Rootkit

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Een rootkit is een set softwaretools die wordt gebruikt door een derde partij (meestal een hacker) na toegang te hebben verkregen tot een (computer)systeem. De rootkit nestelt zich diep in het besturingssysteem, zodat het mogelijk is dat het besturingssysteem instabiel wordt. De rootkit is bijna niet te verwijderen zonder de functie van het besturingssysteem te beschadigen.

Grosso modo kunnen rootkits op twee niveaus werken: kernelniveau (Kernel mode) en gebruikersniveau (User mode). Moderne processoren kunnen namelijk programma's in kernelmodus en in gebruikersmodus afhandelen en het onderscheid is wezenlijk: programma's in kernelmodus hebben toegang tot het gehele geheugengebied; toepassingen in gebruikersmodus krijgen specifieke geheugensegmenten toegewezen. Rootkits met kernelstrategieën kunnen dus in het werkgeheugen ongeveer doen wat ze willen. Deze tools hebben de bedoeling om lopende processen, systeemdata of bestanden te lezen, wijzigen of beïnvloeden. Een rootkit helpt de indringer toegang te houden tot het systeem, zonder dat de gebruiker hier iets van merkt.

Rootkits bestaan voor allerlei besturingssystemen, zoals Linux, Solaris, Mac OS en versies van Windows. Rootkits werden bekender in het najaar van 2005, toen ontdekt werd dat platenmaatschappij Sony/BMG rootkits installeerde via haar muziek-cd's, om zo een kopieerbeveiliging te installeren. Eind augustus 2007 kwamen weer rootkits voor in Sony's producten. Deze keer ging het om geheugensticks met beveiliging. Er werd een rootkit gebruikt om zo betere beveiliging te bieden; helaas werd er onvoldoende gekeken naar verdere implicaties bij het toepassen van deze omstreden beveiliging. De beveiliging zou overigens niet door Sony zelf ontwikkeld zijn, maar door het Taiwanese FineArt Technology.

Rootkits zijn zeer moeilijk te detecteren en infecteren het systeem vaak zonder dat de gebruiker dat beseft. Het enige doel van een rootkit is het aanmaken en verbergen van bestanden, netwerkverbindingen, geheugenadressen en registeringangen. Soms wanneer de rootkit verwijderd wordt, blijven de aangebrachte wijzigingen intact en meestal ondetecteerbaar. De enige wijze om er geheel zeker van te zijn dat een rootkit verwijderd is, is dan ook het formatteren en herinstalleren van het hele systeem. De meeste anti-malware-software vanaf eind 2006 is in staat om ook actieve rootkits te detecteren en verwijderen.

De benaming 'rootkit' komt uit het UNIX-milieu: met root wordt de zogenaamde superuser (systeemgebruiker, vergelijkbaar met Administrator bij Windows) van een UNIX-systeem aangeduid. In de jaren 80 slaagden hackers erin UNIX-systemen te infiltreren en een achterdeurtje te installeren dat hen toeliet telkens opnieuw met rootrechten de machine over te nemen.

Externe link[bewerken]