Руткит

Из Википедије, слободне енциклопедије
Прстенови безбедности рачунарског система

Руткит (енгл. rootkit) је софтвер који омогућава привилегован даљински приступ рачунару при томе кријући своје присуство од администратора, делује на оперативни систем, утиче на његову функционалност или друге апликације. Термин рооткит је настао спајањем енглеске речи „рут“ енгл. root (традиционални назив за налог за привилегован приступ јуникс оперативним системима), и енглеске речи „кит“ енгл. kit - „комплет“ (комплет софтверских компоненти које имплементирају алат). Термин „рооткит“ има негативну конотацију јер се углавном везује за малвер, односно „малициозни“ софтвер.

Типично, нападач инсталира руткит на рачунару након задобијања права на основни ниво приступа, било коришћењем познатих слабости оперативног система или откривањем лозинке (путем разбијања енкрипције, или путем социјалног инжењеринга). Када је руткит инсталиран, он омогућава нападачу да се сакрије у току неовлашћеног приступа и одржава привилегован приступ рачунару заобилажењем нормалне аутентификације и механизама ауторизације. На овај начин руткит може да послужи за различите циљеве: да инсталира и покрене апликације које троше рачунарске ресурсе или украде лозинке, и на друге начине, без знања администратора и корисника утиче не систем. Руткит може да нападне и фирмвер, хипервизор система, језгро, односно кернел система или корисничке апликације.

Руткит се тешко може детектовати јер може бити у стању да пресретне и обори софтвер који је намењен да га пронађе. Методе детекције укључују коришћење алтернативних, поверљивих оперативних система; метода заснованих на праћењу понашања система; скенирање потписа; скенирање разлика и анализу стања меморије. Уклањање може бити врло компликовано или практично немогуће, нарочито у случајевима када руткит борави у језгру система. Реинсталација оперативног система, у таквим случајевима, могу бити једино могуће решење проблема.