Rutkit

Rutkit (engl. rootkit) je softver koji omogućava privilegovan daljinski pristup računaru pri tome krijući svoje prisustvo od administratora, deluje na operativni sistem, utiče na njegovu funkcionalnost ili druge aplikacije. Termin rootkit je nastao spajanjem engleske reči „rut“ engl. root (tradicionalni naziv za nalog za privilegovan pristup juniks operativnim sistemima), i engleske reči „kit“ engl. kit - „komplet“ (komplet softverskih komponenti koje implementiraju alat). Termin „rootkit“ ima negativnu konotaciju jer se uglavnom vezuje za malver, odnosno „maliciozni“ softver.

Prstenovi bezbednosti računarskog sistema

Tipično, napadač instalira rutkit na računaru nakon zadobijanja prava na osnovni nivo pristupa, bilo korišćenjem poznatih slabosti operativnog sistema ili otkrivanjem lozinke (putem razbijanja enkripcije, ili putem socijalnog inženjeringa). Kada je rutkit instaliran, on omogućava napadaču da se sakrije u toku neovlašćenog pristupa i održava privilegovan pristup računaru zaobilaženjem normalne autentifikacije i mehanizama autorizacije. Na ovaj način rutkit može da posluži za različite ciljeve: da instalira i pokrene aplikacije koje troše računarske resurse ili ukrade lozinke, i na druge načine, bez znanja administratora i korisnika utiče ne sistem. Rutkit može da napadne i firmver, hipervizor sistema, jezgro, odnosno kernel sistema ili korisničke aplikacije.

Rutkit se teško može detektovati jer može biti u stanju da presretne i obori softver koji je namenjen da ga pronađe. Metode detekcije uključuju korišćenje alternativnih, poverljivih operativnih sistema; metoda zasnovanih na praćenju ponašanja sistema; skeniranje potpisa; skeniranje razlika i analizu stanja memorije. Uklanjanje može biti vrlo komplikovano ili praktično nemoguće, naročito u slučajevima kada rutkit boravi u jezgru sistema. Reinstalacija operativnog sistema, u takvim slučajevima, mogu biti jedino moguće rešenje problema.