Desenvolvimento, evolução, formas de inserção, principais ataques entre outras características dos Rootkits são abordados no artigo referenciado. Trabalho acadêmico realizado sob orientação do prof. Marcelo Riedi - Unipar.
Os Rootkits tiveram um avanço considerável em 2001, com a publicação de um artigo pela revista Phack. O mesmo descreve como modificar funções do kernel sem levantamento dos módulos; eles eram alterados na raiz sem a possibilidade de detecção, onde Marcelo (2003) postula que:
Esta ferramenta se tornou o estado da arte, já que não havia como detectá-la mediante os processos já utilizados por programas de segurança, que localizavam e neutralizavam seus antecessores. Uma das medidas que foram tomadas para desenvolver uma maneira de detectar essa ferramenta foi a tentativa de auditar qualquer modificação em arquivos/diretórios do sistema, já que, ao criar os programas de execução do rootkit, o mesmo necessita colocar seus arquivos no sistema. (MARCELO, A. 2003, p. 46).
A partir do ocorrido, auditar o Kernel dos sistemas foi uma solução quase que obrigatória para todos os administradores de sistemas informatizados. Durante esse período, os problemas relacionados à tecnologia e segurança voltada para os Rootkits ainda não haviam sido totalmente controlados, vitimando ainda assim vários sistemas, haja vista que na maior parte dos documentários que discorrem a respeito de qualquer explicação sobre Rootkits, geralmente atribui-se o termo Malware aos mesmos. O termo em citação faz referencias a softwares com intuito de prejudicar e danificar o sistema operacional, embora esse termo relacione-se melhor com Vírus e Trojans.
Para uma melhor compreensão dos Rootkits, uma apresentação adequada sobre o seu funcionamento em diferentes gerações traz grandes contribuições para os profissionais da área de Tecnologia de Informação. Suas principais características foram descritas basicamente em três gerações, conforme discorre Marcelo (2003, pp. 45-50) onde se caracterizavam as diferentes formas de atuação dos Rootkits no Kernel do sistema, com ênfase nesse período ao ambiente LINUX/UNIX.
[1] Comentário enviado por kalib em 14/02/2008 - 12:18h
Parabéns pelo excelente artigo meu caro....
Uma ótima abordagem dinâmica e completa sobre rootkits...
Realmente são uma preocupação constante para nós que administramos redes e servidores...
Principalmente com a enorme quantidade de scriptkids a solta por aí não é mesmo?! dá raiva.. hauhauha
[7] Comentário enviado por juliocm em 16/02/2008 - 19:49h
olá Colega você fala que a máfia Russa foi o núcleo, mas posso lembrar que aqui n oBRASIL existem a maioria! Aki no Brasil estão presentes os desenvolvedores de rootkit e os usuários de rootkit, sabe!
Bem, se alguém quiser posso liberar meu CD completinho pra uso! mas não me responsabilizo do uso incorreto!
[10] Comentário enviado por nicolo em 17/02/2008 - 13:02h
Cara , isso é de arrepiar os cabelos. Os caras entraram nos sites de grandes distros e bancos e reduziram a segurança do Linux (do windows também) a pó.
[11] Comentário enviado por engos em 18/02/2008 - 13:30h
cilmar_oliveira:
Trabalho desenvolvendo uma das primeiras soluções no mundo de firewall para aplicações onde o conceito é justamente ajudar que alguns ataques, como os de sniffers reportados, sejam interceptados e tratados sem possibilitar "vazar" as informações, por isso tenho um conhecimento bem interessante sobre o assunto e segurança em geral e mesmo assim devo confessar que fiquei impressionado pela qualidade de seu trabalho, apesar de ser uma visão bem macro do assunto, você soube exatamente como conduzir o trabalho e fez uma pesquisa muito interessante, parabéns!
Teixeira:
1 - Existem vários bugs relatados diariamente com relação a programas, ou até mesmo com o kernel que podem ser facilmente explorados.
Alem disso existem malware que se utilizam de phishing scan, sql injection, crossover script.... E a lista vai longe, isso tudo sem contar os famosos DoS, fazendo o sistema operacional ser indiferente, bastando apenas saber como explorar cada sistema, o que é bem simples dependendo das informações que você tiver.
2 - Somente se você instalar um novo kernel já modificado... É até mais simples do que parece conseguir fazer isso sem deixar rastro algum, uma vez conectado ao sistema, mas o grande problema são os bugs encontrados no Kernel que permitem acesso total para quem sabe explorar as falhas já relatadas, por isso sempre se deve ter um kernel recente e quando se trata de um ambiente que necessita de um monte de homologações (como banco por exemplo) esse processo é lento e pode ficar exposta essa falha dependendo de como é a segurança como um todo.
Claro que isso é bem mais complicado o que torna o linux um sistema muito mais seguro do que uns sisteminhas que tem a "janela" aberta pra qualquer "ladrão" entrar...
nicolo:
Segurança é algo tão complicado que nem precisa "vir de fora", para você ter uma idéia como isso é complicado, fui comprar passagens da TAM nesse sabado a noite, para aproveitar as promoções noturnas, e quando encontrei os preços que queria fui efuar a compra, mas quando estava no processo acabou o horário de verão e de 24h passou para 23h, com isso o site da TAM simplesmente CAIU MAIS RAPIDO QUE OS AVIÕES DELES!
O pior, o erro não era tratado e dava um monte de informações sobre o sistema deles que com um pouquinho de má fé qualquer programador experiente poderia ter acesso a informações que não deveriam.
Infelizmente a política de desenvolvimento ainda é muito infantil com relação a segurança quando se trata principalmente de aplicações.