Você está na página 1de 6

Rootkit

Fabricio Bizotto, Ricardo Henrique Baldissera, Rodrigo Zuffo Instituto Federal de Educao, Cincia e Tecnologia Catarinense Campus Videira (IFC) - Videira SC Brasil Resumo: O contedo do artigo pertence a rea de Segurana da informao e tem como objetivo principal definir o que so os rootkits, como eles agem, suas principais caractersticas, meios de ocultao, os sistemas operacionais so afetados pelos seus males, tambm demonstrar como se prevenir de rootkits, diminuindo o risco de ataques ao fim demonstramos o uso de uma ferramenta chamada Chkrootkit mostrando os passos necessrios para realizar a varredura utilizado o algoritmo em questo. Abstract: The contents of the article belongs to the area of Information Security and has as main objective to define what rootkits are, how they act, their main characteristics, means of concealment, operating systems are affected by their ailments, also demonstrate how to prevent rootkits, reducing the risk of attacks after is demonstrate the use of a tool called Chkrootkit showing the steps required to perform the scan using the algorithm in question.

1. Introduo
Um dos grandes problemas para os desenvolvedores de sistemas de informaes, atualmente, a garantia ao cliente da segurana das informaes contidas no sistema. Inmeras so as formas e tentativas de invases ou de ataques, com finalidades desde gerar incmodo aos usurios at o roubo de informaes valiosas aos olhos da organizao. Uma das mais temidas tentativas de fraudes a segurana atravs do uso de rootkits. Os rootkits so programas de computador que, uma vez executados nas bases ou sistemas de informaes invadidos, garantam ao invasor ou cracker no deixar nenhum vestgio sobre sua passagem pelo sistema e o que pior, garanta a liberao de portas ou o acesso para posteriores ataques. Em outras palavras, um kit de ferramentas maliciosas que atribuem poder de administrador ao cracker para ir e vir no sistema. Na tentativa de barrar este tipo de ataque, as empresas de software tm investido e estudado em vrias maneiras de proteger os sistemas contra esse tipo de ataque, que geralmente so os piores na questo de deteco do invasor. Essa questo tratada com grande importncia para as empresas em virtude do histrico de ataques sofridos e dos grandes prejuzos proporcionados. Propondo ao leitor o conhecimento e funcionamento destes tipos de ataques, este artigo tambm busca orientar aos leitores sobre algumas formas de deteco e preveno das invases por rootkits.

2. Segurana da Informao
A segurana da informao algo que deve e tem sido cada vez mais discutido nas organizaes. Se por um lado, o rpido avano tecnolgico tem proporcionado bem estar e conforto as pessoas, por outro, fez surgir consigo inmeras formas de por em perigo relacionado s informaes valiosas das corporaes. Fatores fsicos, meios digitais, engenharia social, brechas nos sistemas deixados pelos desenvolvedores, so algumas das vrias formas de por em risco a informao. Os ataques ou invases aos computadores, especificamente, ocorrem das mais diversas formas, podendo muitas vezes passar por despercebido at mesmo por usurios mais avanados. Os ataques podem ocorrer atravs pequenos programas com a inteno de perturbar e causar transtornos aos usurios, bem como podem servir para roubo de informaes e causar outros prejuzos bem maiores para as organizaes. Tendo por base Rosanes (2010), os ataques, em sua maioria, para tornarem-se mais bem-sucedidos, o invasor no apenas consegue ultrapassar as barreiras da segurana da informao, mas conseguir ainda obter os privilgios do usurio administrador permitindo que o mesmo possua todos os recursos do sistema. Do ponto de vista do invasor, outro objetivo e grande alvo alm de invadir, no deixar vestgios e pistas sobre a invaso.

3. RootKits
De maneira geral, os rootkits so programas de computador com intuito malicioso de gerar algum dano ou facilitar os ataques. Uma vez ultrapassada a barreira da segurana, esses programas so instalados para garantir que no seja descoberta a invaso bem como manter a porta aberta para posteriores ataques. So difceis de serem descobertos e geralmente no so localizados por antivrus ou anti-spywares. 3.1 Definio

Rosanes (2010) define rootkit como um conjunto de programas utilizados para impedir a deteco de atividades maliciosas nos sistemas, como a presena de usurios no autorizados. Ainda sugere que este tipo de software malicioso costuma ser utilizado para garantir a continuao dos acessos aps um ataque bem sucedido. De acordo com Paulino (2009), a denominao root significa o usurio que tem poder total sobre a mquina. Ao juntar as palavras root e kit, tem-se um conjunto de softwares ou programas que possam controlar de maneira total o computador. O detalhe mais importante que a principal caracterstica destes softwares a capacidade de fazerem o que quiserem e quando bem entenderem, escondendo-se do sistema operacional.

Oliveira (2008) afirma que esse tipo de software geralmente se aloja no ncleo ou kernel do sistema operacional, passando despercebido pelas barreiras dos antivrus. Uma vez instalado, os rootkits liberam portas de comunicao do sistema operacional, inclusive, podendo alterar alguns comandos do sistema. Podem tambm serem definidos como mecanismos e tcnicas para ocultar a presena de vrus, spywares e cavalos de tria. De acordo com Rosanes (2010), os rootkis podem ter caractersticas distintas, mas geralmente realizam os mesmos processos: Escondem informaes referentes aos processos; Escondem os seus arquivos; Escondem os sockets que fazem a comunicao em rede; Modificam ou restringem o acesso aos arquivos de log; A questo dos alvos, ainda segundo Oliveira (2008), no mais necessitavam ser os mais vulnerveis. Em funo de algumas tcnicas, como uso de algum sniffer o desenvolvedor facilmente conseguiria ter acesso ao kernel do sistema e a partir da implantar o rootkit nos servidor. A partir da o cracker garante seu acesso e capacidade de gerar inmeros problemas e prejuzos atravs do roubo de informaes. 3.2 Como agem os Rootkits

Sendo a principal caracterstica dos rootkits a realizao de vrias tarefas no sistema operacional e no ser descoberto pelos mecanismos de defesa, estes so desenvolvidos visando as especialidades de cada sistema operacional. No Windows, o que infectado so as tarefas e processos responsveis em avisar e realizar a deteco dos programas. Isso faz com que o programa no funcione em funo da falta dos arquivos. Esta uma forma de enganar o sistema operacional, fazendo com que o sistema acredite que os arquivos esto disponveis, mas no esto forando mensagens de erro [Paulino, 2009]. De acordo com Oliveira (2008), no Windows, alm da liberao de portas com o meio externo, os rootkits so capazes de se comunicar com uma base de dados, podendo inclusive executar comandos o que pode acarretar danos enormes aos sistemas. Para o Linux/Unix, o rootkit que infecta substitui o programa de listagem de arquivos. Desta forma, o trojan ficar resguardado e escondido no sistema. Enquanto no for descoberto, ficar mantendo uma passagem aberta para ir e vir no sistema [Paulino, 2009]. Rufino (2002) orienta que o rootkit age instalando um sniffer que coleta as senhas e um softwares que permite o retorno ao servidor, realiza alteraes no ipconfig para ocultar o sniffer e roda um programa que esconde todos os registros de acesso e alteraes do sistema. Outro programa que frequentemente sofre ataques o login, onde so mantidas as funcionalidades, porm o acesso feito para um ou mais usurios estranhos a tabela de usurios do sistema.

3.3

Como se prevenir dos Rootkits

Tim Schurmann e Joe Casad (2008) afirmam que a melhor forma de parar um rootkit no deix-lo entrar. Segundo os autores, para que essa proteo ocorra efetivamente, lembrando que o sistema nunca ser totalmente seguro, preciso realizar diversas tcnicas que impeam o acesso do invasor. Se o sistema operacional e o antivrus instalado estiverem atualizados muitas vezes pode-se identificar o ataque antes que sistema seja acessado pelo invasor, mas depois que o sistema acessado pelo criminoso fica muito difcil de ser detectado. Isso ocorre porque o invasor utiliza-se de diversas tcnicas para no deixar nenhum rastro como por exemplo uma backdoor, ou seja, falhas em softwares ou no sistema operacional que permitem a entrada do invasor. Ainda de acordo com Tim Schurmann e Joe Casad (2008) existem algumas tcnicas a serem utilizadas para eliminar rootkits. Uma tcnica que pode ser utilizada a verificao visual. Para isso preciso desligar a mquina e reiniciar com uma fonte limpa. A partir disso limita-se os arquivos do sistema para somente leitura e compara-se os arquivos suspeitos com os arquivos do sistema limpo. Para identificar os arquivos, podem ser criados checksums que iro verificar a integridade dos arquivos. A partir disso, o programa buscador de rootkits calcula uma assinatura para cada arquivo e se o rootkit tentar mudar o arquivo o checksum ser alterado e no ir coincidir com o calculado anteriormente. Para detectar se o computador foi infectado por rootkits preciso utilizar algum programa construdo para realizar a varredura. Ainda segundo os autores, para o sistema operacional Linux um dos buscadores mais conhecidos o Chkrootkit, que atravs de seu algoritmo escrito na linguagem C por Nelson Murilo e Klaus Steding detecta uma anomalia especfica. Outro buscador de Rootkit o Rootkit Hunter, escrito por Michael Boelen, que realiza a mesma tarefa que o Chkrootkit. Tim e Joe descrevem ainda sobre outro rootkit, o OSSEC, que possui alguns diferenciais em relao aos citados. O OSSEC varre o sistema periodicamente e automaticamente atravs de regras previamente definidas. Utilizando o conceito de cliente e servidor, quando ocorrer algum evento suspeito no cliente, enviada um alerta ao servidor que analisa a mensagem recebida. Estes algoritmos no entanto, apenas ajudam a identificar possveis anomalias. Aps identificar algum tipo de ameaa a nica forma de remoo eficaz a reinstalao completa do sistema, tendo em vista que o software malicioso instala-se muitas vezes no kernel do sistema operacional. Sendo assim, a melhor forma de combater os rootkits a preveno. Manter o sistema operacional atualizado, utilizar firewall bem configurado, manter antivrus atualizado e ter muito cuidado ao executar programas recebidos ou baixados da internet, pois a engenharia social muito utilizada pelos invasores. Chkrootkit na prtica

Para demonstrao, Tim e Joe descrevem os passos necessrios para realizar a varredura utilizado o algoritmo Chkrootkit, que pode ser baixado livremente na internet para linux. Aps baixar o arquivo descompacte e, com permisso de superusurio, compile com o comando #make sense. Depois de compilado execute o comando: #./chkrootkit, de preferencia atravs de uma mdia limpa. O resultado dever coincidir com a imagem abaixo.

Figura 1: Chkrootkit em execuo.

Referncias
Oliveira, C. (2008) Rootkit: uma nova ameaa?, http://www.vivaolinux.com.br/artigo/Rootkit-Uma-nova-ameaca, Setembro.

Paulino, D. (2009) O que um rootkit?, http://blog.danielpaulino.net/2011/02/o-quee-rootkit.html, Setembro. Rosanes, P. (2010) Rootkits, www.gris.dcc.ufrj.br/documentos/artigos/rootkitssurvey/at.../file, Setembro. Schurmann T., Casad J. (2008),Preveno: Fique um passo a frente dos invasores. Pag. 28 a 30, Outubro de 2008. Rufino, N. M. O. (2002), Segurana Nacional: Tcnicas e Ferramentas de Ataque e Defesa de Redes de Computadores, Novatec Editora Ltda 1 Edio.