Hat ein Angreifer einen Computer erobert, will er sich vor Entdeckung schützen. Rootkits helfen ihm dabei: Sie verbergen Dateien und Prozesse vor den Blicken des Admin und installieren Hintertüren. Die Grundlagen dieser Softwaregattung zu kennen hilft den Admins dabei, Schlupfwinkel auszuleuchten.
Computer und ihre Programme sollen dem Anwender Arbeit abnehmen und beim Lösen von Aufgaben helfen. Allerdings haben sich in den vergangenen zwei Jahrzehnten mehrere Kategorien von Software entwickelt, die das genaue Gegenteil bewirken. Sie spionieren Daten aus, zerstören sie oder missbrauchen den Rechner für ihre eigenen Zwecke, vorbei am Wunsch des Benutzers.
Diese Schadprogramme, auch Malware genannt (aus dem Englischen: malicious = boshaft/arglistig und Software), treten in mehreren Varianten auf. Die üblichen Kategorien nennt Ed Skoudis [1]: Backdoors (Hintertüren), Trojanische Pferde, Rootkits, Spyware, Viren und Würmer. Tabelle 1 erklärt die Unterschiede näher. Oft treten auch Mischformen auf, wenn beispielsweise Rootkits andere Schadsoftware enthalten.
Für viele Cracker gehören Rootkits zu den wichtigsten Werkzeugen und Hilfsmitteln: Sie verschleiern die Anwesenheit des Angreifers auf einem bereits kompromittierten System und geben ihm auch künftig privilegierten Zugriff [3]. Dennoch finden Rootkits zu Unrecht ähnlich wenig Beachtung wie Backdoors oder Trojanische Pferde - nur Spyware, Viren und Würmer sind statistisch genauer erfasst (etwa vom BSI, [2]).
Im zeitlichen Ablauf stehen Installation und Nutzung eines Rootkits weit hinten, auf jeden Fall nach dem Einbruch: Reine Rootkits attackieren den Rechner nicht, sie sorgen nur dafür, dass sich der Cracker bequem einrichten kann. Um dessen Anwesenheit und Aktionen nach dem Einbruch zu verbergen, erfüllt ein Rootkit mehrere Aufgaben. Moderne Varianten erlauben es dem Benutzer, Informationen (Dateien, Verzeichnisse, Prozesse, Netzwerkverbindungen, Benutzerkonten) vor dem Administrator zu verbergen und deren Integrität und Authentizität zu unterwandern (siehe den "Rechts-Rat" in diesem Heft).
Zudem hinterlassen Rootkits oft Hintertüren (Backdoors, Abbildung 1). Durch sie gelangt der Cracker jederzeit wieder unbemerkt in den Rechner - selbst wenn die Sicherheitslücke längst geschlossen ist, durch die er das System erfolgreich geknackt hatte. Ebenfalls wichtig: Die meisten Varianten beseitigen die digitalen Angriffsspuren, die der Einbruch hinterlässt. Manche Rootkits attackieren von hier aus weitere IT-Systeme.
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
