Wirtualne napędy z rootkitami?

Daniel Cieślak

Mark Russinovich, znany specjalista ds. zabezpieczeń, poinformował w swoim blogu, że dwa popularne programy do emulowania napędów optycznych - Alcohol oraz Daemon Tools - wykorzystują narzędzia, które bardzo przypominają osławione rootkity. Oznacza to, że aplikacje te ukrywają część swoich komponentów lub funkcji przed użytkownikiem komputera oraz innymi aplikacjami - za podobne działania koncern Sony Music został ostro skrytykowany przez opinię publiczną.

Alcohol i Daemon Tools to popularne emulatory CD - umożliwiają one użytkownikowi komputera stworzenie wirtualnego napędu optycznego, czyli folderu z danymi, który będzie rozpoznawany przez system jako dodatkowy napęd CD lub DVD. Jest to szczególnie przydatne np. podczas uruchamiania gier, które wymagają umieszczenia płyty CD w napędzie - dzięki wirtualnym napędom użytkownik nie musi wciąż zmieniać płyt (co jest szczególnie uciążliwe gdy gra wydana jest na kilku nośnikach). Zwolennikami takich aplikacji nie są niestety producenci gier, którzy z reguły traktują je jako narzędzia do nieautoryzowanego kopiowania gier - dlatego też stosują na nośnikach przeróżne systemy, mające uniemożliwić skopiowanie zawartości płyty do wirtualnego napędu. Nic więc dziwnego, że producenci emulatorów CD obmyślają coraz sprytniejsze sposoby obejścia zabezpieczeń, stosowanych przez wydawców gier... Okazało się, że twórcy aplikacji Alcohol i Daemon Tools postanowili wykorzystać w tym celu narzędzia niezwykle przypominające rootkity.

Jak walczyć z rootkitami?

Rootkity to nowa generacja "szkodliwego oprogramowania". Ich siłą jest fakt, iż potrafią skutecznie ukrywać złośliwe oprogramowanie przed antywirusami i narzędziami systemowymi. Nie znaczy to jednak, że nie da się ich wykryć - szczegółową instrukcję znaleźć można w tekście "Rootkit - wykryj niewykrywalne".

Odkrył to Mark Russinovich - ekspert ds. zabezpieczeń, który kilka miesięcy temu dowiódł, że z rootkitów korzysta oprogramowanie mające zabezpieczać płyty CD Audio firmy Sony Music przed nieautoryzowanym kopiowaniem (o konsekwencjach tego odkrycia pisaliśmy m.in. w tekście "DRM Sony na śmietniku historii?"). Russinovich poinformował w swoim blogu, że z jego analiz wynika, że pewne komponenty programów Alcohol i Daemon Tools ukrywają się w systemie operacyjnym - podobnie jak rootkity. Ekspert odkrył m.in., że wpisy umieszczone w Rejestrze przez Alcohol sugerują, że aplikacja znajduje się w innym folderze niż w rzeczywistości. Podobne mechanizmy występują także w Daemon Tools - wykryto je przy pomocy aplikacji RootkitRevealer.

Russinovich zastrzega jednak, że wykorzystanie takich narzędzi niekoniecznie świadczy o złych intencjach twórców emulatorów. Jego zdaniem, owe "rootkitopodobne" metody służą do ukrywania wirtualnego napędu przed systemami zabezpieczającymi gry i raczej nie stworzono ich z myślą o wprowadzaniu w błąd użytkownika. Potwierdzeniem owej tezy ma być m.in. fakt, iż oba programy można bez problemu odinstalować z poziomu menu Dodaj/Usuń Programy.

Nie oznacza to jednak, że Mark Russinovich pochwala wykorzystywanie rootkitów - "Nie ma żadnego dowodu, że Alcohol i Daemon Tools wykorzystują rootkity do naruszania zabezpieczeń DRM. Jeśli jednak tak jest, to jest to po prostu nieetyczne - a być może stanowi to nawet naruszenie ustawy US Digital Millennium Copyright Act (DMCA). Niezależnie od tego podtrzymuję swoje wcześniejsze stanowisko - ani te, ani żadne inne produkty nie powinny wykorzystywać rootkitów" - tłumaczy ekspert.

Komentuje Michał Jarski z polskiego oddziału firmy Internet Security Systems:

Michał JarskiZgodziłbym się z Markiem Russinovichem - w tym konkretnym przypadku zastosowanie rootkitów nie świadczy o złych intencjach twórców programów Alcohol i Daemon Tools, ponieważ wykorzystano je w celu ułatwienia życia użytkownikom. Chodzi przecież o to, by bez problemu mogli korzystać z wirtualnych napędów podczas grania w ulubione gry. W przypadku koncernu Sony Music sytuacja była zupełnie inna - on wykorzystywał rootkity do ograniczenia uprawnień użytkownika. Nie oznacza to jednak, że pochwalam stosowanie rootkitów w popularnych aplikacjach - moim zdaniem to pewien błąd w sztuce programowania, takie "pójście na skróty". Oczywiście, dla autorów programów najprostszym sposobem na obejście systemów zabezpieczających gry było ukrycia emulatora - problem w tym, że, moim zdaniem, w systemie operacyjnym nic nie powinno być ukrywane przed narzędziami diagnostycznymi. Może się bowiem zdarzyć, że ktoś zechce wykorzystać owe rootkity do ukrycia innych, niebezpiecznych programów - np. wirusów lub koni trojańskich. Dość łatwo wyobrazić sobie taki scenariusz - tym bardziej, że zarówno Alcohol, jak i Daemon Tools to bardzo popularne aplikacje. Jakiś autor wirusów może uznać, że społeczność graczy jest odpowiednio duża, by wykorzystać ich komputery do stworzenia kolejnego botnetu - wystarczy, że stworzy on np, nowy mod do popularnej gry, w którym ukryty będzie wirus korzystający z tego samego rootkitu.

Więcej informacji na ten temat można znaleźć w blogu Marka Russinovicha.