Petko D. Petkovblogunda yayınladığı yazı insanı bu konuda gerçekten düşündürmeye yöneltiyor. Üzgünüm ki metnin tamamını çevirecek kadar vaktim yok, sadece ana hatlarına değineceğim. Eğer ingilizce biliyorsanız kesinlikle dökümanı okumanızı öneririm.
Yazı, browser rootkitlerinin önemsenmediğini, buna neden olarak da bu tür teknikler ile sistemin tamamının ele geçirilemeyeceği söylüyor. Buraya kadar haklı, ancak günümüzde en önemli hazinenin bilgi olduğu ele alınırsa, bu tekniğin kötü eller tarafından keşfedilmesi halinde ne kadar tehlikeli olabileceğini bir düşünün. Bilgi akışının neredeyse tamamı tarayıcılar aracılığı ile yapılıyor; form bilgileri, parolalar, web mail servisleri ile gönderilen e-postalar ve niceleri. Sisteme kurulan, anti-virüs yazılımları tarafından yakalanma ihtimali şimdilik olmayan tarayıcı eklentileri ve 3. parti yazılımlar ile gönderilen/alınan her bilgi 3. bir kişinin eline rahatlıkla gönderilebilme riski var. Peki bu nasıl olabilir?
Firefox’u ele alalım. Firefox’un bir çok bölümü Javascript, Python gibi yorumlanan diller ile yazılmış ve XUL, XML, RDF formatlarını destekliyor. Bir anti-virüs uygulamasının bu formatların rootkit olarak kullanıldığını farketmesi için bunların hangi alanda kullanıldığını, ne yaptığını anlayabilmesi gerekir ve henüz bunu yapabilen modern bir anti-virüs uygulaması yok, olması halinde de yakalaması zor olacağa benziyor. Herhangi biri bunları kullanarak Firefox veya Internet Explorer için rootkit yaparsa şu şekilde yayılabileceği öngörülüyor;
- Dikkat çekmeyen eklentiler: Rootkitin kullanılabileceği en yaygın alan. Rootkit sisteme ve kullanıcıya görünür halde olur ayrıca herhangi bir yol ile kullanıcının bunun önemli bir eklenti olduğuna inanması sağlanır.
- Gizli eklentiler: Rootkitin görünürlüğü kaldırılır ve gizlenir. Bu Internet Explorer’daki öntanımlı davranıştır. Firefoxta ise eklenti kurulum dosyasındaki bazı değerler değiştirilerek yapılabilir.
- 3. Parti Rootkitler: Tarayıcılar ile beraber sıkça kullanılan Adobe Flash Player ve Adobe Acrobat Reader kullanılabilir. Adobe Acrobat Reader açısından bakacak olursak rootkit yazarı pdf dosyasına kolayca javascript kodu kopyalayabilir. Kullanıcı bunu ne zaman açarsa etkilenebilir. Flash Player açısından bakarsak; rootkit yazarı, flash player ayarlarını hafifleterek kendi belirlediği sitedeki flash player objesinin yasaklanmış bazı işlemleri yapmasını sağlayabilir.
- Eklentilerin eklentileri ile yapılan rootkiler: Bir eklenti için yapılan eklenti yardımı ile gerçekleştirilebilir (greasemonkey için kullanıcı scriptleri gibi). Böylece saldırgan XSS proxy yardımı ile tarayıcı kontrol altına alabilir.
İleride çok farklı teknikler ile karşılaşacağız gibi görünüyor, ne dersiniz?
güzel çalışma
PDP yine olayı abartmış, Joanna Rutkowska güzel bir cevap vermiş browser rootkit olayına [0]
[0] http://theinvisiblethings.blogspot.com/2007/10/thoughts-on-browser-rootkits.html
Hmm, güzelmiş cevap cidden :) Son bölümdeki google ile ilgili söylediklierine tamamen katılıyorum :)