Previous
Next

RootKit nedir?

by Cem Kefeli 15. Haziran 2009 13:12

RootKit nedir?
Çalışan süreçleri, dosyaları veya sistem bilgilerini işletim sisteminden gizlemek suretiyle varlığını gizlice sürdüren bir program veya programlar grubudur. Amacı yayılmak değil bulunduğu sistemde varlığını gizlemektir. Önceleri çok kullanıcılı sistemlerde sıradan kullanıcıların yönetim programlarına ve sistem bilgilerine erişimini RootKitgizlemek için geliştirilmiş ve kullanılmış olmasına rağmen kötü niyetli kullanımına da rastlamak mümkündür.

RootKit olarak bilinen yazılımlar ilk olarak UNIX işletim sistemlerinde ortaya çıkmıştır ve orijinal UNIX işletim sistemi dosyaları ile yer değiştirip normal bir kullanıcıya root erişim hakkı vermeyi hedeflemişlerdir. Zamanla bu yazılımlar Windows ortamına çalışabilir olmuştur. Windows NT tabanlı işletim sistemlerinde çalışabilen ilk RootKit ise 1999 yılında gözlenmiştir. Yine de bu dönemde normal bilgisayar kullanıcısının güvenlik konusunda dikkatini çekememiş, sadece güvenlik uzmanlarının uzaktan izlediği bir yazılım türü olarak kalmıştır. 2005 yılında ise Sony Digital Rights Management (DRM) RootKit’inin tespit edilmesi RootKit konusunun önemini gözler önüne sermiştir. İşte bu noktadan sonra RootKit’ler tüm güvenlik çevrelerince önemli ve tehlikeli bir tehtid olarak tanımlanmıştır. Çünkü Sony DRM rootkit zararsız bir RootKit olsa da tüm RootKit yazılımları kötü niyetli kullanıcılar tarafından zararlı hale getirilebilmektedir yani zararsız RootKitler de potansiyel bir tehlike oluşturmaktadır.

Adından da anlaşılabileceği gibi RootKit iki parçadan oluşmaktadır; Root= Unix sistemlerinde herşeyi yapma yetkisine sahip olan kullanıcı ya da kullanıcı yetkisi, Kit = Bu yetki sahibi olabilmek için kullanılan gerekli araç kutusu şeklinde ifade edilebilir.

Bunu yaparken sistem araçları ile yer değiştirmiş olmaları, tanınmalarını engellemekte ve arkaplanda hiçbir kullanıcının ya da tarayıcının fark edemeyeceği biçimde çalışmalarını sağlamaktadır. Bu özellikleri zararlı yazılımları yazan programcılar (hacker) tarafından çok cazip bulunmakta ve ilk başlarda kötü amaçlarla kullanılmayan bu yazılımlardan yanlış kimselerin elinde çok tehlikeli olabilecekleri için günümüzde kötü niyetli yazılımlar olarak bahsedilmektedir.

RootKit nasıl bulaşır?
Tipine bağlı olmakla birlikte genelde erişim yetkiniz dahilinde sisteminize kurabileceğiniz rootkit'ler bulmanız mümkündür. Bunun dışında güvenilir bir kaynaktan geldiğine inandığınız bir programı haddinden fazla yetki ile çalıştırmak (Ör: root veya root yetkili bir wheel grubu üyesi) zararlı bir rootkit'in sisteme kurulmasına sebep olur. Aynı şekilde çok kullanıcılı bir sistemde kernel vs açıkları kullanılarak sistemde root yetkisi kazanıp rootkit kurulması en yaygın görülen bulaşma şeklidir. Belli php/kernel açıkları için tüm bu süreci otomatikleştiren zararlı rootkitler mevcuttur ve pek çok "sözde hosting" firması bunlardan nasibini almıştır.

RootKit nasıl Tespit edilir?
Belli zamanlarda en temel komutların ve muhtemel rootkit bulaşma noktalarının "hash" değerlerinin saklanarak bunların daha sonra kontrol edilmesi gibi metodlar olmasına rağmen yukarıda belirtilen gibi rootkit bulaşmış bir sistemin vereceği bilginin gerçekliği bulaşan rootkit'in yeteneğine bağlıdır. Yine de sistemi bir CD ile açarak bu kontrolleri yapan programlar olduğu gibi bu "hash" alma ve kontrol etme işlemi CD ile açıldıktan sonra elle de yapılabilir.

RootKit'in zararı nedir?
Bilgisayarınız tamamen dışarıdan kontrol edilebilir hale gelecektir. Tipine bağlı olarak ayrı bir "güvenlik duvarı" bile size koruyamayabilir. (İçeriden dışarıya sanki bir web sitesi açar gibi karşı tarafa bağlanan rootkitler). Aynı bilgisayarda yüklü bir güvenlik duvarı ise muhtemelen rootkitin yeteneği ile ters orantılı olarak sizi koruyabilir.

Kaynaklar: LangTurk (Rootkit Nedir?), Wikipedia (Kök kullanıcı takımı)

Etiketler: , , , , , , , ,
Kategoriler: Teknoloji

Yorum ekle

biuquote
  • Yorum
  • Canlı önizleme
Loading

Hakkımda...

Cem KEFELİ

Electronics and
Telecommunication Eng.
devamı...


Son yapılan yorumlar...

Comment RSS

Yasal bir uyarı...

Disclaimer"Bu web sitesinde görmüş olduğunuz bilgilerin, dokümanların ve diğer materyallerin kullanılmasından doğabilecek hiç bir sorumluluktan site sahibi sorumlu tutulamaz. Web sitesi içerisinde yer alan yazılar, yorumlar, resimler ve diğer tüm içerikler yalnızca sahibinin görüşünü yansıtmakta olup içeriğin sahibi kişilerin çalıştığı kurumları bağlayıcı hiç bir nitelik taşımamaktadır. Yapılan tüm alıntılar mutlaka kaynak gösterilerek verilmeye çalışılmaktadır. Web sitesi içerisinde bulunan ilgili materyaller, ilgili yasal kurumlar tarafından uygun görülmemesi durumda kaldırılacaktır."
General