Rootkit và cách phòng chống

Rootkit và cách phòng chống

Trước đây tôi có bài viết này về một spyware lẩn trong wallpaper có thể thu thập dữ liệu của smartphone gửi về một địa chỉ định trước.

Hôm qua, 7/9/2010, một bài viết khác trên VietnamNet nhắc lại vụ này có đoạn viết:

“Phòng thí nghiệm của hãng bảo mật này (BitDefender) đã tạo ra một rootkit “mẫu” đi kèm với một số ứng dụng “giả danh” các ứng dụng hợp pháp. Kết quả, các mẫu rootkit nhanh chóng chiếm quyền điều hành điện thoại, cho phép hacker điều khiển từ xa ngay cả khi chiếc điện thoại nằm gọn trong tay bạn. Kẻ tấn công có thể truy cập vào cơ sở dữ liệu SQLite của điện thoại, từ đó có thể xem được toàn bộ tin nhắn, ghi nhớ hay địa chỉ liên lạc trên điện thoại bị nhiễm”

Vậy rootkit là cái gì?

Theo Wikipedia, rootkit hoạt động như thế này:

• Đầu tiên, hacker dùng một cách nào đó để thâm nhập máy tính như một user bình thường (qua các lỗ hổng an ninh, qua các phần mềm tải về từ Internet, ….)
• Sau đó, hacker sẽ cài phần mềm rootkit vào máy tính nạn nhân.
• Rootkit này có hai nhiệm vụ: a/che giấu vết tích xâm nhập, không cho admin của máy biết là có kẻ xâm nhập, b/cho phép hacker xâm nhập và hoạt động trong máy với quyền cao hơn quyền user thường, thậm chí với quyền root. Với quyền đó, hacker có thể làm những điều mình muốn: điều khiển máy tính, thu thập dữ liệu, ăn trộm password, mở cổng hậu cho hacker thâm nhập, v.v….

Trong Linux, hiện tôi tìm được hai phần mềm chống rootkit (chắc còn nữa) là chkrookit (check rootkit) và rootkit hunter.

Cài đặt:

Trong Mandriva và Ubuntu, hai phần mềm trên có trong kho phần mềm. Mở menu chính Install & Remove software rồi tìm cài chkrootkit và rkhunter.

Sử dụng:

Mở terminal rồi chạy các lệnh sau bằng quyền root:

rkhunter –update

rkhunter -c

Trong quá trình chạy lệnh thứ hai, thỉnh thoảng chương trình dừng lại yêu cầu Enter để chạy tiếp. Kết quả hiện trên màn hình và ghi vào file /var/log/rkhunter.log (xem bằng quyền root).

Với chkrootkit, chạy lệnh sau:

chkrootkit

hoặc

chkrootkit -x để chạy trong expert mode.

Cũng có thể đặt lịch để các phần mềm trên tự động chạy bằng chương trình cron (hoặc các giao diện của nó).

Ví dụ trong Mandriva, mở Configure Your Desktop → Advanced → Task Scheduler. Với Ubuntu, cần cài gói gnome-schedule.

Và đừng có ham tải về cài những thứ linh tinh trên Internet. Nên theo lời khuyên này trong bài báo nói trên:

“Chắc chắn, mô hình bảo mật của Android tốt hơn thiết kế an ninh trong Windows, nhưng điều đó không có nghĩa là Android là hoàn toàn không thể bị tấn công. Điều này cũng đúng với cả hệ điều hành Linux hay Mac OS X. Ngay cả OpenBSD, hệ điều hành được thiết kế bảo mật tốt nhất cũng vẫn có vấn đề an ninh. Vì vậy, cẩn trọng với các ứng dụng chia sẻ quá dễ dãi, hào phóng trên mạng là một cách để giảm bớt nguy cơ này.”

Search “linux rootkit” sẽ thấy nhiều thông tin hơn về rootkit. Ví dụ xem tài liệu này.