29.09.2006 11:33

Internetin uhkia - rootkit-haittaohjelmat ja niiden poisto

Virus- ja vakoiluohjelmien saadessa yhä tehokkaampia torjuntamenetelmiä saavat kutsumattomat vieraat myös yhä kekseliäämpiä ja vaikeammin havaittavia leviämis- ja toimintamuotoja.

Yksi uusimmista ja ajan myötä ehkä merkittävimmistäkin Windows-ympäristöön tiensä löytäneistä toimintamenetelmistä ovat niin kutsutut rootkitit, joihin perehdymme tässä artikkelissa.

Rootkit, mikä se on?

Rootkit on vanha, UNIX-käyttöjärjestelmän valtakaudelta peräisin oleva termi. Rootkittejä käytetään UNIX-järjestelmissä normaalisti nostamaan järjestelmän käyttäjiä sen ylläpitäjän eli ns. rootin statukseen.

Windows-käyttöjärjestelmän rootkitit, ns. ”kernel-hackit” toimivat hieman eri tavalla, pystyen piilottamaan tiedostoja, hakemistoja tai prosesseja. Vaikka ne eivät itsessään olekaan haitallisia, niitä voidaan käyttää haitallisten ohjelmien piilottamiseen esimerkiksi viruksia tai vakoiluohjelmistoja etsiviltä ohjelmilta.

Rootkitin avulla asentunut haittaohjelma pystyy näin ollen pysymään piilossa ja tekemään kiusojaan, vaikka kone olisi muuten suojattu asianmukaisilla tietoturvaohjelmistoilla. Yhdistettynä nykyajan kehittyneisiin viruksiin rootkiteistä voikin niiden yleistyessä muodostua merkittävä tietoturvaongelma.

Rootkitit ovat myös yksi merkittävimmistä UNIX-ympäristöjen tietoturvaongelmista, koska niiden avulla koneita hyväksikäyttävät tunkeutujat pystyvät toimimaan huomaamattomasti.

Rootkit-ongelman laajuus

Rootkitit liittyvät tätä nykyä lähinnä koneesta erilaisia tietoja kerääviin ja eteenpäin lähettävien vakoilu- eli ns. Spyware-ohjelmien toimintaan, mutta ongelma ei suinkaan jää tähän. Suositun Half Life 2 -tietokonepelin julkaisun viivästyminen johtui pitkälti sen lähdekoodin varastamisesta. Tässä teossa apuna oli juuri rootkit-ohjelma.

Vaikka Spyware-ohjelmistot eivät mitään suoranaista uhkaa koneen toiminnalle yleensä aiheutakaan, ovat ne silti kutsumattomia vieraita ja lopulta poikivat esimerkiksi reilun määrän roskapostia. Paljon suuremman uhkan rootkiteistä tekee se, että niitä voidaan käyttää esimerkiksi tietokonevirusten levittämiseen. Tällaisia viruksia onkin jo olemassa, kuten Maslan- ja Berbew/Padodor-tyypin virukset.

Koska perinteiset tietoturvaohjelmistot eivät tätä nykyä rootkit-ongelmaa juurikaan tunnista, on varsin odotettavaa, että menetelmän käyttö yleistyy. Näin ollen koneen suojaaminen kannattaakin aloittaa hyvissä ajoin.

Miten rootkiteiltä suojaudutaan?

Koska rootkitit vaativat pesiytyäkseen ensin pääsyn tartutettavalle koneelle, näiden epäilyttävien vieraiden kertymistä ehkäisevät samat viisaat toimintaohjeet, joilla haitallisia ohjelmistoja ja muita tietoturvariskejä pystytään välttämään.

Sen sijaan Windows-ympäristössä itse rootkittien torjuntaan ei vielä ole kovinkaan paljon työkaluja, mutta dna Internet-asiakkaille räätälöidystä dna Nettiturva-palvelusta vastaava F-Secure on julkistanut betaversion rootkittien etsimiseen erikoistuneesta Blacklight-ohjelmistosta. Ainakin tällä hetkellä ohjelmisto on täysin ilmainen.

Piilotettuja tiedostoja, hakemistoja ja prosesseja etsivä Blacklight on muiden F-Secure-ohjelmien tapaan helppokäyttöinen. Ohjelma toimii suurin piirtein samalla tavalla kuin yleisimmät Spywarea koneelta etsivät ohjelmat: koneen läpiluotaavaan skannaukseen vaaditaan ohjelman lataamisen tasan kolme hiiren klikkausta.

Loppu hyvin, kaikki hyvin?

Pelkkä rootkittien etsintään erikoistunut ohjelmakaan ei tuo autuutta, sillä rootkittien parissa toimivien epärehellisempien tietokoneharrastajien ja virustentorjunta-asiantuntijoiden välinen kilpajuoksu on jo alkanut.

Esimerkiksi ns. Hacker Defender-ohjelmat pyrkivät estämään rootkittejä etsivien ohjelmien toimintaa, ja tällaisia ohjelmia tarjotaan Internetissä vieläpä täysin avoimesti. Tästä johtuen tietoturva-asioista valveutuneen koneenkäyttäjän tulisikin pitää myös rootkit-torjuntaohjelmistonsa ajan tasalla, ainakin niin kauan kunnes niistä tulee olennainen osa isompia tietoturvaratkaisuja.

Tero Lehtiniemi ja Jukka O. Kauppinen