Thursday, March 27, 2008

Microsoft, Anti-Rootkit Üreticilerini Satın Almaya Devam Ediyor

Microsoft , Sysinternals ile başlayan alımlara bir yenisini daha ekledi. Son olarak, donanım tabanlı Anti-Rootkit çözümleri üreten Komoku, Inc. firmasını satın aldı.

Komoku, CoPilot kod isimli PCI card olarak bilgisayara takılabilen ve işletim sisteminin hafızasını istenmeyen değişimlere karşı kontrol eden bir donanım.

CoPilot'a gücünü veren, onun kendi (CPU) işlemcisini kullanması ve hafızaya direk olarak DMA (Direct Memory Access) vasıtasıyla ulaşmasıydı. Hatta Rootkit raporlamada, yine kendi bünyesinde barındırdığı network sürücüsünü kullanıyor. Yani işletim sisteminden tamamen bağımsız monitör yapabiliyor. Bu da, günümüzde yapılmış olan hiçbir Rootkit filtresine takılmaması anlamına geliyor.

Microsoft, bundan önce de yazılım tabanlı en iyi AntiRootkit olarak bilinen RkUnhooker (Rootkit Unhooker) programını ve yazılım ekibini bünyesine katmıştı ama bu resmi olarak duyurulmadı.

Rootkit’ler, çok uzun zamandan beri bilinmesine rağmen, asıl olarak SONY DRM Rootkit hadisesinden sonra duyuldu.

SONY, kopya korumalı müzik CD’leri için ürettiği DRM (Digital Rights Management) programının sistemde gizlenebilmesi için Rootkit teknolojisini kullanmış ve bunu ilk olarak, Sysinternals’un kurucularından Mark Russinovich, yazdığı RootkitRevealer adlı AntiRootkit programı sayesinde bulmuş ve internette yazmıştı. SONY firması, yeni CD’lerde bu teknolojisini kaldırsa da ismini epeyi zedelemişti.

Microsoft, bu satın alımları aslında firma isimleri ya da programlar için değil, programları üreten beyinleri bünyesine katmak için gerçekleştiriyor. Aynen Symantec’in PartitionMagic’i satın alması gibi. Aslında Symantec’in istediği PartitionMagic programından ziyade argo tabiriyle Dosya Sisteminin (FileSytem) anatomisini yutmuş olan programcıları almaktı ve nitekim bunun sonucunda PartitionMagic de tarihe karıştı.

Her ne kadar bu sistemlerin Windows Live OneCare’i geliştirmek için alındığı söylense de, bizim düşüncemize göre Microsoft’un bu girişimlerdeki amacı; 64bit OS sürümlerinde, Rootkit’leri önlemek amacıyla geliştirdiği kernel hafızasını koruma altında tutan PatchGuard sistemini geliştirmek.

PatchGuard, 64bit XP ve Vista sistemlerde Windows çekirdek hafızasında Rootkit’ler tarafından modifiye edilebilecek hafıza alanlarını koruma altına alan bir arabirim.

PatchGuard, SSDT, GDT, IDT, SYSCALL, MSRs ve bunun yanında ntoskrnl.exe, win32k.sys, hal.dll gibi kernel bölgelerini değişmelere karşı izliyor ve bu bölgelerden birinde bir değişme olduğu taktirde KeBugCheckEx vasıtasıyla sistemi çökertiyor.

Evet, yanlış okumadınız ! Sistemi çökertiyor (BSOD).

Tabi Microsoft bu hamle ile sadece Rootkit’lerin değil, aynı zamanda kernel’i modifiye ederek çalışan, birçok sezgisel güvenlik yazılımının da işleyişini durdurmuş oldu.

Yani 64bit Windows sistemlerde sezgisel olarak güvenlik yapmak mümkün değil. Her ne kadar 64bit versiyon ile çalışan Firewall’lar çıksa da HIPS özellikleri olmayacağı için, aslında hiçbir işe yaramıyorlar.

Şu anda 64bit sistemler fazla kullanılmadığı için bu konular, testler ve trojanlar fazla gündeme gelmiyor. Fakat yakında 64bit devri başlayacak. Bunun başlıca nedenlerinden biri olarak, 32bit sistemlerde kullanabileceğiniz maksimum fiziksel belleğin (RAM) 4 GB olması ve bunun da gelişen işletim sistemleri ve uygulamalar için yetersiz kalmasını gösterebiliriz.

Şu an için PatchGuard’ı bypass etmek mümkün ancak bunu kullansa kullansa, Rootkit yapımcıları kullanır. Çünkü ileride yeni bir servis paketi çıktığında ve yeni versiyon PatchGuard, sistemi çökerttiğinde Rootkit yazarının umurunda bile olmaz. Fakat aynı bypass işlemini biz yapamayız veya bizim gibi diğer güvenlik çözümleri üreten firmalar da yapamaz. Çünkü yeni bir servis paketi güncellemesinde tüm müşterilerin bilgisayarlarının çökebileceğini hesap etmek zorundayız.

Yani sonuç olarak; şu an için PatchGuard, Rootkit’leri değil güvenlik yazılımı üreticilerinin önünü kapamış oldu. Bizim düşüncemiz; Microsoft, bu AntiRootkit yapımcılarını alarak, PatchGuard sistemini geliştirmek ve 64bit işletim sistemlerinin önünü açmak istiyor.



No comments:

Post a Comment