørende processer på systemet, skjuler rootkittet de processer, som det selv har startet.
Forskere fra antivirusfirmaet F-Secure har nu opdaget en sammensmeltning mellem botnet og rootkits. Et botnet er et netværk af pc'er, som en hacker kan fjernstyre via en kontrolkanal i IRC (Internet Relay Chat).
Nogle botnet etableres af orme, der spreder sig gennem velkendte sårbarheder. Det gælder således de mange varianter af Rbot-ormen.
F-Secure har fundet en version af Rbot, der indeholder programkode fra rootkittet FU. Det medfører, at Rbots processer ikke optræder i Windows' Jobliste på en inficeret pc.
Kan anvende rootkit-metoder
Botnet-orme kan også bruge rootkit-metoder til at skjule de netværksforbindelser, de opretter.
Foreløbig er botnettenes anvendelse af rootkit-metoder forholdsvis primitiv.
Rbot anvender således FU, der ikke er et fuldt rootkit. For eksempel skjuler FU ikke sin egen driverfil. Så et sikkerhedsprogram, der leder efter FU, kan finde det uden problemer – selvom selve Rbots processer holdes skjult.
Men i fremtiden forventer jeg, at metoder til at skjule sig vil blive en naturlig del af orme.
Dermed vil det blive endnu vigtigere at forhindre infektioner, før de finder sted. For når først ormen er på ens system, kan den blive meget svær at opdage og slippe af med.
Oprindelig bragt på Computerworld Online den 27. maj 2005
LINKS
F-Secures weblog med omtale af fundet af FU-kode i Rbot (se under 17. maj)
Artikel fra Eweek om emnet