Může VPN chránit před rootkitem?

Ne přímo. VPN šifruje provoz mezi vaším zařízením a VPN serverem, ale rootkit operuje přímo na vašem zařízení — před šifrováním i po dešifrování. Rootkit může zachytit data, odcizit přihlašovací údaje a deaktivovat VPN klienta, aniž by VPN sama o sobě byla schopna cokoliv z toho odhalit nebo zabránit.

Jak poznám, že mám rootkit?

To je právě záludné — rootkity jsou navrženy tak, aby zůstaly skryté. Může se však projevit neobvyklé chování systému, jako je neočekávaná síťová aktivita, zpomalení výkonu nebo bezpečnostní nástroje, které přestaly správně fungovat. Nejspolehlivější metodou odhalení je offline skenování ze zaváděcího externího disku, protože mnoho rootkitů dokáže oklamat skenery spuštěné přímo na infikovaném systému.

Odstraní reinstalace Windows nebo macOS rootkit?

Záleží na typu rootkitu. Rootkity v uživatelském režimu a v režimu jádra přeinstalace OS obvykle odstraní. Bootkit rootkity infikující MBR mohou přežít přeinstalaci OS, pokud není přepsán bootovací sektor. Firmwarové rootkity uložené v BIOSu, síťové kartě nebo jiném hardwaru mohou přežít dokonce i výměnu pevného disku a k jejich odstranění je nutná aktualizace firmwaru nebo výměna hardwaru.

Jsou rootkity běžné, nebo jde o vzácnou hrozbu?

Rootkity jsou méně rozšířené než jiné formy malwaru, jako jsou ransomware nebo adware, avšak jsou obzvláště nebezpečné, když se vyskytnou. Bývají spojovány se sofistikovanými útočníky — včetně státních aktérů — a cílí na vysoce hodnotné cíle, jako jsou novináři, aktivisté, podniky a vládní subjekty. Průměrný uživatel se s nimi setká méně pravděpodobně, ale vzhledem k jejich závažnosti je prevence vždy lepší než snaha o nápravu.

Rootkit

Rootkit: Neviditelná hrozba skrývající se ve vašem systému

Co je rootkit?

Rootkit patří mezi nejnebezpečnější a nejzákeřnější formy malwaru vůbec. Na rozdíl od typického viru, který na sebe upozorní zjevnými poruchami, je rootkit navržen specificky tak, aby zůstal skrytý. Jeho jediným účelem je poskytnout útočníkovi trvalý, hluboký přístup k vašemu zařízení — aniž byste o tom kdy věděli.

Název pochází ze slova „root", které označuje nejvyšší úroveň administrátorských oprávnění v systémech založených na Unixu, a „kit", tedy sadu nástrojů použitých k jeho dosažení. Rootkit dohromady útočníkovi umožňuje přístup na úrovni roota, přičemž skrývá veškeré stopy jeho činnosti.

Jak rootkit funguje?

Rootkity fungují tak, že se zakoření hluboko ve vašem systému, často na úrovni pod běžnými aplikacemi — a někdy dokonce i pod samotným operačním systémem. Existuje několik typů:

Rootkity v uživatelském režimu fungují na úrovni aplikací. Zachycují systémová volání a manipulují s výsledky, které operační systém vrací bezpečnostnímu softwaru, čímž zneviditelňují škodlivé procesy.
Rootkity v režimu jádra operují uvnitř jádra operačního systému. Jsou mnohem nebezpečnější, protože mají stejnou úroveň důvěryhodnosti jako samotný OS, což jim umožňuje měnit základní chování systému.
Rootkity typu bootkit infikují Master Boot Record (MBR) a načítají se ještě před spuštěním operačního systému. To je činí mimořádně obtížně odhalitelnými i odstranitelelnými.
Firmwarové rootkity se zabudují do firmwaru hardwaru — například síťové karty nebo BIOSu. Přežijí kompletní přeinstalaci OS i výměnu pevného disku.
Hypervisorové rootkity leží zcela pod operačním systémem a provozují legitimní OS jako virtuální stroj, přičemž si udržují neviditelnou kontrolu.

Rootkity se do systému typicky dostanou prostřednictvím phishingových e-mailů, škodlivých stažených souborů, zneužitých zranitelností softwaru nebo útoků na dodavatelský řetězec. Po instalaci upravují OS tak, aby skryl jejich soubory, procesy a síťová připojení před každým nástrojem spuštěným na daném zařízení.

Proč je to důležité pro uživatele VPN?

Právě zde nastávají vážné obavy. VPN chrání váš provoz při přenosu — šifruje data mezi vaším zařízením a VPN serverem. Rootkit však operuje na vašem zařízení, ještě před samotným šifrováním.

Pokud je ve vašem systému nainstalován rootkit, útočník může:

Zachytit vaše VPN přihlašovací údaje dříve, než budou zašifrovány, čímž získá přístup k vašemu VPN účtu
Zaznamenávat stisky kláves a aktivitu na obrazovce, vidět vše, co píšete, včetně hesel, zpráv a finančních údajů
Zachytit dešifrovaný provoz poté, co opustí VPN tunel a dorazí do aplikační vrstvy vašeho zařízení
Tiše deaktivovat kill switch nebo VPN klienta, čímž odhalí vaši skutečnou IP adresu bez spuštění jakýchkoli upozornění
Přesměrovat DNS dotazy nebo upravit síťová nastavení pod úrovní VPN, což způsobí DNS úniky, aniž by si toho VPN software byl vědom

Stručně řečeno, rootkit zcela podkopává bezpečnostní model, na kterém VPN stojí. VPN předpokládá, že zařízení, na kterém běží, je důvěryhodné. Rootkit tento předpoklad ničí.

Příklady z reálného světa

V roce 2005 Sony BMG nechvalně proslulo tím, že distribuovalo hudební CD, která na počítačích s Windows instalovala rootkit k vynucení DRM — skrýval se před operačním systémem a vytvářel závažné bezpečnostní zranitelnosti, které později zneužil další malware. V nedávné době nasadili sofistikovaní státní aktéři firmwarové rootkity proti novinářům, aktivistům a vládním cílům — právě těm lidem, kteří se při ochraně soukromí silně spoléhají na VPN.

Jak se chránit

Udržujte OS, firmware a veškerý software aktuální, aby se zranitelnosti uzavřely dříve, než je rootkity mohou zneužít
Používejte renomované nástroje pro zabezpečení koncových bodů, které zahrnují detekci rootkitů (nejen standardní antivirus)
Spusťte systém z důvěryhodného externího disku a provádějte offline skenování — mnoho rootkitů dokáže oklamat skenery běžící přímo na zařízení
K infekci firmwarovým rootkitem přistupujte jako k situaci, která může vyžadovat výměnu hardwaru
Buďte obezřetní: vyhýbejte se podezřelým stahováním, zapněte dvoufaktorové ověřování a neklikejte na neznámé odkazy

VPN je mocný nástroj na ochranu soukromí, ale zabezpečení zařízení je základem, na kterém stojí. Kompromitované zařízení znamená kompromitované soukromí — bez výjimky.

RootkitExpert