Rootkit (vyslovuj [rútkit]) je sada počítačových programů, pomocí kterých lze maskovat přítomnost zákeřného softwaru v počítači, například přítomnost virů, trojských koní, spywaru a podobně. Rootkit maskuje přítomnost zákeřných programů skrýváním adresářů, v nichž jsou instalovány, volání API, položek registru Windows, procesů, síťových spojení a systémových služeb tak, aby přítomnost zákeřného softwaru nebyla běžně dostupnými systémovými prostředky odhalitelná. Tyto programy jsou nástroje, které umožňují skrývat běžící procesy, soubory a systémové údaje, takže pomáhají útočníkovi zůstat skrytý (upravují operační systém tak, aby nebyly běžnými prostředky uživatele zjistitelné). Rootkity existují pro mnoho operačních systémů, jako jsou Linux, Solaris nebo Microsoft Windows. Mohou však být už součástí UEFI.[1]
Termín rootkit, nebo root kit původně odkazoval na sadu nástrojů, které umožňovaly získat administrátorská oprávnění na UN*Xových systémech.[2] Pokud mohl útočník nahradit standardní nástroje pro správu v systému rootkitem, pak mohl získat administrátorská oprávnění a zároveň utajit tyto aktivity před legitimním správcem systému. Tyto rootkity první generace bylo jednoduché odhalit pomocí nástrojů pro monitorování integrity souborů jako je například Tripwire. Nicméně, v dnešní době je termín rootkit používán pro jakýkoliv malware, který aktivně skrývá svou existenci před uživatelem a ostatními procesy.[2][3]
Na přednášce při předávání Turingových cen v roce 1983 Ken Thompson teoretizoval o zneužití kompilátoru C v distribuci Unixu. Modifikovaný kompilátor by detekoval pokusy o kompilaci Unixového příkazu login
a generoval by změněný kód, který by akceptoval jak uživatelovo správné heslo, tak i heslo backdooru známé útočníkovi. Dodatečně by kompilátor detekoval pokusy o kompilaci nové verze kompilátoru a vložil by stejný exploit do nového kompilátoru. Přezkoumání zdrojového kódu příkazu login
, nebo kompilátoru by tedy nevedlo k nalezení škodlivého kódu.[4]
Tento exploit by byl srovnatelný s rootkitem.
První zdokumentovaný počítačový virus, který používal maskovací techniky, byl v roce 1986 virus Brain, který zachytával pokusy o čtení boot sektoru a přesměrovával je na jiné místo na disku, kde byla umístěna kopie originálního boot sektoru.[3]
V roce 1990 Lane Davis a Riley Dake napsali první známý rootkit pro operační systém SunOS od firmy Sun Microsystems.[5]
První škodlivý rootkit pro operační systém Windows NT se objevil v roce 1999. Nazýval se NTRootkit a vytvořil ho Greg Hoglund.[6] Následován byl rootkitem HackerDefender v roce 2003.[3] První rootkit zaměřující se na macOS se objevil v roce 2009.[7] O rok později se objevil první rootkit pro programovatelné logické automaty (PLC).[8]
V roce 2006 rootkity „proslavila“ společnost Sony BMG, která je dávala na vybraná audio CD. Jejich účelem bylo zabránit uživateli kopírovat obsah CD do počítače. Za tento krok byla firma Sony BMG velice kritizována, protože rootkit měl závažné bezpečnostní chyby, které umožňovaly navázání virů. Navíc rootkit odesílal firmě Sony BMG zprávy o činnosti uživatele, což je samozřejmě protizákonné.
V tomto článku byl použit překlad textu z článku Rootkit na anglické Wikipedii.