12.03.2008 18:01

Rootkit-haittaohjelmat ja niiden poistaminen

Virus- ja vakoiluohjelmien saadessa yhä tehokkaampia torjuntamenetelmiä saavat kutsumattomat vieraat myös yhä kekseliäämpiä ja vaikeammin havaittavia leviämis- ja toimintamuotoja.

Yksi uusimmista ja ajan myötä ehkä merkittävimmistäkin Windows-ympäristöön tiensä löytäneistä toimintamenetelmistä ovat niin kutsutut rootkitit, joihin perehdymme tässä artikkelissa.

Rootkit, mikä se on?

Rootkit on vanha, UNIX-käyttöjärjestelmän valtakaudelta peräisin oleva termi. Rootkittejä käytetään UNIX-järjestelmissä normaalisti nostamaan järjestelmän käyttäjiä sen ylläpitäjän eli niin sanotusti rootin statukseen.

Windows-käyttöjärjestelmän rootkitit, niin sanotut ”kernel-hackit” toimivat hieman eri tavalla. Ne pystyvät piilottamaan tiedostoja, hakemistoja tai tietokoneessa taustalla ajettavia prosesseja. Vaikka rootkitit itsessään eivät ole haitallisia, niitä voidaan käyttää haitallisten ohjelmien piilottamiseen esimerkiksi viruksia tai vakoiluohjelmistoja etsiviltä ohjelmilta.

Rootkitin avulla asennettu haittaohjelma pysyy näin ollen piilossa ja tekemään kiusojaan, vaikka kone olisi muuten suojattu asianmukaisilla tietoturvaohjelmistoilla. Yhdistettynä nykyajan kehittyneisiin viruksiin rootkiteistä voikin muodostua merkittävä tietoturvaongelma. Rootkitit saattavat olla myös osa suurempaa haittaohjelmaa, jonka avulla saastunutta tietokonetta voidaan etäohjata.

Rootkit-ongelman laajuus

Rootkitit liittyvät tätä nykyä lähinnä koneesta erilaisia tietoja kerääviin ja eteenpäin lähettävien vakoilu- eli spyware-ohjelmien toimintaan, mutta ongelma ei suinkaan jää tähän. Esimerkiksi suositun Half Life 2 -tietokonepelin julkaisun taannoinen viivästyminen johtui pitkälti sen lähdekoodin varastamisesta. Tässä teossa käytettiin apuvälineenä nimenomaan tekijöiden tietokoneille ujutettua rootkit-ohjelmaa.

Myös esimerkiksi nettipokeri-sivuilta on havaittu rootkit-ohjelmia, jotka ovat tallentaneet pelaajien tietoja laittomasti rikollisiin tarkoituksiin. Käyttäjille on tarjottu ladattavaksi pokerityökaluja, jotka ovatkin sisältäneet rootkit-takaportin, jonka avulla on voitu luoda laittomasti luoda etäyhteys käyttäjän tietokoneeseen. Rootkit-ohjelmaa käytettiin peittämään luvattomien tietostojen siirto uhrin tietokoneeseen, jonka jälkeen työkalun kirjoittaja pääsi käsiksi käyttäjän tietokoneella oleviin online-pokerisivustojen sisäänkirjautumistietoihin. Hakkerin tarkoituksena oli kirjautua tietojen avulla pokerisivustoille pelaamaan itseään vastaan, hävitä pelit tahallaan ja kerätä voitot.

Rootkit-ongelma sai myös poikkeuksellista näkyvyyttä vuonna 2005, kun SonyBMG-levy-yhtiön levyjen osoitettiin asentavan musiikin kuuntelijoiden tietokoneelle tietoturvan vaarantavan kopiosuojauksen. Kopiosuojaus oli toteutettu rootkit-tekniikalla ja se luokiteltiin nopeasti erittäin vaaralliseksi haittaohjelmaksi.

Vaikka Spyware-ohjelmistot eivät aiheutakaan yleensä suoranaista uhkaa koneen toiminnalle, ovat ne silti kutsumattomia vieraita ja lopulta poikivat esimerkiksi reilun määrän roskapostia.

Paljon suuremman uhkan rootkiteistä tekee se, että niitä voidaan käyttää esimerkiksi tietokonevirusten levittämiseen.

Koska perinteiset tietoturvaohjelmistot eivät välttämättä tunnista rootkit-ohjelmia täysin luotettavasti, on rootkit-ongelmaan etsittävä uusia ratkaisuja.

Miten rootkiteiltä suojaudutaan?

Koska rootkitit vaativat pesiytyäkseen ensin pääsyn tartutettavalle koneelle, näiden epäilyttävien vieraiden kertymistä ehkäisevät samat viisaat toimintaohjeet, joilla haitallisia ohjelmistoja ja muita tietoturvariskejä pystytään välttämään.

Sen sijaan Windows-ympäristössä itse rootkittien torjuntaan ei vielä ole kovinkaan paljon työkaluja, mutta Lumo/DNA Internet-asiakkaille räätälöidystä Nettiturva-palvelusta vastaava F-Secure on julkaissut rootkittien etsimiseen erikoistuneen Blacklight-ohjelmiston. Ohjelma on myös mukana F-Securen uusissa tietoturva-ohjelmistoiossa.

Piilotettuja tiedostoja, hakemistoja ja prosesseja etsivä Blacklight on muiden F-Secure-ohjelmien tapaan helppokäyttöinen. Ohjelma toimii suurin piirtein samalla tavalla kuin yleisimmät Spywarea koneelta etsivät ohjelmat: koneen läpiluotaavaan skannaukseen vaaditaan ohjelman lataamisen jälkeen tasan kolme hiiren klikkausta.

Loppu hyvin, kaikki hyvin?

Pelkkä rootkittien etsintään erikoistunut ohjelmakaan ei tuo autuutta, sillä rootkittien parissa toimivien epärehellisempien tietokoneharrastajien ja virustentorjunta-asiantuntijoiden välinen kilpajuoksu on jo alkanut.

Esimerkiksi ns. Hacker Defender-ohjelmat pyrkivät estämään rootkittejä etsivien ohjelmien toimintaa, ja tällaisia ohjelmia tarjotaan Internetissä vieläpä täysin avoimesti. Tästä johtuen tietoturva-asioista valveutuneen koneenkäyttäjän tulisikin pitää myös rootkit-torjuntaohjelmistonsa ajan tasalla, ainakin niin kauan kunnes niistä tulee olennainen osa isompia tietoturvaratkaisuja.

Tero Lehtiniemi ja Jukka O. Kauppinen