Один в поле воин

Именно он первым обнаружил rootkit в защите от копирования компакт-дисков компании Sony

В октябре прошлого года Марк Руссинович обнаружил, что, не предавая это широкой огласке, Sony BMG Music Entertainment использует rootkit, предназначенный для защиты авторских прав на выпускаемые компанией компакт-диски. ИТ-собщество выразило свое возмущение этим фактом (проявившееся, в частности, в обращении в суд), а Руссинович приобрел неожиданную для себя известность. Иски к Sony были урегулированы, но эксперты считают, что угроза распространения rootkit постоянно растет. Один из основателей компании Winternals Software Марк Руссинович ответил на вопросы старшего редактора еженедельника Network World Элен Месмер.

Существует ли общепринятое определение rootkit?

Общепринятого формального определения нет, но я под rootkit понимаю любое решение, которое скрывает те или иные программные объекты от стандартных средств управления или администрирования защиты.

Несмотря на то, что rootkit, которые используют хакеры, безусловно, вещь неприемлемая, кое-кто утверждает, что их можно применять в коммерческом программном обеспечении для благих целей. Что по этому поводу думаете вы?

«Хороших» rootkit не существует. Они изменяют способ работы операционной системы, и это прибавляет забот человеку, управляющему системой. Скрытые объекты могут создавать уязвимые места в защите системы, как это и было в случае с rootkit корпорации Sony.

Марк Руссинович: «В общем-то, я зарабатываю не на том, чтобы находить изъяны в программных продуктах и докладывать об этом в полицию»

Насколько распространены rootkit, созданные с откровенно неблаговидными целями?

Сейчас rootkit используются достаточно часто. И все чаще и чаще вместе с ними распространяются вирусы. Кстати, самый первый вирус на ПК получил название Brain, и это был именно rootkit, «пропускавший» хитроумный вирус.

Существует ли гарантированный способ найти все rootkit?

Стопроцентного «лекарства» не существует.

Почему так сложно избавиться от rootkit?

Проблема состоит в том, что способов «расширить» операционную систему, изменив ее поведение, слишком много. Невозможно различить «плохие» и «хорошие» расширения. От этого страдают все компоненты ОС. Если у вас есть один экземпляр вредоносного кода, который выполняется на машине, следует признать, что вы утратили контроль над ней.

Что происходило, когда Вы написали в своем блоге об обнаружении rootkit, который Sony BMG использовала для своих компакт-дисков?

Практически через шесть часов после моей публикации эта информация появилась на Slashdot (популярный информационный технологический блог. — Прим. ред.), а в последующие несколько дней — и во всех СМИ. В конце концов, я выступал в качестве эксперта в суде при рассмотрении первого группового иска против Sony, представив свое заключение.

Где Вы обнаружили этот rootkit?

Я случайно купил компакт-диск. В общем-то, я зарабатываю не на том, чтобы находить изъяны в программных продуктах и докладывать об этом в полицию. Но в этом случае мне захотелось разобраться, с чем связаны некоторые странности в поведении Windows.

А что произошло в начале нынешнего года, когда Вы обвинили Symantec в применении технологии rootkit в ее программном продукте SystemsExpert?

Я не считаю, что данный случай аналогичен ситуации с Sony. Корпорация Sony устанавливала свой rootkit без ведома пользователей, причем этим ограничивала их действия. Что касается Symantec, они считали, что могли бы помочь пользователям, но совершили ошибку, признали и исправили ее.

Почему Вы не продаете свою условно бесплатную программу Rootkit Revealer?

Потому что не считаю возможным брать деньги за решение, которое не способно гарантированно все обнаружить.

Существует ли какая-нибудь другая компания, которая занимается этой проблемой?

Насколько мне известно, нет. Вывод следующий: не верьте в то, что вы можете очистить свой компьютер от rootkit. Вы должны предполагать самое худшее. Лично я советую удалить систему и поставить все с самого начала. Причем вы должны сделать это вручную.

Какой подход избрали в Вашей компании для борьбы с rootkit?

Мы создали программное обеспечение с элементами контроля приложений. Этот инструментарий использует механизм политик, определяющий, какие именно программы может выполнять пользователь. Это способ предотвратить выполнение неизвестных приложений в стандартной операционной системе.

Расскажите о ситуации с обнаружением rootkit, созданных чешским разработчиком, называющим себя Holy Father. Он, насколько известно, продавал «золотые» версии своих rootkit за сотни долларов…

Я никогда напрямую не общался с Holy Father. Он на своем сайте заявлял, что Rootkit Revealer не способен обнаружить его «золотой» rootkit. Это было интригующее соперничество. И он сдался. Мы предложили Rootkit Revealer широкой публике, чтобы уничтожить его довольно простые rootkit, но «золотые» версии он предлагал только своим клиентам.

Почему Ваше внимание привлекли именно rootkit?

Я занимался операционными системами и сталкивался с rootkit для Unix еще в середине 90-х. Говоря в общем, rootkit искажает обычную работу операционной системы. В своей диссертации «Прозрачная отказоустойчивость приложений» (Application Transparent Fault Tolerance), которую я защитил в 1994 году в Университете Карнеги-Меллона, я описал некоторые средства операционной системы, которые могут использовать rootkit. Позже одним из инструментов, написанных мной для Windows, стал Regmon, поскольку контролировать работу регистров мы не умели всего лишь несколько лет назад. Методы использования возможностей операционной системы, которые мы опубликовали в 1996 году в журнале Dr. Dobb?s Journal, были простыми средствами перехватывать события операционной системы. Я всегда следил за тем, что происходит в сфере разработки, например, на Rootkit.com. Однако именно rootkit корпорации Sony привлек к себе столь широкое внимание, поэтому в марте мы предложили Rootkit Revealer на одном из сайтов с условно бесплатными программами. В нем использовалось перекрестное сравнение для анализа системы на базе информации об API.