Kök Kullanıcı Takımı (Rootkit)
Ziyaretçi
Kök Kullanıcı Takımı
Rootkit nedir?
Çalışan süreçleri, dosyaları veya sistem bilgilerini işletim sisteminden gizlemek suretiyle varlığını gizlice sürdüren bir program veya programlar grubudur. Amacı yayılmak değil bulunduğu sistemde varlığını gizlemektir. Önceleri çok kullanıcılı sistemlerde sıradan kullanıcıların yönetim programlarına ve sistem bilgilerine erişimini gizlemek için geliştirilmiş ve kullanılmış olmasına rağmen kötü niyetli kullanımına da rastlamak mümkündür.
Rootkit nasıl kurulur/bulaşır?
Tipine bağlı olmakla birlikte genelde erişim yetkiniz dahilinde sisteminize kurabileceğiniz rootkit'ler bulmanız mümkündür. Bunun dışında güvenilir bir kaynaktan geldiğine inandığınız bir programı haddinden fazla yetki ile çalıştırmak (Ör: root veya root yetkili bir wheel grubu üyesi) zararlı bir rootkit'in sisteme kurulmasına sebep olur. Aynı şekilde çok kullanıcılı bir sistemde kernel vs açıkları kullanılarak sistemde root yetkisi kazanıp rootkit kurulması en yaygın görülen bulaşma şeklidir. Belli php/kernel açıkları için tüm bu süreci otomatikleştiren zararlı rootkitler mevcuttur ve pek çok "sözde hosting" firması bunlardan nasibini almıştır (Meraklısı google ile bunları araştırabilir).
Rootkit nasıl temizlenir?
Rootkit çalışırken altında çalıştıracağınız her program rootkit'in yetenekleri doğrultusunda onun verdiği bilgiler ile sistemden aldığı bilgileri ayırd edemez. Dolayısıyla gerçekte hangi dosyaları değiştirdiği, kernele hangi modülü yüklediği, dosya sisteminin neresinde kayıtlı olduğu, hangi ağ servisi üzerinde "sniffer" şeklinde dinleme yaparak uygun komutla harekete geçeceğini tespit etmek kolay değildir. Dolayısıyla rootkit bulaşmış bir sistemin en güzel temizliği içinden hiçbir BINARY dosya alınmadan sadece verilerin alınarak tamamen baştan kurulmasıdırı.
Rootkit nasıl tespit edilir?
Belli zamanlarda en temel komutların ve muhtemel rootkit bulaşma noktalarının "hash" değerlerinin saklanarak bunların daha sonra kontrol edilmesi gibi metodlar olmasına rağmen yukarıda belirttiğim gibi rootkit bulaşmış bir sistemin vereceği bilginin gerçekliği bulaşan rootkit'in yeteneğine bağlıdır. Yine de sistemi bir CD ile açarak bu kontrolleri yapan programlar olduğu gibi bu "hash" alma ve kontrol etme işlemi CD ile açıldıktan sonra elle de yapılabilir.
Rootkit'ten nasıl korunulur?
Linux ve türevleri için konuşursak kullanılan dağıtımın resmi paket dağıtım sistemi dışına çıkmamak pek çok sorunu çözecektir. Bu paket dağıtım sistemlerinin ele geçirilmesi veya zehirlenmesi ihtimali her zaman mevcut olacaktır ancak bir arkadaşınızdan aldığınız veya X internet sitesinden kurduğunuz bir betik/binary dosya ile kıyaslandığında veya ne olduğunu bilmediğiniz bir tar.gz dosyasını (veya uygulanacak bir patch'i) "Nasıl olsa kaynak koddan kuruyorum, virüs bulaşmaz" düşüncesiyle derleyip çalıştırmak sorunlarınıza sorun ekleyebilir. Genel kaide olarak dağıtımın resmi paket depoları ile kullanılacak programın resmi internet sitesinden alacağınız kaynak kodlar sizi bir derece koruyacaktır. Eğer diğer insanların erişimine açık bir sistem kullanıyorsanız güncellemeleri zamanında yapmak ve sık sık kontrol etmek de unutulmaması gereken bir işlemdir.
Rootkit'in zararı nedir
Bilgisayarınız tamamen dışarıdan kontrol edilebilir hale gelecektir. Tipine bağlı olarak ayrı bir "güvenlik duvarı" bile size koruyamayabilir. (İçeriden dışarıya sanki bir web sitesi açar gibi karşı tarafa bağlanan rootkitler). Aynı bilgisayarda yüklü bir güvenlik duvarı ise muhtemelen rootkitin yeteneği ile ters orantılı olarak sizi koruyabilir.
Sponsorlu Bağlantılar
Çalışan süreçleri, dosyaları veya sistem bilgilerini işletim sisteminden gizlemek suretiyle varlığını gizlice sürdüren bir program veya programlar grubudur. Amacı yayılmak değil bulunduğu sistemde varlığını gizlemektir. Önceleri çok kullanıcılı sistemlerde sıradan kullanıcıların yönetim programlarına ve sistem bilgilerine erişimini gizlemek için geliştirilmiş ve kullanılmış olmasına rağmen kötü niyetli kullanımına da rastlamak mümkündür.
Rootkit nasıl kurulur/bulaşır?
Tipine bağlı olmakla birlikte genelde erişim yetkiniz dahilinde sisteminize kurabileceğiniz rootkit'ler bulmanız mümkündür. Bunun dışında güvenilir bir kaynaktan geldiğine inandığınız bir programı haddinden fazla yetki ile çalıştırmak (Ör: root veya root yetkili bir wheel grubu üyesi) zararlı bir rootkit'in sisteme kurulmasına sebep olur. Aynı şekilde çok kullanıcılı bir sistemde kernel vs açıkları kullanılarak sistemde root yetkisi kazanıp rootkit kurulması en yaygın görülen bulaşma şeklidir. Belli php/kernel açıkları için tüm bu süreci otomatikleştiren zararlı rootkitler mevcuttur ve pek çok "sözde hosting" firması bunlardan nasibini almıştır (Meraklısı google ile bunları araştırabilir).
Rootkit nasıl temizlenir?
Rootkit çalışırken altında çalıştıracağınız her program rootkit'in yetenekleri doğrultusunda onun verdiği bilgiler ile sistemden aldığı bilgileri ayırd edemez. Dolayısıyla gerçekte hangi dosyaları değiştirdiği, kernele hangi modülü yüklediği, dosya sisteminin neresinde kayıtlı olduğu, hangi ağ servisi üzerinde "sniffer" şeklinde dinleme yaparak uygun komutla harekete geçeceğini tespit etmek kolay değildir. Dolayısıyla rootkit bulaşmış bir sistemin en güzel temizliği içinden hiçbir BINARY dosya alınmadan sadece verilerin alınarak tamamen baştan kurulmasıdırı.
Rootkit nasıl tespit edilir?
Belli zamanlarda en temel komutların ve muhtemel rootkit bulaşma noktalarının "hash" değerlerinin saklanarak bunların daha sonra kontrol edilmesi gibi metodlar olmasına rağmen yukarıda belirttiğim gibi rootkit bulaşmış bir sistemin vereceği bilginin gerçekliği bulaşan rootkit'in yeteneğine bağlıdır. Yine de sistemi bir CD ile açarak bu kontrolleri yapan programlar olduğu gibi bu "hash" alma ve kontrol etme işlemi CD ile açıldıktan sonra elle de yapılabilir.
Rootkit'ten nasıl korunulur?
Linux ve türevleri için konuşursak kullanılan dağıtımın resmi paket dağıtım sistemi dışına çıkmamak pek çok sorunu çözecektir. Bu paket dağıtım sistemlerinin ele geçirilmesi veya zehirlenmesi ihtimali her zaman mevcut olacaktır ancak bir arkadaşınızdan aldığınız veya X internet sitesinden kurduğunuz bir betik/binary dosya ile kıyaslandığında veya ne olduğunu bilmediğiniz bir tar.gz dosyasını (veya uygulanacak bir patch'i) "Nasıl olsa kaynak koddan kuruyorum, virüs bulaşmaz" düşüncesiyle derleyip çalıştırmak sorunlarınıza sorun ekleyebilir. Genel kaide olarak dağıtımın resmi paket depoları ile kullanılacak programın resmi internet sitesinden alacağınız kaynak kodlar sizi bir derece koruyacaktır. Eğer diğer insanların erişimine açık bir sistem kullanıyorsanız güncellemeleri zamanında yapmak ve sık sık kontrol etmek de unutulmaması gereken bir işlemdir.
Rootkit'in zararı nedir
Bilgisayarınız tamamen dışarıdan kontrol edilebilir hale gelecektir. Tipine bağlı olarak ayrı bir "güvenlik duvarı" bile size koruyamayabilir. (İçeriden dışarıya sanki bir web sitesi açar gibi karşı tarafa bağlanan rootkitler). Aynı bilgisayarda yüklü bir güvenlik duvarı ise muhtemelen rootkitin yeteneği ile ters orantılı olarak sizi koruyabilir.
