Rootkit nedir? (Kök Kullanıcı Takımları) UNIX işletim sistemlerinde, linux türevlerinde  yönetici anlamına gelen “root” isminden gelen kök kullanıcı takımları, saldırganın bir sistemin kontrolünü ele geçirdikten sonra, bilgisayar sistemine eklenen yazılımlardır. Bunlar, kayıt (log) girdilerini silerek veya saldırganın işlemlerini gizleyerek, saldırının izlerini temizleyen araçlar ve saldırganın sisteme daha sonraki girişlerini kolaylaştıracak arka kapıları düzenleyen araçlardır. UNIX işletim sisteminde bulunan netstat, ps, ls, du, ifconfig ve login gibi komut programlarının orijinalleri yerine geçen ve asıl işlevleri dışında korsana farklı imkânlar sunabilen kök kullanıcı takımındaki programlar, orijinalleri ile aynı sağlama toplamına (checksum) sahip olacak şekilde düzenlendiğinden; bu programların orijinallerinden farklı olduğunu anlamak sadece kriptografik özet karşılaştırması yapabilen “tripwire” ismi verilen bütünlük tarama programları ile mümkün olabilmektedir. ps komutu saldırgana ait kötü amaçlı işlemleri saklamak için; ls komutu gizlenmesi gereken dosya ve dizinleri saklamak için; du komutu saldırgan program ve kök kullanıcı takımları tarafından kullanılan disk alanını saklamak için değiştirilmektedir. Çekirdek seviyesinde kök kullanıcı takımları, işletim sistemine çekirdek (kernel) seviyesinde çengel (hook) attıklarından, fark edilmeleri oldukça güçtür. UNIX ve türevi işletim sistemleri dışında Windows 2000 ve NT sistemleri için de kök kullanıcı takımları İnternet üzerinde rahatlıkla elde edilebilmektedir. Bu tip kötü amaçlı yazılımlarıda anti-spyware ve anti-rootkit programları ile taratarak temizlemek gerekir.

 

< Önceki		Sonraki >