32 220 35 21 biuro@omegasoft.pl
Jak zabezpieczyć plik pdf hasłem?

Jak zabezpieczyć plik pdf hasłem?

Zamierzasz przesłać mailem lub udostępnić w chmurze plik pdf, który zawiera poufne informacje? A może przechowujesz ważne pliki pdf na dysku USB? Aby Twoje dane były bezpieczne, warto zabezpieczyć je hasłem. Możesz to zrobić, korzystając z kilku metod.

Zabezpieczenie plików przez Microsoft Office

Microsoft Office oferuje swoim użytkownikom możliwość tworzenia plików pdf chronionych hasłem. Opcję nadania hasła znajdziesz w kilku wersjach Office, m. in. Microsoft Office 2019, a także w bardzo przydatnym w pracy zdalnej pakiecie subskrypcyjnym Microsoft 365 dla firm lub dla użytkowników domowych (do niedawna Office 365). Darmowy Word Online, a także aplikacja np. na Android nie posiada funkcji dodawania hasła do plików PDF.

Dużą zaletą Microsoft 365 jest to, że możesz skorzystać z ochrony plików pdf za pomocą hasła zarówno na komputerze, jak i na urządzeniu mobilnym. Po nadaniu hasła, możesz wyeksportować dokument jako plik pdf lub od razu udostępnić go online. Aby utworzyć plik chroniony hasłem w Microsoft Word, Excel czy PowerPoint, wykonaj poniższe kroki:

  • otwórz dokument i przejdź do jego edycji;
  • wybierz polecenie “Plik -> Zapisz jako”;
  • w wyświetlonym oknie nadaj nazwę Twojemu dokumentowi oraz zmień format zapisu na “Plik PDF (.pdf)”;
  • wybierz lokalizację, w której chcesz zapisać plik;
  • kliknij “Więcej opcji” i wybierz przycisk “Opcje”;
  • w wyświetlonym oknie zaznacz “Szyfruj dokumenty przy użyciu hasła” i kliknij “Ok”;
  • w kolejnym oknie podaj hasło dostępu do pliku pdf i powtórz je;
  • zapisz plik.

Twój chroniony hasłem dokument pdf jest już gotowy. Po utworzeniu pliku, możesz przejść do wybranej lokalizacji i sprawdzić go. Teraz odczytać i zmodyfikować może go tylko osoba znająca hasło dostępu do pliku.

W podany sposób możesz łatwo i szybko ustawić hasło na plikach pdf w pakiecie Microsoft (Office) 365. W innych wersjach Office proces zabezpieczania pliku może przebiegać nieco inaczej, ale będzie podobny.

Szyfrowanie PDF online

W sieci znajdziesz również inne, proste w użyciu aplikacje online, umożliwiające szyfrowanie plików pdf. Aby zabezpieczyć plik, nie musisz pobierać ani instalować żadnego programu – wystarczy wejść na odpowiednią stronę (np. cleverpdf.com lub konwerter.net) i wybrać plik, dla którego chcesz ustawić hasło. Takie aplikacje pozwalają zwykle także na dodatkowe modyfikacje, np. zablokowanie drukowania, kopiowania i modyfikacji dokumentu.

Wadą tej metody jest to, że Twój ważny dokument, który starasz się dodatkowo zabezpieczyć, podczas operacji tworzenia hasła zostaje zapisany na nieznanym Ci serwerze. Nigdy nie masz pewności, czy niepowołana osoba nie przejmie i nie wykorzysta Twoich danych. Jeżeli chcesz zaszyfrować poufne dane, aplikacja online nie będzie więc najbezpieczniejszym rozwiązaniem.

Bezpłatny program do szyfrowania PDF

Na plik pdf możesz założyć hasło również przy użyciu darmowego programu pobranego z internetu, np. PDFCreator czy PDF OwnerGuard. Szyfrują one różne rodzaje dokumentów i z reguły są proste w użyciu.

Pobierając darmowy program z internetu pamiętaj, aby korzystać tylko ze sprawdzonych i zaufanych źródeł. Warto sobie jednak zdawać sprawę z tego, że wraz z bezpłatnym oprogramowaniem możesz zainstalować szkodnika w postaci np. programu adware (wyświetlającego reklamy) lub spyware (szpiegującego). To, co z nazwy jest darmowe, może więc okazać się drogim i kłopotliwym rozwiązaniem. Zastanów się, czy tego typu programy są właściwym narzędziem do przetwarzania plików zawierających Twoje najbardziej poufne dane.

Możesz też wykorzystać program 7-zip, który służy co prawda do archiwizowania (pakowania) plików i folderów, ale umożliwia także nałożenie hasła na stworzone przy jego pomocy archiwum.

Szyfrowanie Adobe Acrobat

Funkcję ochrony pliku pdf hasłem oferuje również Acrobat DC, czyli płatna wersja czytnika i przeglądarki pdf z rodziny Adobe. Za jego pomocą nie tylko zaszyfrujesz pliki, ale również ustawisz kilka dodatkowych zabezpieczeń np. ograniczenie edycji lub drukowania.

Zanim zdecydujesz się zabezpieczyć Twój poufny plik pdf hasłem, zastanów się, która z powyższych opcji będzie dla Ciebie najwygodniejsza i zapewni Twoim danym pełną ochronę. Pamiętaj także, że jeśli zapomnisz hasła do Twojego dokumentu, utracisz do niego dostęp. Z tego powodu dobrze jest używać ułatwiającego tworzenie, przechowywanie i uzupełnianie silnych haseł menedżera, często oferowanego przez programy antywirusowe, takie jak Kaspersky Total Security, Norton 360, Panda Dome Complete, ESET Smart Security Premium czy Bitdefender Total Security.

Czym jest phishing i jak się przed nim bronić na smartfonie?

Czym jest phishing i jak się przed nim bronić na smartfonie?

Zagrożeń związanych z cyberprzestępczością w dzisiejszym świecie jest bardzo dużo. Tak właściwie na każdym kroku czyha na nas niebezpieczeństwo związane z utratą naszych danych czy pieniędzy. Hakerzy co rusz wymyślają nowe techniki, które usypiają naszą czujność, korzystając z coraz bardziej wymyślnych rozwiązań. To sprawia, że jesteśmy bardziej podatni na atak. Phishing to jedna z najpopularniejszych metod pozyskiwania poufnych danych. Dlatego warto zapoznać się z tematem i wiedzieć jak się przed nim bronić.

Czym tak właściwie jest phishing?

To metoda wyłudzenia danych, która ma za zadanie pozyskać od nas poufne informacje. Najcenniejsze są te związane z bankowością – login i hasło do banku czy numer karty kredytowej – lecz hakerzy chcą pozyskać jak najwięcej informacji o nas, dlatego mogą też dotrzeć do naszej skrzynki pocztowej czy platform social media. Najczęściej cały proceder odbywa się na zasadzie podstępu. Narzędziem hakera jest przede wszystkim e-mail, który wygląda na pierwszy rzut oka jak np. wiadomość z naszego banku czy urzędu. Instytucja prosi nas w nim o zalogowanie się na ich stronę. W praktyce pod linkiem, który został zamieszczony w e-mailu, znajduje się podmieniona strona stworzona przez phishera (która wygląda identycznie jak np. banku). Logując się na tę fałszywą stronę, automatycznie wszystkie dane logowania otrzymuje haker. Zasada działania jest naprawdę prosta, a przy tym bardzo skuteczna.

Skąd się wziął phishing?

Teorii związanych z powstaniem pojęcia phishingu jest kilka. Ta najpopularniejsza głosi, że niejaki Brian Phish już w latach osiemdziesiątych ubiegłego wieku, jako pierwszy stosował specjalne techniki socjo-psychologiczne, które miały na celu kradzież danych kart kredytowych. Najpewniej od jego nazwiska powstało pojęcie phishing. Kolejne teorie wskazują, że Brian Phish był postacią fikcyjną, która została stworzona przez phisherów, tak by się wzajemnie rozpoznawać. Termin phishingu tłumaczony jest także jako password harvesting fishing, co w wolnym tłumaczeniu z języka angielskiego oznacza łowienie haseł. Takie rozwinięcie świetnie oddaje podstawę funkcjonowania tego rodzaju oszustwa. Phisher zarzuca sieć do oceanu naszych danych. Od lat osiemdziesiątych, ten rodzaj kradzieży danych mocno urósł w siłę i co roku powoduje straty dla użytkowników na wiele miliardów dolarów. Dlatego też tak ważna jest świadomość zagrożenia i Twoja wiedza na ten temat.

Metod phishingu jest co najmniej kilkanaście i cały czas pojawiają się nowe rozwiązania. Wśród nich możemy wyróżnić między innymi:

  • spear phishing – w tym wypadku, atak jest bardzo dobrze spersonalizowany pod konkretną osobę. Ofiara jest przez dłuższy czas obserwowana, tak by dowiedzieć się o niej jak najwięcej, później następuje próba kradzieży danych. Jednym z najgłośniejszych wyłudzeń informacji poufnych, właśnie tą metodą był wyciek informacji związanych z Hilary Clinton podczas amerykańskich wyborów prezydenckich w 2016 roku;
  • clone phishing – to zdecydowanie prostsza i bardziej „masowa” metoda. Polega na przesyłaniu zainfekowanych e-maili, które wyglądają identycznie, jak te od banku czy platform social media, takich jak Facebook czy Instagram;
  • whaling – skierowany jest szczególnie do kierownictwa wyższego szczebla w firmach. Najczęściej jest to e-mail, który wygląda jak pismo z kancelarii prawniczej czy urzędu państwowego. Po jego otwarciu komputer ofiary jest zainfekowany i haker ma dostęp do wszystkich poufnych danych.

Metod związanych z phishingiem jest znacznie więcej, powyższe to te najbardziej podstawowe. Więcej szczegółowych informacji, związanych między innymi z rodzajami phishingu, możesz znaleźć w innym artykule, który znajdziesz tutaj.

Jak zabezpieczyć się przed phishingiem na smartfonie z Androidem?

Pierwsza podstawowa zasada, która dotyczy korzystania zarówno komputera, jak i urządzeń mobilnych, takich jak smartfon, tablet czy smartwatch, to: „włącz myślenie”. Niestety, nawet najlepszy program komputerowy czy usługa nie zabezpieczą Cię w pełni przed atakiem phishinigowym, jeśli będziesz podejmował ryzykowne zachowania. Dlatego tak ważne jest to, aby cały czas być czujnym i nie wchodzić we wszystkie załączniki w e-mailach. Podobnie phishing wygląda w przypadku smartfonów czy tabletów. Więc jeśli np. nie znasz dobrze nadawcy e-maila lub widzisz literówkę w adresie strony www, powinno to zwrócić Twoją uwagę, że coś może być na rzeczy. Jednak prócz standardowych metod ataków phishingowych, w przypadku urządzeń mobilnych używane są również specjalnie dedykowane smartfonom czy tabletom. Dlatego warto znać kilka podstawowych zasad, które uchronią Cię przed utratą danych na smartfonie z Androidem.

Pobieraj aplikacje tylko z oficjalnych sklepów – Google Play, Galaxy Store czy Huawei App Gallery

Korzystając na co dzień ze smartfona z Androidem na pokładzie, należy pobierać programy tylko i wyłącznie z oficjalnych sklepów. Zdecydowanie najpopularniejszym jest Google Play, ale na telefonach czy tabletach Samsunga można także znaleźć Galaxy Store, a na Huawei – App Gallery. Ważne jest, by nie pobierać aplikacji z innych źródeł, bowiem taki program może zawierać szkodliwy kod, który zainfekuje nasz telefon.

Sprawdzaj uprawnienia aplikacji

Zawsze przed instalacją nowej aplikacji z Google Play czy innego oficjalnego sklepu, otrzymujemy zapytanie czy zgadzamy się na to, by nadać właśnie instalowanemu programowi dostęp do poszczególnych części smartfona. Każde podejrzane uprawnienie, które wydaje Ci się ponad to, co jest potrzebne do działania programu powinno sugerować, że aplikacja może być zainfekowana. Dla przykładu: jeśli instalujesz program wspierający pracę aparatu, zupełnie niepotrzebne są uprawienia związane z dostępem do kontaktów czy wiadomości SMS. Wówczas powinna Ci się zapalić czerwona lampka i takiej aplikacji najlepiej nie instalować.

Nie otwieraj każdego e-maila i załączników

Zarówno na smartfonie, jak i na komputerze, jeśli nie wiesz od kogo przychodzi e-mail, nie otwieraj go. Szczególnie, gdy dodatkowo w temacie jest podejrzana treść lub adres, z którego przyszedł, jest nietypowy. Coraz częściej zdarzają się jednak podobne ataki wykorzystujące marki znanych firm, gdzie na adres e-mail wysyłana jest wiadomość np. o niezapłaconej fakturze. Szczególnie takich e-maili trzeba się wystrzegać, albo przed otwarciem weryfikować u źródła, czy faktycznie miał do nas dotrzeć. Podobnie wygląda sprawa z załącznikami, tych bez weryfikacji najlepiej nie pobierać.

Sprawdzaj, czy połączenie jest bezpieczne

Surfując w internecie należy zachować ostrożność, szczególnie gdy logujemy się do banku czy e-maila. Warto zawsze sprawdzić czy połączenie jest szyfrowane i na jaką firmę wystawiony jest certyfikat. Wystarczy kliknąć w ikonę kłódeczki przy pasku przeglądarki internetowej. Wówczas otrzymamy informację zwrotną.

Aktualizuj na bieżąco aplikacje i system

Co prawda ta porada nie dotyczy bezpośrednio zabezpieczenia przed phishingiem, ale z całą pewnością warto się do niej stosować z kilku powodów. Dzięki nowym aktualizacjom aplikacji czy systemu mamy zawsze najnowsze zabezpieczenia. Programiści nieustannie pracują, aby program lub system był wolny od błędów i wszelkiego rodzaju tylnych furtek, dzięki którym haker mógłby potencjalnie przejąć kontrolę nad telefonem czy wykraść poufne dane. Warto również wiedzieć, że amerykański gigant z Mountain View – Google – co miesiąc przygotowuje nową paczkę bezpieczeństwa, którą bezzwłocznie należy instalować, gdy tylko pojawi się odpowiednie powiadomienie na telefonie. Mamy wówczas pewność, że system jest w najświeższej wersji.

Zainstaluj program antywirusowy

Do tego, że na naszych komputerach instalujemy program antywirusowy oraz firewalla, jesteśmy już od dłuższego czasu przyzwyczajeni. Stało się to swego rodzaju standardem. Warto również podobne standardy przenieść na własne smartfony, działające pod kontrolą systemu sygnowanego zielonym robocikiem. W sklepie Google Play można znaleźć co najmniej kilkadziesiąt pozycji związanych z antywirusami. Podstawowe funkcje najczęściej oferują za darmo, te bardziej zaawansowane  występują w wersjach płatnych. Twórcy takiego oprogramowania dodatkowo dorzucają w nich różnego rodzaju funkcjonalności związane z zabezpieczeniem np. przed kradzieżą. Możemy z nich korzystać bądź nie, ale te najbardziej popularne antywirusy oferują całkiem pokaźna liczbę możliwości, zwiększających zakres ochrony. Który antywirus na smartfon jest najlepszy? Trudno jednoznacznie wskazać jednego faworyta, ale możemy polecić między innymi Kasperskiego, Bitdefendera czy Nortona.

Warto też zwrócić uwagę, że w przypadku swojego systemu Google od wielu lat stara się uszczelniać na tyle ekosystem Androida, by ten był jak najbardziej bezpieczny dla użytkowników, a właściciel telefonu nie musiał się co chwilę przejmować atakami hakerskimi czy wyłudzeniem danych. Dlatego też, powstało Google Play Protect. To tak właściwie szereg usług i funkcjonalności związanych z mobilnym systemem, które zapewniają odpowiednie zabezpieczenie. Pierwszą funkcjonalność, związaną z Google Play Protect można poznać przy okazji korzystania z oficjalnego sklepu Google Play. Przed pobraniem nowej aplikacji ze sklepu, Play Protect skanuje program w poszukiwaniu wirusów czy zainfekowanego kodu. Dzięki czemu mamy dodatkowe zabezpieczenie przed instalacją aplikacji o szemranej reputacji. Ciekawym rozwiązaniem, które zostało zaimplementowane właśnie wraz z tą usługą jest ochrona przed spamowymi rozmowami telefonicznymi, po której odebraniu mogą nam się naliczać dodatkowe bardzo wysokie opłaty.  Kolejnym rozwiązaniem kryjącym się pod Google Play Protect, jest możliwość zdalnego odszukania telefonu czy wysłania na niego odpowiedniego komunikatu, tak by znalazca mógł się z Tobą skontaktować. Google w przypadku Androida dba o swoich użytkowników i dzięki zachowaniu odpowiednich zasad możemy w dużym stopniu ograniczyć wszelkiego rodzaju próby wyłudzenia danych. Połączenie jego możliwości ze sprawdzonym oprogramowaniem antywirusowym i ostrożnością użytkowników zapewnia najwyższy poziom bezpieczeństwa podczas korzystania z internetu na smartfonach czy tabletach.

Dzisiaj, niemal każdy spotyka się na co dzień z różnymi rodzajami phishingu. Przy zachowaniu odpowiednich zasad i ograniczonego zaufania niemal w 100% możemy się zabezpieczyć przed utratą danych czy pieniędzy z konta. Wiele nie trzeba, by być znacznie bezpieczniejszym podczas korzystania z internetu na urządzeniach mobilnych.

Bitdefender Mobile Security – recenzja antywirusa

Bitdefender Mobile Security – recenzja antywirusa

Przeznaczonych na urządzenia mobilne programów antywirusowych ci u nas dostatek. Na rynku można znaleźć całą masę różnych rozwiązań zabezpieczających, zarówno na system sygnowany zielonym robocikiem, jak i ten od amerykańskiego giganta z Cupertino. Co ważne, większość z nich można przetestować za darmo, pobierając w sklepie Google Play i Apple Store, co może ułatwić podjęcie decyzji o wykupieniu odpowiedniej licencji na dłuższy okres.

Dziś mam dla Was recenzję najnowszej wersji znanego na całym świecie antywirusa w wersji mobile. Mowa w tym wypadku oczywiście o Bitdefender Mobile Security, czyli jednym z najpopularniejszych mobilnych antywirusów. Liczby mówią same za siebie – twórcy chwalą się, że aktualnie z ich aplikacji korzysta ponad 500 milionów użytkowników. Przez ostatni czas miałem okazję przyjrzeć się bliżej wersji płatnej tej aplikacji i powiem na wstępie: jest zdecydowanie lepiej niż się spodziewałem.

Bitdefender – co to za firma?

Wśród użytkowników, którzy w temacie szeroko rozumianego bezpieczeństwa w internecie „siedzą” znacznie dłużej, marka ta nie jest żadną nowością. Jednak dla mniej wtajemniczonych może być bardziej zagadkowa. W Polsce nie jest może tak popularna jak konkurencyjny Kaspersky czy Norton, jednak na świecie z ich oprogramowania korzystają setki milionów użytkowników. Firma powstała blisko dwadzieścia lat temu, dokładnie w 2001 roku, założył ją Florian Talpes. Na przestrzeni tych niemal 20 lat firma, jak i marka Bitdefender, mocno się rozrosły. Antywirus w wersji na Windowsa jako jeden z pierwszych trzech otrzymał certyfikat ICSA, a jako pierwszy dostał nagrodę European Commission and Academy. Tak na dobrą sprawę oprogramowanie otrzymuje co rusz nowe wyróżnienie od kolejnych największych serwisów związanych z technologiami, takimi jak AV-Test, CheckMark czy PC World. Wspominam o tym dlatego, że przy wyborze nowego antywirusa warto sprawdzić na ile firma, która tworzy dane oprogramowanie jest wiarygodna, doświadczona i czy można jej zaufać. W przypadku Bitdefendera nie ma takich problemów. Ponad 500 milionów użytkowników i blisko 20 lat na rynku technologicznych wskazuje na jedno – antywirus ten z całą pewnością będzie dobrym rozwiązaniem dla Twojego bezpieczeństwa.

Instalacja oraz konfiguracja

Po pierwsze i najważniejsze – antywirusy pobieramy wyłącznie z oficjalnych źródeł dystrybucji. W przypadku Bitdefender Mobile Security mamy dwie opcje, w zależności od systemu operacyjnego, na którym działa nasz telefon/tablet: sklep Google Play, jeśli mamy urządzenie działające pod kontrolą Androida lub Apple App Store w przypadku sprzętu działającego na iOS, czyli iPhone’a/iPada. Co ważne dla tych, którzy mają starsze urządzenia, wymogiem dla systemu sygnowanego zielonym robocikiem jest wersja 4.1 i nowsza, natomiast w przypadku iOS musimy mieć wersję systemu operacyjnego 11.2 lub wyższą. Zarówno w przypadku jednej, jak i drugiej opcji rzadko zdarza się, że telefony działają na starszych wersjach oprogramowania. Android w wersji 4.1 i iOS 11.2 królowały dobrych kilka lat temu, więc ze spełnieniem powyższych wymogów raczej nie powinno być większego problemu.

Miałem okazję testować wersję przygotowaną z myślą o Androidzie, ale różnice w stosunku do tej z iOS są tylko kosmetyczne. Ograniczają się właściwie do rozmieszczenia poszczególnych elementów interfejsu. Instalacja oprogramowania jest bardzo prosta. Ze sklepu wybieramy odpowiednią aplikację, a następnie rozpoczyna się automatycznie proces instalacji. Przy pierwszym uruchomieniu Bitdefender Mobile Security for Android jesteśmy pytani o kilka rzeczy. Możemy wówczas utworzyć konto, dzięki któremu mamy zapisaną wstępną konfigurację. Ważne jest, żeby nadać odpowiednie uprawnienia administracyjne aplikacji, bowiem bez nich antywirus będzie praktycznie bezużyteczny. W związku z tym, że antywirus dosyć szeroko działa na naszym telefonie, ilość takich zgód może być całkiem spora.

Interfejs Bitdefender Mobile Security dla Android

O samym interfejsie nie będę się zbyt długo rozpisywał. Twórcy poszli w standard jeśli chodzi o rozwiązania, które stosuje się w przypadku mobilnych aplikacji.  Bitdefender Mobile Security zostało zachowane w jasnej kolorystyce. Mamy przede wszystkim biele i szarości, ale z drugiej strony brakuje mi trybu ciemnego, który coraz częściej pojawia się w różnych rozwiązaniach mobilnych i myślę, że podobnie będzie w niedalekiej przyszłości także z Bitdefender Mobile Security. Główny panel nawigacyjny umiejscowiony został w dolnej belce, dzięki czemu wszystkie najważniejsze elementy mamy dostępne wygodnie pod naszymi palcami, bez większej gimnastyki. Dodatkowe opcje z kolei znajdują się pod trzema kropkami. Całość jest przejrzysta, a poszczególne funkcje zostały dobrze rozmieszczone. W sumie, w przypadku interfejsu brakuje mi możliwości zmiany kolejności poszczególnych opcji w belce nawigacyjnej. Doskwiera również braku ciemnego motywu, który zaczyna powoli stawać się standardem wśród aplikacji mobilnych.

Ustawienia_Mobile_Bitdefender

Funkcje Bitdefender Mobile Security na urządzeniach Android

Opcji bezpieczeństwa związanych z aplikacją Bitdefender jest naprawdę sporo. Oczywiście najbardziej podstawową jest ta związana z ochroną przed wirusami. Działa ona w ten sposób, że główny moduł skanuje cały czas nasz telefon w poszukiwaniu szkodliwego oprogramowania i różnych rodzajów zagrożeń, przed którymi chroni nas antywirus, w tym między innymi:

  • ransomware – jeden z najbardziej nielubianych rodzajów zagrożeń internetowych. Jego atak najczęściej blokuje urządzenie, a następnie szyfruje wszystkie dane i aby odblokować smartfon należy zapłacić hakerom odpowiedni okup
  • PUA – czyli potencjalne niechciane aplikacje – to aplikacje, które doinstalowują się do istniejących na naszym telefonie rozwiązań
  • Adware – to z kolei bardzo nachalne, agresywne reklamy, które dodatkowo prowadzą do stron, które mogą wyłudzić od nas informacje czy dodatkowo zainfekować innym wirusem
  • CoinMiner – to atak, który bezpośrednio nie kradnie naszych danych, ale wykorzystuje bez naszej wiedzy moc obliczeniową telefonu w celu kopania kryptowalut. Smartfon zainfekowany tego typu złośliwym oprogramowaniem jest bardziej obciążony, a także spada zauważalnie żywotność baterii
Zagrożenia mobile Bitdefender

Średnio raz dziennie Bitdefender Mobile Security skanuje wszystkie zainstalowane aplikacje na naszym telefonie. Oczywiście można dodatkowo wymusić taki skan ręcznie. W przypadku mojego Samsunga Galaxy S10 cały proces trwał krótko, około 3 minut, choć aktualnie nie korzystam ze zbyt dużej ilości aplikacji.

Kolejną zakładką, która jest przypisana do dolnej belki, jest Ochrona sieciowa. To moduł, który szczególnie przydaje się w przypadku korzystania z przeglądarki internetowej. Jest on odpowiedzialny za sprawdzanie stron www, na które wchodzi użytkownik. Dodatkowo Bitdefender sugeruje, z których mobilnych przeglądarek warto korzystać, by być w 100% bezpiecznym. Wśród nich znajdziemy między innymi Chrome, Firefox czy Operę, ale również mniej znaną Brave czy Dolphin.

Ochrona Web Bitdefender

Ostatnią z podstawowych funkcji, które znajdziemy w Bitdefender jest VPN. Służy on do ukrywania naszej aktywności w internecie i szyfrowania przesyłanych danych, dodatkowo chroniąc naszą prywatność. W podstawowej wersji oprogramowania mamy 200 MB do wykorzystania, chcąc mieć większy pakiet należy sypnąć dodatkowo groszem – w zależności od wielkości pakietu od kilkudziesięciu do nawet kilkuset złotych miesięcznie.

Prócz wyżej wymienionych funkcji w Bitdefender Mobile Security dla urządzeń Android znajdziemy również moduł antykradzieżowy. Tutaj opcji jest naprawdę sporo. Możemy zrobić zdjęcie nieupoważnionemu użytkownikowi, który trzykrotnie błędnie próbował odblokować nasz telefon. Zdalnie możemy wyczyścić wszystkie dane z telefonu czy zablokować smartfon.

Moduł_Antykradzieżowy_Bitdefender

Co ważne, nad wszystkimi wcześniej wspomnianymi przeze mnie opcjami mamy pełną kontrolę. Jeśli z nich nie chcemy korzystać, w ustawieniach można wszystko skonfigurować pod siebie.

Z funkcji, które dodatkowo możemy włączyć w przypadku Bitdefender, jest również Blokada aplikacji. Dzięki niej możemy bez przeszkód dodatkowo zabezpieczyć hasłem dostęp do konkretnych aplikacji, co jest szczególnie przydatne, gdy z telefonu korzystają dzieci.

Blokada_aplikacji_Mobile_Bitdefender

Jeśli chodzi natomiast o żywotność baterii, to w tej kwestii przed rozpoczęciem testu miałem największe obawy. Aplikacja działa bowiem cały czas dosyć intensywnie w tle i stawiałem, że przy standardowym korzystaniu z telefonu na jednym ładowaniu nie wytrzyma całego dnia. Na szczęście twórcy Bitdefendera stanęli na wysokości zadania i antywirus na szczęście nie jest mocno energożerny, nawet działając nieustannie w tle. To dobra wiadomość, szczególnie dla tych, którzy w swoich smartfonach nie mają zbyt pojemnego ogniwa i muszą codziennie ładować swój telefon.

Bezpieczeństwo

Pod względem bezpieczeństwa Bitdefender Mobile Security sprawuje się świetnie. Z długodystansowych testów, które przeprowadzają niezależne redakcje technologiczne, jednoznacznie wynika, że skuteczność w wyłapywaniu różnego rodzaju zagrożeń przez oprogramowanie jest 100%. Dzięki temu mamy pewność, że wszelkie ataki hakerskie na nasz telefon będą nieudane. Chcąc przyjrzeć się bliżej wynikom testów można zajrzeć na stronę AV-Test. Znajdziecie tam porównawcze zestawienie, jak sobie radziły dane programy antywirusowe przy zetknięciu z prawdziwym zagrożeniem.

Podczas mojego testu nie miałem problemów z ustawieniem odpowiedniej ochrony antywirusowej. Ciekawą opcją jest możliwość otrzymywania podsumowującego raportu z działań Bitdefendera. Znajdziemy w nim informacje między innymi o ilości skanowań całego systemu czy zablokowanych stronach. Moim zdaniem opcji i różnych funkcji jest tu naprawdę dużo, a dodatkowo możemy je konfigurować pod siebie, co sprawia że czujemy się odpowiednio chronieni przed atakami hakerskimi czy wirusami. Stosując Bitdefender Mobile Security możemy być pewni, że nic nam nie będzie groziło ze strony hakerów.

Raport_Mobile_Bitdefender

Podsumowanie

Bitdefender Mobile Security dla urządzeń przenośnych z systemem Android to bardzo kompletny antywirus. W sumie określenie antywirus jest dla niego bardzo krzywdzące, bowiem otrzymujemy kompletny zestaw funkcji, które chronią prywatność i telefon przed kradzieżą, a przede wszystkim przed zagrożeniami online. Całość jest łatwa w konfiguracji i komunikuje się z nami w języku polskim, dzięki czemu nie mając na dobrą sprawę żadnej wiedzy specjalistycznej, w ciągu kilku minut możemy uruchomić ochronę i zabezpieczyć smartfon, tak by nie stał się łatwym łupem hakerów. W wersji darmowej programu otrzymujemy podstawowy zestaw funkcjonalności, ale tak na dobrą sprawę rozwija skrzydła dopiero w przypadku płatnej wersji, naszpikowanej ciekawymi rozwiązaniami dla większego bezpieczeństwa. Koszt rocznej subskrypcji to w tym momencie niespełna 25 zł, czyli nieco ponad 2 zł miesięcznie. Zakładając, że dostajemy w nim wszystko to, czego potrzebujemy aby zachować bezpieczeństwo podczas korzystania ze smartona lub tabletu, cena wydaje się bardzo rozsądna.

Malware, czyli złośliwe oprogramowanie

Malware, czyli złośliwe oprogramowanie

Co to jest malware?

Rodzaje malware

Jak się rozprzestrzenia malware?

Jak rozpoznać zagrożenie malware?

Przykłady złośliwego oprogramowania?

Jak się chronić przed malware?

Jak usunąć malware?

Historia malware

Urządzenia z dostępem do sieci, które posiadamy, jak laptopy, komputery, tablety i smartfony, ułatwiają nam wiele czynności – od pracy po zakupy online. Dzięki udogodnieniom, które daje nam Internet, pozwalają na zaoszczędzenie czasu, który zyskujemy nie ruszając się z domu, np. po zakupy czy załatwianie spraw urzędowych online. Niestety sieć niesie ze sobą również ogromne zagrożenie, które dla wielu przynosi ogromne straty finansowe.

Jeśli zauważyłeś ostatnio, że coś dziwnego zaczyna się dziać z Twoim urządzeniem, powinieneś jak najszybciej zareagować. Zawiesza się? Za każdym razem, gdy go włączasz zmienia się tapeta? Wszystko po prostu wolniej działa? Prawdopodobnie masz do czynienia ze złośliwym oprogramowaniem, czyli malicious software (malware).

Co to jest malware?

Malware to szerokie pojęcie, które obejmuje każde celowo wgrane złośliwe oprogramowanie. Często działa bez Twojej wiedzy, potajemnie wykradając hasła i inne krytyczne dane osobowe, a czasem jawnie żąda okupu. Jest wiele rodzajów złośliwego oprogramowania, o których większość z nas słyszała, chociaż niekoniecznie musiała się z nim zetknąć. Wrogie programy mogą uszkodzić system, aplikacje, a nawet przejąć kontrolę nad urządzeniem, dlatego tak ważnym jest ich poznanie, zidentyfikowanie i usunięcie.

Celem ataku przestępców tworzących złośliwe oprogramowanie mogą być osoby prywatne, a także duże i małe firmy, które są w stanie zapłacić ogromne kwoty za odzyskanie swoich plików oraz ważnych danych klientów. Ich skuteczność jest bardzo wysoka ze względu na niemal niezliczone możliwości wkradnięcia się do niestrzeżonych komputerów należących do nieuważnych lub nieświadomych zagrożenia użytkowników. Często masowe ataki są atrakcyjniejsze dla hakerów, ze względu na większe prawdopodobieństwo powodzenia.

Rodzaje malware

Wirus

To programy lub fragmenty kodu, które nadpisują lub zmieniają programy znajdujące się na urządzeniu bez Twojej wiedzy. Wirusy podpinają się pod inne programy, powielając swoją treść i zajmując całą pamięć Twojego urządzenia.

Robak (ang. worms)

Podobne do wirusów, ale do rozprzestrzeniania nie potrzebują programu „żywiciela”. Powielają się poprzez sieć, najczęściej przez pocztę elektroniczną.

Fork-bomba

Atak polega na przyspieszonym powielaniu procesów, które praktycznie od razu zatrzymują pracę komputera lub smartfona, wyczerpując zasoby pamięci.

Trojan

Oprogramowanie podszywające się pod pomocne lub ciekawe aplikacje; otwiera porty, które ułatwiają ataki cyberprzestępców. Nie powiela się, jak wcześniejsze szkodniki, lecz uruchamia różne niewidoczne funkcje w tle. 

Exploit

Są to błędy zabezpieczenia (luki) pozwalające na włamanie się bezpośrednio do urządzenia ofiary. Ataki najczęściej przeprowadzane są przez luki na stronach internetowych, w systemach operacyjnych czy w aplikacjach.

Ransomware

Oprogramowanie szantażujące, które blokuje urządzenie, pliki lub ekrany w celu wymuszenia wpłacenia okupu za odszyfrowanie zablokowanych zasobów. Najczęściej uiszczenie opłaty wymagane jest dolarach lub BitCoinach, aby uniemożliwić śledzenie płatności.

Spyware

Oprogramowanie szpiegujące, którego celem jest zebranie danych o ofierze – informacja jakie strony odwiedza, jego dane dostępowe oraz osobowe. Najczęściej jest ukrytą częścią większego programu, bez możliwości usunięcia przez użytkownika. Oprogramowanie ma dostęp do pobieranych plików oraz rejestru systemu operacyjnego. 

Adware

Oprogramowanie wyświetlające duże ilości niechcianych reklam.

Keylogger

Oprogramowanie odczytujące i zapisujące wszystkie wciśnięcia klawiszy w celu uzyskania wrażliwych danych osobowych, jak numery kart kredytowych, adresy czy dane dostępowe do poczty, kont bankowych i sieci społecznościowych.

Rootkit

Wykorzystywane do najgroźniejszych ataków cyberprzestępców, pozwalają na przejęcie kontroli nad procesami administracyjnymi systemu. Ukrywają odbywające się w tle procesy oraz uruchomione aplikacje służące m.in. do kradzieży danych. Ze względu na możliwość ukrycia swojego działania jest to oprogramowanie bardzo trudne do wykrycia.

Backdoor

Oprogramowanie, podobnie jak trojan, podszywa się pod pliki lub programy często używane przez ofiarę, zyskując dostęp do czynności administracyjnych i przejmując kontrolę nad komputerem lub smartfonem. Działania wykonywane są za pośrednictwem Internetu, bez wiedzy i woli użytkownika.

Cryptomining

Zwany również cryptojackingiem. To złośliwe oprogramowanie wgrywane na Twój komputer i używane do zdobywania („kopania”) kryptowalut. Zazwyczaj przedostaje się na urządzenie przez konia trojańskiego i wykorzystuje zasoby Twojego komputera do zarabiania pieniędzy przez cryptojackera i wysyłania ich na jego konto.

Jak się rozprzestrzenia malware?

Złośliwe oprogramowanie najczęściej dostaje się do urządzenia przez Internet i pocztę elektroniczną. Zagrożenia malware pojawiają się również podczas pobierania wersji demonstracyjnych gier komputerowych, muzyki, darmowych subskrypcji lub programów. Jeśli nie posiadasz odpowiedniej ochrony swoich urządzeń, taki szkodnik może dostać się na Twój komputer, smartfon czy tablet z każdego pobranego pliku w Internecie.

Jak rozpoznać zagrożenie malware?

Każdy niepokojący sygnał ze strony Twojego urządzenia może być oznaką zainfekowania przez złośliwe oprogramowanie. Poniżej znajdziesz typowe sytuacje, w których za pomocą programów antywirusowych powinieneś sprawdzić, czy na Twoim urządzeniu nie znajduje się szkodliwe oprogramowanie malware:

  • spowolnienie systemu i jego awarie lub niebieski ekran (BSOD, Blue Screen of Death),
  • brak dostępu do ważnych plików lub dysku,
  • natrętne reklamy wyskakujące w nieodpowiednich momentach (prawdopodobnie infekcja oprogramowaniem adware); często są to reklamy sugerujące wygraną nagrodę,
  • tajemnicze nagłe zapełnienie miejsca na dysku,
  • wzrost aktywności w sieci niezwiązany z Twoimi działaniami,
  • dziwnie wysokie wykorzystywanie zasobów systemu, które może być zauważalne przez głośną pracę wentylatora chłodzącego urządzenie,
  • zmieniona strona startowa przeglądarki oraz zakładki, które nie przekierowują Cię w przeznaczone miejsce,
  • dodatkowe, nowe wtyczki pojawiające się w przeglądarce,
  • zatrzymanie działania programu antywirusowego,
  • informacja o zainstalowanym na urządzeniu oprogramowaniu szantażującym – zazwyczaj pojawia się na pulpicie komputera lub tapecie smartfona, czasem znajduje się w ukrytych plikach tekstowych wraz z instrukcją postępowania w celu odblokowania i rozszyfrowania plików.

Zdarzają się też ukryte i dużo groźniejsze programy, które nie będą dla nas nigdzie widoczne, a dla standardowej wersji oprogramowania antywirusowego mogą okazać się zbyt trudne do odnalezienia i usunięcia. W tej sytuacji należy skorzystać z zaawansowanych pakietów, obejmujących narzędzia do usuwania malware, jak Bitdefender Total Security, Norton 360 Premium. 

Przykłady złośliwego oprogramowania

PC Optimizer Pro. To złośliwe oprogramowanie wyłudzające pieniądze od mniej świadomych użytkowników. Pozornie ma optymalizować Twój komputer i przyspieszać jego pracę, a w rzeczywistości wyświetla fałszywe komunikaty o zagrożeniu do usunięcia oraz przekierowuje na stronę zakupu płatnej wersji oprogramowania, która ma pomóc w pozbyciu się szkodnika, a tak naprawdę niczego nie usunie ani nie uchroni przed prawdziwymi malware’ami. 

COM Surogate. Wyjątkowo groźny i szybko rozprzestrzeniający się koń trojański, który instaluje się na urządzeniu po aktualizacji Flasha lub FLV Playera i bez Twojej wiedzy pobiera inne groźne oprogramowania, kradnie dane, hasła, śledzi aktywność użytkownika i zmienia ustawienia systemowe.

DNS Unblocker. To złośliwe oprogramowanie nie ingeruje w system operacyjny urządzenia, jednak wyświetla wiele natrętnych reklam, które przekierowują na niebezpieczne strony przestępców. Może też śledzić Twoją aktywność w Internecie, a następnie przekazywać je osobom trzecim.

Jak się chronić przed malware?

Najlepszym i najskuteczniejszym sposobem są profesjonalne programy antywirusowe posiadające ochronę anti-malware. Wykrywają niebezpieczny fragment kodu lub całe oprogramowanie zanim zostanie zainfekowany Twój sprzęt, dzięki czemu prawdopodobnie unikniesz nieprzyjemnych konsekwencji związanych z atakiem. Zaawansowane programy antywirusowe oparte są na bazach w chmurze, które są na bieżąco aktualizowane o nowo powstające zagrożenia, co zmniejsza praktycznie do zera ryzyko utracenia danych osobowych, plików, pieniędzy czy uszkodzenia sprzętu.

Istnieją również dodatkowe techniki unikania zagrożeń czyhających w sieci:

  • szybko reaguj, już w momencie zauważenia objawów zainfekowania złośliwym oprogramowaniem, aby nie zdążyło się skutecznie ukryć,
  • nie klikaj w wyskakujące okienka z reklamami na stronach,
  • pobieraj tylko sprawdzone oprogramowanie ze znanych i bezpiecznych stron internetowych,
  • aktualizuj na bieżąco wtyczki, system operacyjny oraz wszystkie aplikacje,
  • unikaj otwierania nieznanych, podejrzanych maili,
  • nie otwieraj nieznanych łączy i załączników przesyłanych przez komunikatory internetowe, sieci społecznościowe i skrzynki pocztowe.

Jak usunąć malware?

Samemu może być ciężko pozbyć się nieznanego szkodnika, jednak istnieje taka możliwość jeśli posiadasz odpowiednią wiedzę, a wirus jest prostym programem, który się nie ukrywa. W większości przypadków do skutecznego wykrycia i usunięcia złośliwego programu niezbędny będzie jednak antywirus.

Do zidentyfikowania mniej złożonych zagrożeń wystarczy prawdopodobnie najprostszy darmowy antywirus. Ale jeśli przyjdzie Ci się zmierzyć z groźniejszym rodzajem złośliwego oprogramowania – np. Twoje pliki ulegną zaszyfrowaniu i nie będziesz mógł odzyskać do nich dostępu – będziesz musiał skorzystać z zaawansowanego specjalistycznego programu antywirusowego. To, że niektórych malware lub ich działania nie widać na pierwszy rzut oka, nie oznacza, że ich nie ma na Twoim komputerze i nie są groźne. Zawsze warto zabezpieczyć swoje urządzenie, aby nie stracić ważnych danych oraz sprzętu i pieniędzy.

Historia malware

Pierwszym rodzajem malware, rozpowszechnionym w 1982 r. na systemach Apple, był wirus Elk Cloner przenoszony na dyskietkach. Choć nie wyrządzał on żadnej szkody, to rozprzestrzeniał się z niesamowitą prędkością na każdym urządzeniu podłączonym do systemu Apple.

Wraz z powstaniem systemu Microsoft Windows pojawiły się nowe możliwości hakerskie, a dostępne makra w aplikacji Microsoft Word umożliwiły wprowadzanie złośliwego kodu do dokumentów oraz szablonów, które atakowały pliki.

Z upływem czasu ataki złośliwego oprogramowania stały się powszechne na każdym dostępnym systemie operacyjnym – na komputerach, a z czasem smartfonach oraz pozostałych urządzeniach podłączonych do Internetu.

Na początku lat 2000 powstały samoreplikujące się robaki rozprzestrzeniane drogą komunikatorów internetowych. Wykorzystując luki w oprogramowaniu takich komunikatorów jak MSN Messenger, Yahoo Messenger, AOL AIM, a także firmowych narzędzi do komunikacji, szybko atakowały na masową skalę.

Dekadę później przestępcy zaczęli szukać skuteczniejszych i przynoszących zyski ataków, dlatego przenieśli się do sieci społecznościowych, gdzie podejmowali próby oszukania użytkowników. Rozsyłane były m.in. fałszywe reklamy kierujące na strony cyberprzestępców lub fałszywe narzędzia antywirusowe. Pierwszą platformą społecznościową zaatakowaną na ogromną skalę był MySpace, a następnie Facebook i Twitter. Obecnie ten trend zaczyna powoli zanikać, dzięki zwiększonej świadomości użytkowników.

Od roku 2013 rozpoczęła się era oprogramowania szantażującego, czyli ransomware. Pierwszym jego rodzajem, atakującym system Windows, był CryptoLocker, który osiągnął niemały sukces i w ciągu pierwszego kwartału swojego istnienia wyłudził 27 mln dolarów.

Dzięki skuteczności oprogramowania szantażującego powstają jego nowe, sprytniejsze odmiany, o których możesz przeczytać w artykule poświęconym ransomware.

Dzisiaj najbardziej popularnymi złośliwymi programami są te służące do „kopania” kryptowlaut przy wykorzystaniu zasobów zainfekowanego urządzenia bez wiedzy właściciela. Przez cyberprzestępców wciąż jednak wykorzystywane są wszystkie rodzaje szkodliwego oprogramowania w różnych celach – do szybkiego wzbogacenia, robienia żartów lub bezcelowego niszczenia sprzętu użytkowników. Warto więc pamiętać, że korzystając z różnego rodzaju programów chroniących Twoje urządzenia przed atakami hakerów, zmniejszasz ich skuteczność i chronisz swój sprzęt, dane oraz środki finansowe.

Co to jest rootkit, jak działa i jak go usunąć?

Co to jest rootkit, jak działa i jak go usunąć?

Czym jest rootkit?

Zastosowanie rootkitów

Jakie są rodzaje rootkitów?

Bootkity

Jak instaluje i ukrywa się rootkit?

Jak wykryć rootkita?

Jak usunąć rootkita?

Sposoby ochrony przed rootkitami

Historia rootkita – czyli skąd się wziął rootkit?

Termin “rootkit” może użytkownikom komputerów kojarzyć się z wirusami czy atakami na urządzenia i zwykle łączony jest ze szkodliwym oprogramowaniem malware – i to nie bez powodu. Rootkit to najbardziej niebezpieczny typ malware, a na dodatek bardzo sprytny – nawet nie zauważysz, że masz go na komputerze. Dlatego też wiele osób w ogóle nie zdaje sobie sprawy z istnienia tego typu zagrożenia oraz z zainfekowania swojego urządzenia. Dowiedz się co to jest rootkit, jak go usunąć i czy można ochronić się przed rootkitem.

Czym jest rootkit?

Definicja rootkita łączy w sobie dwa słowa: “root” oraz “kit”. W systemie UNIX mianem “root” określa się głównego administratora – czyli użytkownika, który posiada pełny, nieograniczony dostęp do systemu. Natomiast “kit” to po prostu zestaw narzędzi. Połączenie tych słów oznacza niezwykle niebezpieczne oprogramowanie, które pozwala hakerowi uzyskać zdalny i trwały dostęp do zainfekowanego komputera oraz instalację na nim różnych narzędzi. Ich celem zwykle jest kradzież danych, a użytkownik najczęściej nie ma pojęcia, że stracił kontrolę nad własnym urządzeniem – dlatego nie można lekceważyć zagrożenia, jakie niosą za sobą rootkity.

Rootkit unika wykrycia, działając podobnie do keyloggerów – stara się zagnieździć jak najgłębiej w systemie i sprytnie ukrywa się przed programami antywirusowymi i innymi zabezpieczeniami. Zwykle zachowuje się jak backdoor, tworząc cyberprzestępcy “niewidzialne drzwi” do systemu ofiary, który może nie tylko instalować w nim dodatkowe komponenty, ale również je usuwać. Narzędzia najczęściej występujące w rootkitach to:

  • moduły kradzieżowe – przechwytujące hasła, dane kart kredytowych, informacje z bankowości online;
  • boty do ataków na DDoS;
  • keyloggery (mechanizmy do przechwytywania naciśnięć klawiszy klawiatury);
  • funkcje zdolne do obchodzenia systemów zabezpieczeń i wyłączania ich.

Złośliwe oprogramowanie typu rootkit musi być projektowane pod konkretny system. I tak dla systemu Windows można wyróżnić takie aktywne rootkity jak: Necurs, Alueron, ZeroAccess czy też TDSS. W obecnych czasach rootkity mogą zaatakować dowolny system – MacOS, Solaris, FreeBSD i inne bardziej lub mniej znane rozwiązana. Wniosek jest jeden: dziś już żaden system nie gwarantuje 100% bezpieczeństwa.

Zastosowanie rootkitów

Rootkit sam w sobie nie jest groźny, jednak nigdy nie występuje samodzielnie. Paczka z rootkitem zawsze zawiera dodatkowy złośliwy program. Zadaniem rootkita jest zablokowanie wszelkich prób wykrycia intruza. Obecnie rootkity wykorzystywane są głównie do ataków internetowych, jednak istnieją także rootkity narzędziowe, które umożliwiają między innymi ominięcie zabezpieczeń antypirackich.

Rootkity narzędziowe to szczególnie popularne rozwiązanie wśród graczy komputerowych, którzy tworząc np. dysk wirtualny z piracką wersją gry, pomijają konieczność włożenia do napędu oryginalnego nośnika CD. W ten sposób oszukują zabezpieczenia, które miały sprawdzić legalność gry.

Rootkity mogą być stosowane do:

  • stworzenia backdoorów, czyli niewidzialnych drzwi do systemu, przez które haker może zdalnie kontrolować zaatakowane urządzenie. Pozwala to na pominięcie mechanizmów uwierzytelniania, umożliwiając nieautoryzowany dostęp i np. kradzież lub fałszowanie danych;
  • przenoszenia malware, czyli złośliwego oprogramowania, które ma na celu kradzież danych wrażliwych, haseł itp. Są to najczęściej keyloggery i wirusy;
  • stworzenia słupa, czyli wykorzystania zaatakowanego komputera lub sieci do dalszych ataków na inne urządzenia, z pominięciem komputera hakera. Często na zaatakowany komputer mówi się “komputer zombie”. W zasadzie każde urządzenie podłączone do internetu można przekształcić w zombie. Tego typu ataki dokonywane są przede wszystkim na grupie komputerów zainfekowanych złośliwym oprogramowaniem (botnet). Pozwala to na zdalne i niewidoczne dla użytkowników przeprowadzanie ataków związanych np. ze spamem mailowym, rozsyłaniem linków, nieuczciwymi kliknięciami (click fraud) czy też atakami DDoS. Do tych ostatnich zombie nadaje się idealnie – DDoS to zmasowane ataki z wielu komputerów wymierzone w jedną jednostkę, co uniemożliwia jej poprawne funkcjonowanie, przejmując wszystkie wolne zasoby (pamięć, czas procesora) atakowanego komputera.

Rootkity – tak jak wspominaliśmy – same w sobie nie są złe i często są wykorzystywane do legalnych – bądź trochę mniej legalnych, ale korzystnych z punktu widzenia użytkownika – działań, czyli są świadomie instalowane przez właściciela urządzenia. Najczęściej takie rootkity wykorzystywane są do:

  • zarządzania prawami cyfrowymi (ang. digital rights management, DRM) – rootkity w tej formie tworzą system zabezpieczeń np. plików muzycznych, filmów i gier, które pozwalają na korzystanie z nich tylko legalnym nabywcom;

Warto wiedzieć: Pierwsze DRMy były bardzo prowizoryczne, polegały m.in. na nagłym przerwaniu gry z prośbą o wprowadzenie tekstu z papierowej instrukcji. Zwykle właściciele pirackich wersji takiej instrukcji nie posiadali.Czasy się jednak zmieniły i sposoby przeciwdziałania piractwie też – to wielka wojna między producentami zabezpieczeń, a hakerami (twórcami tzw. mieczy – crackerami i piratami). Niestety szala wygranych przechyla się na stronę cyberprzestępców. Producenci gier tak bardzo skupili się na zabezpieczeniach, że zapomnieli o zwykłych użytkownikach. I tak zabezpieczenia rosyjskiego StarForce nie dość, że pilnują legalności samej gry, to przejmują kontrolę nad całym komputerem gracza. Tym samym uniemożliwiają wykonania jakichkolwiek nielegalnych działań – związanych nie tylko z grą. Te praktyki wywołały silną falę sprzeciwu wśród graczy, dzięki której m.in. francuski producent gier UbiSoft rozwiązał umowę współpracy ze StarForce. Ciekawym case study jest także przykład jednej z gier firmy Electronic Arts – “Spore”. Jej pierwotna wersja zakładała system ochrony nazwany SecuROM. Nie było to tak niebezpieczne rozwiązanie jak StarForce, ale przysporzyło użytkownikom wiele niemiłych niespodzianek. Gra wymagała użycia oryginalnej płyty oraz wymuszała aktywację sieciową – fakt, zabezpieczenia sieciowe są najskuteczniejsze, jednak mają sens tylko w przypadku gier, które rzeczywiście z tej sieci w pełni korzystają. “Spore” używało internetu w bardzo niewielkim zakresie.Problem leżał jednak głębiej – można było utworzyć tylko jedno konto użytkownika i jeden raz go aktywować. A w ramach konta grę można było zainstalować maksymalnie 3 razy. To oznaczało, że nie można było dokonać instalacji jednocześnie na PC i laptopie, a 3 reinstalacje systemu operacyjnego wykluczały całkowicie możliwość ponownej instalacji gry. Okazało się, że te metody uderzyły najbardziej w użytkowników – hakerzy za nic mieli te zabezpieczenia i nielegalna wersja gry “Spore” trafiła do sieci jeszcze przed jej oficjalną premierą. Producent co prawda zrezygnował z większości restrykcji kilka tygodni po debiucie gry, jednak nie naprawiło to negatywnej opinii użytkowników.

  • wykrywania ataków np. honeypot – są to pułapki, które udają system, pojedynczą usługę lub sieć lokalną. Ich celem jest przechwycenie i poinformowanie o próbach uzyskania nieautoryzowanego dostępu do danych. Honeypoty występują w wersjach mniej i bardziej rozbudowanych – te drugie potrafią nawet rejestrować i monitorować zachowania atakującego hakera, wykorzystując w tym celu wiele adresów IP. To świetne narzędzie do wczesnego wykrywania ataków, ochrony przed złośliwym oprogramowaniem i lukami w zabezpieczeniach;
  • ulepszenia emulatorów wirtualnych napędów – są to popularne komercyjne programy, takie jak Alcohol120% czy też Daemon Tools. Służą do pokonania zabezpieczeń związanych z nielegalnym kopiowaniem np. gier. Łamią między innymi systemy SafeDisc i SecuROM;
  • wykrywania malware – dobrej jakości oprogramowanie antywirusowe korzysta z rootkitów w celu ochrony przed złośliwym oprogramowaniem. Działa na zasadzie przechwytywania aktywności systemu i ochrony przed nieproszonymi gośćmi. Procesy antywirusów nie są ukryte, ale użytkownik nie może ich samodzielnie zakończyć. Przykładem jest oprogramowanie antywirusowe Kaspersky;
  • wykrywania oszustw w grach np. poprzez program Warden lub GameGuard. To tak zwane oprogramowanie anti-cheat – zapobiegające oszustwom w grach;

Warto wiedzieć: Jedna z najnowszych afer dotyczy gry Valorant wypuszczonej przez Riot Games i jej systemu anti-cheat “Vanguard”. Użytkownicy odkryli, że ten rootkit uruchamia się wraz ze startem systemu operacyjnego i działa nawet, gdy gra nie jest włączona, a co gorsza – ma uprawnienia administratora! To oznacza, że potencjalnie może zbierać wszystkie informacje o użytkowniku, ale dodatkowo tworzy też furtkę do ataków na komputer gracza (backdoor). Riot Games wytłumaczyła się z tego rozwiązania zapewniając o dokładnym sprawdzeniu Vanguarda pod kątem luk i poinformowaniu, że na 100% nie zbierają za jego pomocą informacji o użytkownikach. Wg producenta, “Vanguard” to świetna forma walki z cheaterami. Jeśli jednak okaże się, że sterownik naraża graczy, Riot Games wycofa go i opracuje zupełnie nowy mechanizm. Drugą sprawą jest czy to rozwiązanie rzeczywiście działa – bo jednak cheaterzy, mimo jego obecności, radzą sobie całkiem dobrze.

  • ochrony przed kradzieżą – na laptopach można zainstalować oprogramowanie w typie rootkita, które opiera się na BIOSie. Dzięki niemu możliwe jest monitorowanie lokalizacji laptopa, zdalne wyłączanie go i usuwanie danych;
  • omijania aktywacji produktów Microsoft – najczęściej dotyczy to Windowsa oraz pakietów Microsoft Office.

Najnowsze rootkity nie celują już tylko w komputery i laptopy, ale także w urządzenia mobilne – w szczególności w te, które są oparte na systemie Android. Najczęściej są powiązane z atrakcyjnymi aplikacjami, jakie można pobrać z niezaufanych źródeł.

Jakie są rodzaje rootkitów?

Występuje kilka rodzajów rootkitów, jednak aby dobrze je zrozumieć, trzeba bliżej przyjrzeć się tzw. pierścieniom zabezpieczającym (protection rings). Najprościej mówiąc, opisują one poziomy przywilejów architektury systemu operacyjnego. Poziomy składają się z 4 okręgów. Najmniejszy, czyli najniższy, ale za to najbardziej uprzywilejowany poziom to ring “0”, który zawiera jądro systemu sterujące całym komputerem. Wyżej znajduje się ring “1”, a zaraz za nim ring “2” – w nich są umieszczone wszystkie sterowniki np. od karty graficznej. Ostatnim, najwyższym poziomem o najniższym stopniu uprzywilejowania jest ring “3” – w nim znajdują się aplikacje, z których korzysta użytkownik np.: pakiet Microsoft Office, CorelDraw czy Photoshop. Warto zauważyć, że ring “0” rządzi też antywirusami znajdującymi się na najwyższym “3” poziomie, które często nie docierają nawet do poziomu “1”.

Rootkity mogą być wycelowane w każdy poziom, jednak te najtrudniejsze do wykrycia będą celować w jądro systemu. Istnieją też rootkity hybrydowe – czyli takie, które jednocześnie uderzają np. w poziom użytkownika i poziom jądra systemu.

Zanim przejdziemy do konkretnych poziomów, trzeba zwrócić uwagę na rootkity typu Persistent Rootkits (“natrętne” rootkity) oraz Memory-Based Rootkits (rootkity “żyjące” jedynie w pamięci):

  • “Natrętne” rootkity charakterystyczną nazwę zawdzięczają swojej obecności wywoływanej każdorazowym uruchomieniem systemu operacyjnego. Zwykle są przechowywane jako kod i program na dysku lub w rejestrze. Działają w tle i są niewidoczne na liście procesów i usług systemu. To najczęściej występujący rodzaj rootkitów, głównie ze względu na to, że nie wymagają specjalistycznego kodu i bardzo łatwo się rozprowadzają.
  • Rootkity egzystujące w pamięci działają właśnie w pamięci podręcznej komputera. Są właściwie jednorazowe – aktywują się tylko raz i znikają po zrestartowaniu systemu. Właśnie dlatego dużo trudniej je wykryć.

Rootkity poziomu użytkownika – ring “3”

Rootkity na tym poziomie działają razem z innymi aplikacjami. Potrafią korzystać z bardzo różnych sposobów instalacji, jednak wszystkie mają na celu przechwytywanie i modyfikowanie standardowych procesów działania API (interfejsów programowania aplikacji, czyli komend, jakich system operacyjny używa do komunikacji z programami). Na przykład mogą wstrzykiwać dynamiczną bibliotekę (w Windowsie plik o rozszerzeniu .dll, w systemie MacOS X – .dylib) do innych procesów. Co to znaczy?

Dynamiczna biblioteka łączy się z programem wykonywalnym, jednakże dopiero w momencie jego wykonania. Rootkit, zainstalowany w ten sposób, może wykonać dowolny proces docelowy – po to, aby go sfałszować (ukryć działający proces lub plik w systemie).

Przykładem jest tutaj luka w systemie Windows zwana Import Address Table. IAT to część pliku .dll, który jest odpowiedzialny za wskazywanie funkcji biblioteki, a także innych bibliotek .dll. Kod startowy rootkita wykorzystuje jedną z najczęściej używanych funkcji w jednej z bibliotek systemowych, nadpisując ją. Dzięki temu uruchamia się zamiast podanej funkcji. Jednak, aby nadal pozostać niezauważonym, wykonuje także żądane polecenie. W składzie Win32 najbardziej zagrożone były biblioteki Kernel32.dll, Gdi32.dll oraz User32.dll. Jeśli chodzi o Windows API – Advapi32.dll.

Innym przykładem będzie nadpisanie pamięci wybranej aplikacji – ale jest to możliwe w momencie zdobycia odpowiednich uprawnień dostępowych. 

Rootkit może wykorzystywać różne mechanizmy wstrzykiwania:

  • przechwytywanie wiadomości;
  • przejście przez luki w zabezpieczeniach;
  • debugery;
  • rozszerzenia aplikacji – przykładem może być Explorer Windowsa, zawierający publiczne interfejsy, które mogą być modyfikowane za pomocą rozszerzeń także przez osoby trzecie;
  • wspomniane już przechwytywanie i modyfikowanie API.

Działanie rootkita na 3 poziomie zawsze uwzględnia działanie każdej aplikacji w swoim własnym obszarze pamięci. Dlatego rootkit musi wszczepić się osobno w każdą uruchomioną aplikację. Oprócz tego musi czuwać nad potencjalną instalacją nowych aplikacji i aktualizacji, które zwykle “łatają” pamięć dotychczasowych wersji, zanim jeszcze zostaną w pełni uruchomione. W przeciwnym razie mogłoby to spowodować szybkie wykrycie rootkita.

Poziom użytkownika jest dla rootkita często miejscem, w którym dochodzi do zamiany standardowych programów na wersje trojańskie. Pozwala to na maskowanie obecności malware i uzyskanie dostępu do danych.

Jako przykładowe rootkity poziomu użytkownika można wymienić Aphex, Hacker Defender lub Vanquish.

HackerDefender to jeden z popularniejszych rootkitów. Zwykle przenoszony jest razem z innym szkodliwym oprogramowaniem, np.: trojanem z rodzaju CWS. Jego obecność na komputerze może sugerować nagłe zniknięcie takich programów jak m.in. HiJackThis (HJT – program do usuwania szkodliwego oprogramowania) lub utrudnione działanie antywirusów. HackerDefender występuje w kilku wersjach i można go nawet… kupić w sieci w wersji komercyjnej – dostosowanego do potrzeb i możliwości. 

Rootkity poziomu hipernadzorcy (hipervisior) – ring “2” i “1”

Na poziomie hipernadzorcy (narzędzi do zarządzania procesami wirtualizacji – kontrolowania pracy komputera) rootkit obsługuje oryginalny system operacyjny jako maszyna wirtualna. Dzięki temu może przechwycić procesy np. wywołujące sprzęt (ekran zewnętrzny, drukarkę, router, kartę sieciową itp.) dokonywane przez system operacyjny. Rootkity mają tą przewagę nad hipernadzorcami, że nie muszą ładować się przed uruchomieniem systemu – mogą się tam znaleźć przed awansowaniem systemu na maszynę wirtualną. 

Rootkit wycelowany w poziom 1 nie ma potrzeby dokonywania zmian w jądrze – co nie znaczy, że nie może mieć na niego wpływu. Przykładem mogą być widoczne różnice w taktowaniu procesora, co pozwala jednocześnie na odkrycie obecności rootkita.

Przykłady rootkitów na poziomie hipernadzorcy: “SubVirt” – rootkit laboratoryjny opracowany przez Microsoft i Uniwersytet w Michigan. Opierał się na maszynie wirtualnej VMBR;“Blue Pill” – rootkit z keyloggerem. To projekt Joanny Rutkowskiej, która chciała udowodnić, że możliwe jest stworzenie rootkita zupełnie niewidocznego. Inspiracją do nazwy był film Matrix.

Rootkity firmware i hardware

Przy ringu 2 i 1 warto jeszcze wspomnieć o rootkitach firmware (oprogramowanie układowe, zainstalowane na stałe w urządzeniu) i hardware. Nie atakują one bezpośrednio systemu tylko kod, który odpowiada za obsługę sprzętu (karta sieciowa, dysk twardy, router). Taki rootkit może być też wycelowany w kod BIOSu. W przypadku firmware zwykle nie sprawdza się integralności kodu, co dla hakerów stanowi otwarte zaproszenie do działania.

Warto wiedzieć: John Heasman udowodnił obecność rootkitów firmware w oprogramowaniu układowym ACPI oraz w pamięci ROM karty PCI. W październiku 2008 r. przestępcy zainstalowali urządzenia do przechwytywania danych w nowych bankomatach przeznaczonych na rynek europejski. Zupełnie niewidoczne przesyłały informacje o kartach kredytowych za pośrednictwem telefonów komórkowych. Pół roku później – w marcu 2009 r. Alfred Ortega i Anibal Sacco przedstawili dane związane z rootkitem wycelowanym w system Windows na poziomie BIOSu, który przetrwał zarówno wymianę dysku, jak i ponowną instalację całego systemu.Ci sami naukowcy odkryli fabrycznie instalowanego w różnych obszarach BIOSu rootkita, który w teorii miał być systemem antykradzieżowym niektórych laptopów. Znany był jako “Absolute CompuTrace” lub “Absolute LoJack for Laptops”. Wg naukowców – mimo jego dobrych intencji – mógł zostać wykorzystany przez hakerów.

Rzeczywiście rootkity firmware mogą okazać się pomocne podczas odzyskiwania skradzionych komputerów, mogą zdalnie usunąć dane albo je zaszyfrować. Jednak taka praktyka budzi duże obawy pod kątem bezpieczeństwa i zachowania prywatności. Rootkit zawsze może zostać użyty do szpiegowania – czy to przez kierownictwo w pracy, czy też przez hakerów.

Rootkitem firmware jest np. VGA rootkit i Cloaker.

Rootkity jądra systemu (kernel-mode rootkit) – poziom “0”

Ring “0” to poziom z najwyższymi przywilejami w systemie operacyjnym. Rootkity wymierzone w samo serce systemu działają przez dodanie kodu lub całkowite zastąpienie części systemu operacyjnego (taki zabieg dotyczy zarówno jądra, jak i sterowników urządzeń).

Rootkity poziomu jądra są najbardziej niebezpieczne, bo mają nieograniczony dostęp do wszystkich zasobów komputera. Jednocześnie są jednymi z najtrudniejszych do napisania. Nawet niewielki błąd w kodzie prowadzi do zakłócenia stabilności systemu, a to krótka droga do odkrycia rootkita przez uprawnionego użytkownika.

Pierwszym szerzej rozpowszechnionym rootkitem działającym na poziomie jądra był napisany pod system Windows – NT 4.0. Został wydany w 1999 roku w magazynie Phrack przez Grega Hoglunda.

Rootkity celujące w jądro są najtrudniejsze do wykrycia i usunięcia. Głównie dlatego, że działają na tym samym poziomie co system operacyjny i potrafią modyfikować, a nawet usuwać wszystkie, nawet najbardziej zaufane operacje systemu – łącznie z manipulowaniem oprogramowaniem antywirusowym. Obecność rootkita w ringu “0” sprawia, że żaden element systemu nie jest bezpieczny.

W systemie Windows rootkit może zmieniać struktury danych w jądrze za pomocą bezpośredniej manipulacji obiektami jądra (DKOM – Direct Kernel Object Manipulation), które są odpowiedzialne za logowanie i audytowanie. Dzięki takiej modyfikacji rootkit zwraca systemowi fałszywe informacje np. o istnieniu danego procesu.

Kolejną metodą jest podpięcie się rootkita pod System Service Descriptor Table (SSDT – tablica deskryptorów procesów systemowych). W tablicy znajdują się adresy aktualnie działających funkcji systemu operacyjnego. To rozwiązanie jest głębsze od IAT działającego w ringu “3”, ponieważ może działać na cały system, a nie tylko na pojedynczą bibliotekę. Przykładowo rootkit w tym modelu może zaatakować funkcję NtQueryDirectoryFile w pliku Ntoskrnl.exe i ukryć foldery oraz pliki znajdujące się w systemie plików. Rootkit może też maskować się dzięki modyfikacji bramki znajdującej się pomiędzy trybem użytkownika a trybem jądra.

W przypadku systemu Linux rootkit jądra występuje jako LKM – loadable kernel modules. Działa podobnie jak w Windowsie – może modyfikować systemową tabelę wywołań. 

Bootkity

Na specjalne miejsce na liście zagrożeń dla jądra systemu zasługują bootkity. Mogą one atakować kod startowy np. MBR (Master Boot Record), VBR (Volume Boot Record) albo sektor rozruchowy (boot sector – stąd też ich nazwa “bootkity”). Ta metoda pozwala zaatakować systemy szyfrowania całego dysku.

Evil Maid Attack (Atak Złej Pokojówki) – ten bootkitowy atak wycelowany jest w nienadzorowane komputery. Są one dla hakera tym, czym hotelowe pokoje z pozostawionymi cennymi bagażami klientów dla nieuczciwej pokojówki. Bootkit podmienia legalny moduł rozruchowy na moduł kontrolowany przez cyberprzestępcę. Malware załadowane w ten sposób utrzymuje się w jądrze poprzez przejście do trybu chronionego w momencie załadowania jądra. Dzięki temu jest w stanie przejąć kontrolę nad jądrem. Haker potrzebuje około 4 minut, aby wszczepić w taki niechroniony system złośliwe oprogramowanie.

Jak instaluje i ukrywa się rootkit?

Drogi instalacji rootkita są właściwie dwie: może odbywać się automatycznie lub ręcznie. Pierwszy przypadek nie wymaga większych działań ze strony hakera. Jednak drugi angażuje atakującego w dużo większym stopniu. Najpierw musi on uzyskać dostęp do komputera ofiary np. poprzez wykorzystanie luk w zabezpieczeniach lub złamanie hasła dzięki m.in. phishingowi (wyłudzenie danych za pomocą podszywania się przykładowo pod instytucje bankowe) i dopiero dokonać instalacji.

Rootkit po zainstalowaniu ukrywa swoją obecność i jednocześnie zachowuje stały dostęp do wszystkich komponentów systemu. A to oznacza, że haker może modyfikować całe oprogramowanie zainstalowane na urządzeniu – łącznie ze wszystkimi programami antywirusowymi i zabezpieczającymi (dodając np. rootkita jako wyjątek bezpieczeństwa).

Najczęściej rootkity wykorzystują luki w zabezpieczeniach, mogą też ukrywać się w trojanach, oszukując użytkownika, który myśli, że instaluje nieszkodliwe i pożyteczne oprogramowanie. Rootkit może dostać się do Twojego komputera za pomocą niebezpiecznych linków prowadzących do zainfekowanych stron, podejrzanych wiadomości e-mail ze zmodyfikowanymi załącznikami, instalacji programów i aplikacji z nieznanych źródeł oraz używania pamięci przenośnych typu USB.

Hakerzy wykorzystują ludzką ciekawość i pozostawiają pen-drive’y lub karty pamięci flash w miejscach użyteczności publicznej np. kawiarniach, biurowcach, hotelach. Zaciekawiony możliwą zawartością znalazca w większości przypadków podłączy znaleziony nośnik danych do swojego komputera, infekując w ten sposób własne urządzenie.

Niektóre rootkity użytkownik instaluje w pełni świadomie na przykład po to, aby monitorować pracę pracowników. Jeszcze inne są dostarczane wraz z komercyjnym oprogramowaniem w systemie PPI (pay-per-install). Działa to podobnie do afiliacji, jednak płatność za promowanie odbywa się po zainstalowaniu dodatkowego oprogramowania, w którym często kryje się właśnie rootkit.

Duża część sposobów instalacji została opisana już wyżej – podczas analizy typów rootkitów. Musisz pamiętać, że rootkit bardzo często tworzy zaszyfrowany i całkowicie niewidoczny system plików, w którym ukrywa kopie zainfekowanych plików albo inne złośliwe oprogramowanie (na poziomie jądra). Dodatkowo potrafi modyfikować standardowe narzędzia bezpieczeństwa i antywirusy, co czyni go jeszcze bardziej nieuchwytnym.

Jak wykryć rootkita?

Wykryć rootkita jest niesamowicie trudno – właśnie ze względu na to, że potrafi skutecznie ukrywać się przed wszystkimi programami wykrywającymi zagrożenie, a nawet je modyfikować. Ma to bezpośredni związek z poziomami na jakich działa rootkit i program mający na celu jego odnalezienie.

Jeżeli rootkit działa na poziomie z większymi przywilejami niż program szukający go, praktycznie nie ma szans na powodzenie takich poszukiwań – oczywiście pod warunkiem, że rootkit prawidłowo wykorzystuje swoje uprawnienia.

Poszukiwanie rootkita na już zainfekowanym systemie na poziomie jądra, praktycznie nie przynosi żadnych rezultatów. Wszelkie detektory rootkitów będą w stanie odkryć tylko te, które z jakiś przyczyn zostały uszkodzone, błędnie napisane lub działają na niższych poziomach niż oprogramowanie wykrywające w jądrze.

Do wykrywania rootkitów najczęściej wykorzystuje się:

  • metody behawioralne – czyli porównywanie wzorców szkodliwego zachowania z zachowaniami systemu. Mogą pojawić się zmiany czasów w wykorzystaniu procesora albo pomiędzy zapytaniami API. Część rootkitów ma bardzo duży wpływ na te zmiany, dlatego ta metoda jest jedną z łatwiejszych do przeprowadzenia, ale jednocześnie jedną z uzyskujących najwięcej fałszywych wyników;

Po aktualizacji zabezpieczeń Windowsa, rootkit Alureon wywoływał awarię systemu – ta aktualizacja ujawniła błąd w kodzie projektowym, pozwalając na jego wykrycie.

  • skanowanie sygnatur – wykorzystywane przez antywirusy do wykrywania malware. Wyodrębnione przez badaczy złośliwe kody dodawane są do bazy i antywirus – skanując dysk – poszukuje znanych mu sygnatur (będących w bazie). Skanowanie sygnatur jest więc skuteczne tylko w przypadku już kiedyś oznaczonych rootkitów;  
  • skanowanie różnic (porównanie krzyżowe) – polega na porównaniu surowych, nieskażonych danych z potencjalnie zainfekowaną treścią jaką zwraca API. Zwykle porównuje się zapisy binarne na dysku z ich kopiami znajdującymi się w pamięci operacyjnej lub rejestr systemu Windows z odpowiadającymi im strukturami fizycznymi dysku. Część rootkitów potrafi jednak odkryć ten sposób poszukiwań i dopasować do siebie wyniki skanowania, co uniemożliwia ich wykrycie;

Opisany już wcześniej skandal z udziałem Sony BMG, został wykryty przez RootkitRevealer właśnie dzięki porównaniu krzyżowemu.

  • podpięcie alternatywnego i sprawdzonego systemu – to zdecydowanie najlepsza metoda wykrywania rootkitów na poziomie systemu operacyjnego. Wymaga wyłączenia komputera, podłączenia zaufanego nośnika np. USB lub CD-ROM, na którym znajduje się system rozruchowy i dokonania przeglądu dysku, który podejrzewamy o zainfekowanie. Skuteczność tej techniki wynika z braku aktywności rootkita podczas poszukiwań – jeśli zainfekowany komputer nie jest uruchomiony, rootkit także pozostaje uśpiony;
  • pełną analizę zrzutu pamięci wirtualnej lub zrzutu jądra systemu – jest bardzo trudna do przeprowadzenia, jednak skuteczna – duża część rootkitów nie da rady się schować. Niektóre rootkity działające na poziomie hipernadzorcy mogą jednak wykryć próbę wykonania zrzutu pamięci;
  • sprawdzenie integralności – ma na celu sprawdzenie czy moduły w folderze instalacyjnym aplikacji nie są zmodyfikowane lub uszkodzone. Moduł zostaje zakwalifikowany jako uszkodzony, jeżeli jego podpis cyfrowy nadany przez wydawcę oprogramowania jest nieprawidłowy. Pozwala to odkryć nieautoryzowane zmiany kodu w bibliotekach na dysku. Ta metoda jest skuteczna jednak tylko w przypadku zmian, jakie zostały dokonane po instalacji aplikacji.

Jak usunąć rootkit?

Możesz próbować samodzielnie wytropić rootkita i wykorzystać ręczne sposoby jego usunięcia, które niestety są bardzo czasochłonne i wymagają specjalistycznej wiedzy. Całe szczęście wiele znanych i popularnych antywirusów zostało wyposażonych w systemy anti-rootkit. Możemy polecić rozwiązania stosowane przez Bitdefender, Kaspersky czy też Norton 360.

Jeżeli jednak program antywirusowy nie będzie w stanie usunąć zagrożenia, możesz skorzystać z programów wycelowanych specjalnie w rootkity. Przykładem takiego programu dla systemu Windows jest wspomniany już wcześniej Rootkit Revealer, Gmer wykorzystywany przez Avast Antivirus, TDSSKiller od Kaspersky’ego lub E-Secure BackLight.

Inne systemy też nie pozostały bez ochrony. Dla systemów Linux i MacOS powstał między innymi chkrootkit, rkhunter (dla UNIXa) i ESET Mac Rootkit Detector Beta.

Problem jednak zawsze będzie przypominać odwieczną walkę dobra ze złem. Im skuteczniejszy program wykrywający rootkity, tym bardziej ich twórcy skupiają się na takiej zmianie kodu, aby znów stać się nieuchwytnym.

Rootkity, które atakują najważniejszy element systemu – jądro – są praktycznie niemożliwe do usunięcia lub proces ten jest bardzo, ale to bardzo skomplikowany. Zwykle kończy się na skasowaniu całego dysku i konieczności ponownej instalacji systemu operacyjnego, koniecznie z zaufanego źródła.

W miarę ewolucji systemów operacyjnych rootkitom poświęca się coraz większą uwagę. I tak w Windowsie 64-bitowym zostało wdrożone obowiązkowe oznaczanie sterowników znajdujących się na poziomie jądra. Ten zabieg ma na celu utrudnienie wszczepienia obcego kodu na najwyższym poziomie systemu. Microsoft stworzył też narzędzia do usuwania rootkitów: Microsoft Windows Malicious Software Removal Tool – dokonuje skanu komputera jeszcze przed uruchomieniem systemu; Windows Defender Offline – tworzy specjalne środowisko jeszcze przed uruchomieniem systemu, próbując wykryć obecność rootkitów.

Sposoby ochrony przed rootkitami

Nie od dziś wiadomo, że “lepiej zapobiegać niż leczyć” i ma to zastosowanie nie tylko w profilaktyce zdrowotnej, ale także w ochronie sprzętu komputerowego i mobilnego. Pamiętali o tym też sami twórcy oprogramowania systemowego.

W 2009 roku Uniwersytet w Północnej Karolinie we współpracy z firmą Microsoft stworzył anty-rootkit dla poziomu hipernadzorcy – “Hooksafe”. Jego zadaniem była ogólna ochrona przed rootkitami celującymi nawet w jądro systemu.

Wraz z pojawieniem się Windowsa 10, pojawiła się nowa funkcja: “Device Guard”, która korzysta z procesów wirtualizacji, dla zapewnienia niezależnej, zewnętrznej ochrony przed rootkitami.

Nie ma jednak skuteczniejszego sposobu niż dobry program antywirusowy z anti-rookitem. Śmiało możesz wybierać z rozwiązań proponowanych przez Norton 360, Kaspersky, Bitdefender, Eset czy też Panda.

Rootkity są przebiegłe i aby się przed nimi obronić, musisz też zwrócić uwagę na swoje zachowania w sieci:

  • unikaj podejrzanych stron, otwierania niepewnych linków i załączników z wiadomości e-mail od nieznanych nadawców;
  • uważaj na darmowe programy, a już w szczególności na pirackie wersje gier, muzyki i filmów dostępne w sieci;
  • gdy tylko się pojawią, wykonuj aktualizacje systemu;
  • nie udzielaj pełnego dostępu do urządzenia wszystkim instalowanym aplikacjom – często nie jest to potrzebne;
  • korzystaj z firewalla, programów antywirusowych i skanerów rootkitów;
  • od czasu do czasu wykonuj testy bezpieczeństwa;
  • staraj się korzystać z systemów podwójnego uwierzytelniania.

Problem rootkitów nie jest zarezerwowany tylko dla wybranych grup użytkowników – jest wymierzony praktycznie w każdego z nas. Dlatego tak ważne jest dbanie o bezpieczeństwo zarówno laptopów i komputerów stacjonarnych, jak i urządzeń mobilnych. Nikt przecież nie chce być podglądany. A im więcej wiesz o potencjalnym zagrożeniu, tym łatwiej będzie Ci się przed nim bronić.

Historia rootkitów – czyli skąd się wzięły?

Historia rootkitów rozpoczęła się w latach 80. ubiegłego wieku. Właściwie można powiedzieć, że ich szablon stworzył Ken Thompson pracujący w Bell Labs, który był też jednym z twórców systemu UNIX.

W 1972 roku UNIX został przepisany na z języka B na język C – wymyślony przez Thompsona. Tak więc jądro UNIXa pracowało w języku C. Ken Thompson w 1983 roku przedstawił exploita – czyli program wykorzystujący istniejące błędy w oprogramowaniu – którego celem była możliwość m.in. logowania do systemu bez ujawnienia złośliwego kodu, czyli podczas kompilacji wprowadzanego żądania na język C. Działo się to za pośrednictwem zmodyfikowanego kompilatora – programu, który automatycznie tłumaczy kod języka źródłowego, na taki sam kod w innym języku.

Poddany modyfikacjom kompilator wykrywał próbę skompilowania (przetłumaczenia) komendy wydanej systemowi UNIX przez użytkownika i generował zmieniony kod. Kod akceptował poprawnie wprowadzone przez użytkownika hasło i jednocześnie dodatkowe hasło typu “backdoor” podane przez hakera.

Ponadto zmodyfikowany kompilator miał bezpośredni wpływ na wszystkie aktualizacje oryginalnego kompilatora i wstawiał w niego te same exploity. Przeglądanie kodu źródłowego logowania i kodu zaktualizowanego kompilatora nie dawało zupełnie nic – złośliwy kod był niewidoczny, a mimo to przechwytywał informacje. Rootkit działa na zasadzie podobnej do tego exploita. 

I tak pierwszy udokumentowany wirus na komputery IBM-PC pracujący na systemie DOS (1986 r.) – Brain – korzystał właśnie z takiej techniki ukrywania się. Atakował on sektor rozruchowy, przechwytując próby jego odczytania i przekierowywał je w miejsce, w którym była przechowywana kopia oryginalnego sektora rozruchowego. Rozprzestrzeniał się za pomocą niezabezpieczonych dyskietek.

Oczywiście płynący czas sprzyjał rozwojowi sposobów maskowania wirusów w DOSie, między innymi dzięki przechwytywaniu informacji na najniższych poziomach dysku – INT 13H BIOS – poprzez przerywanie połączenia po to, aby ukryć nieautoryzowaną modyfikację plików.

Wszystkie te modyfikacje były namiastką dla rootkitów znanych dzisiaj:

  • pierwszy rootkit dla Windowsa NT powstał w 1999 r. – trojan NTRootkit autorstwa G. Hoglunda;
  • w 2003 r. pojawił się rootkit nazwany HackerDefender;
  • pierwszy rootkit na system MacOS pojawił się w 2009 roku.

Powstanie rootkitów przyczyniło się do wybuchu wielu skandali na światową skalę. Jednym z nich było odkrycie w 2005 roku przez inżyniera oprogramowania – Marka Russinovicha – rootkita w oprogramowaniu Extended Copy Protection autorstwa First 4, opublikowanego na płytach CD przez Sony BMG. Jednym z elementów oprogramowania był odtwarzacz muzyki, a sam program miał na celu ochronę przed kopiowaniem i cyfrowym zarządzaniem prawami autorskimi. Wtedy Russinovich opracował narzędzie do wykrywania rootkitów – RootkitRevealer – które na jednym z komputerów odkryło, że odtwarzacz muzyki instaluje się wraz z rootkitem ograniczającym użytkownikowi dostęp do płyty CD. Niedługo po tym odkryciu hakerzy zaczęli atakować zainfekowane rootkitem systemy. Było to w sumie pierwsze wydarzenie na tak szeroką skalę, które znacząco podniosło świadomość użytkowników o niebezpieczeństwach związanych z rootkitami. Co prawda Sony BMG dość szybko wydało aktualizację, której zadaniem było odinstalowanie rootkita, jednak przyniosło to skutek odwrotny do zamierzonego. Użytkownicy byli jeszcze bardziej narażeni na ataki. W USA wytoczono nawet zbiorowy proces przeciwko Sony BMG.   Kolejnym przykładem może być głośna afera, zwana grecką Watergate. Dotyczyła nielegalnego podsłuchiwania ponad 100 telefonów komórkowych działających w sieci Vodafone Greece, wykorzystywanych głównie przez najwyższych urzędników państwowych. Proceder podsłuchiwania rozpoczął się mniej więcej w sierpniu 2004 roku i trwał do marca 2005 roku – autorzy podsłuchu nie zostali jednak zidentyfikowani. Rootkit atakował tutaj centralę telefoniczną AX firmy Ericsson. Oprogramowanie mogło monitorować aktywność procesów, przepływ danych i miało dostęp do haseł i loginów. Jego obecność została wykryta dopiero przez błąd w aktualizacji rootkita, który zablokował możliwość wysyłania SMSów. Usterki masowo zgłaszane do Ericssona pozwoliły odkryć obecność nielegalnego oprogramowania podsłuchującego wraz rootkitem oraz ukrytymi blokami danych z listą monitorowanych numerów telefonów.