Može li VPN zaštititi od rootkita?

Ne direktno. VPN šifrira promet između vašeg uređaja i VPN poslužitelja, ali rootkit djeluje na samom uređaju, prije nego što šifriranje nastupi. Ako je rootkit prisutan, može presresti podatke, snimati pritiske tipki i onemogućiti VPN klijent — sve to bez vašeg znanja. VPN ne može nadoknaditi kompromitiran uređaj.

Kako mogu znati je li moj uređaj zaražen rootkitom?

Rootkitovi su dizajnirani da budu nevidljivi, što ih čini teškima za otkrivanje standardnim alatima. Mogući znakovi upozorenja uključuju neobično sporo ponašanje sustava, neočekivane mrežne aktivnosti ili sigurnosni softver koji iznenada prestaje raditi. Specijalizirani skeneri rootkitova — posebno oni koji rade izvan mreže s pouzdanog vanjskog diska — pouzdaniji su od standardnih antivirusnih programa.

Je li rootkit isto što i virus ili trojanac?

Nisu isto, ali mogu se preklapati. Virus se sam replicira, trojanac se maskira kao legitimni softver, a rootkit je specijaliziran za skrivanje i za pružanje trajnog privilegiranog pristupa. Rootkit može biti isporučen putem trojanca ili virusa, ali njegova posebna karakteristika je sposobnost prikrivanja i postojanosti — a ne sama infekcija.

Može li reinstalacija operacijskog sustava ukloniti rootkit?

Ponekad, ali ne uvijek. Rootkitovi korisničkog načina rada i načina rada jezgre obično se uklanjaju reinstalacijom OS-a. Međutim, bootkit i rootkitovi firmvera mogu preživjeti reinstalaciju OS-a — pa čak i zamjenu tvrdog diska — jer su ugrađeni u dublje slojeve hardvera poput BIOS-a ili firmvera mrežne kartice. U takvim slučajevima može biti potrebna zamjena hardvera.

Rootkit

Rootkit: Nevidljiva prijetnja skrivena u vašem sustavu

Što je rootkit?

Rootkit je jedan od najopasnijih i najskrivenijih oblika zlonamjernog softvera koji postoji. Za razliku od tipičnog virusa koji se otkriva očitim smetnjama, rootkit je posebno konstruiran da ostane skriven. Njegova jedina svrha je napadaču osigurati trajan, dubok nadzor nad vašim uređajem — a da vi nikada ne saznate da su tamo.

Naziv potječe od riječi „root", koja označava najvišu razinu administrativnih privilegija u Unix sustavima, i „kit", što znači skup alata koji se koriste za njihovo ostvarivanje. Zajedno, rootkit napadaču dodjeljuje pristup na razini roota, istovremeno skrivajući svaki trag njihove aktivnosti.

Kako rootkit funkcionira?

Rootkitovi djeluju tako što se duboko ugrađuju u vaš sustav, često na razini ispod uobičajenih aplikacija — a ponekad čak i ispod samog operacijskog sustava. Postoji nekoliko vrsta:

Rootkitovi u korisničkom načinu rada rade na razini aplikacija. Presreću sistemske pozive i manipuliraju rezultatima koje OS vraća sigurnosnom softveru, čineći zlonamjerne procese nevidljivima.
Rootkitovi u načinu rada jezgre djeluju unutar jezgre operacijskog sustava. Ovi su daleko opasniji jer imaju istu razinu povjerenja kao i sam OS, što im omogućuje mijenjanje temeljnog ponašanja sustava.
Bootkit rootkitovi zaraze Master Boot Record (MBR), učitavajući se prije nego što operacijski sustav uopće pokrene. To ih čini iznimno teškima za otkrivanje ili uklanjanje.
Rootkitovi firmvera ugrađuju se u firmver hardvera — poput mrežne kartice ili BIOS-a. Mogu preživjeti potpunu reinstalaciju OS-a, pa čak i zamjenu tvrdog diska.
Hypervisor rootkitovi nalaze se potpuno ispod operacijskog sustava, pokrećući legitimni OS kao virtualnu mašinu dok održavaju nevidljivi nadzor.

Rootkitovi obično dolaze putem phishing poruka e-pošte, zlonamjernih preuzimanja, iskorištenih ranjivosti softvera ili napada na lanac opskrbe. Nakon instalacije, zakrpaju OS kako bi sakrili svoje datoteke, procese i mrežne veze od svakog alata koji se izvodi na stroju.

Zašto je ovo važno za VPN korisnike?

Upravo ovdje stvari postaju ozbiljno zabrinjavajuće. VPN štiti vaš promet u prijenosu — šifrira podatke između vašeg uređaja i VPN poslužitelja. No rootkit djeluje na vašem uređaju, prije nego što šifriranje uopće nastupi.

Ako je rootkit instaliran na vašem sustavu, napadač može:

Snimiti vaše VPN vjerodajnice prije nego što budu šifrirane, čime dobiva pristup vašem VPN računu
Bilježiti pritiske tipki i aktivnost zaslona, vidjevši sve što tipkate, uključujući lozinke, poruke i financijske podatke
Presresti dešifrirani promet nakon što napusti VPN tunel i stigne do sloja aplikacija vašeg uređaja
Tiho onemogućiti kill switch ili VPN klijent, izlažući vašu pravu IP adresu bez pokretanja ikakvih upozorenja
Preusmjeriti DNS upite ili modificirati mrežne postavke ispod VPN-a, uzrokujući DNS curenje bez znanja VPN softvera

Ukratko, rootkit u potpunosti potkopava sigurnosni model na koji se VPN oslanja. VPN pretpostavlja da je uređaj na kojem se izvodi pouzdan. Rootkit uništava tu pretpostavku.

Primjeri iz stvarnog svijeta

Godine 2005., Sony BMG je nadaleko poznat po tome što je isporučivao glazbene CD-ove koji su instalirali rootkit na Windows računala radi provedbe DRM zaštite — skrivao se od OS-a i stvarao ozbiljne sigurnosne ranjivosti koje je kasnije iskoristio drugi zlonamjerni softver. U novije vrijeme, sofisticirani akteri prijetnji na državnoj razini rasporedili su rootkitove na razini firmvera protiv novinara, aktivista i državnih meta — upravo onih koji se uvelike oslanjaju na VPN za zaštitu.

Kako se zaštititi

Održavajte OS, firmver i sav softver ažuriranim kako biste zatvorili ranjivosti prije nego ih rootkitovi mogu iskoristiti
Koristite renomirane alate za zaštitu krajnjih točaka koji uključuju otkrivanje rootkitova (ne samo standardni antivirus)
Pokrenite sustav s pouzdanog vanjskog diska i izvršite preglede u izvanmrežnom načinu rada — mnogi rootkitovi mogu prevariti skenere na uređaju
Infekcije rootkitovima firmvera tretirajte kao potencijalnu situaciju koja zahtijeva zamjenu hardvera
Budite skeptični: izbjegavajte sumnjiva preuzimanja, omogućite dvofaktorsku autentifikaciju i ne klikajte na nepoznate poveznice

VPN je moćan alat za privatnost, no sigurnost uređaja temelj je na kojemu počiva. Kompromitiran uređaj znači kompromitiranu privatnost — bez iznimke.

RootkitNapredni