Perkakas akarRootkit atau perkakas akar adalah kumpulan peranti lunak yang bertujuan untuk menyembunyikan proses, berkas dan data sistem yang sedang berjalan dari sebuah sistem operasi tempat dia bernaung. Rootkit awalnya berupa aplikasi yang tidak berbahaya, tetapi belakangan ini telah banyak digunakan oleh peranti perusak yang ditujukan untuk membantu penyusup menjaga tindakan mereka yang ke dalam sistem agar tidak terlacak. Rootkit hadir di beragam sistem operasi seperti, Linux, Solaris dan Microsoft Windows. Rootkit ini sering mengubah bagian dari sistem operasi dan juga memasang dirinya sendiri sebagai penggerak atau modul inti. Mendeteksi rootkit sulit karena rootkit mungkin dapat menumbangkan perangkat lunak yang dimaksudkan untuk menemukannya. Metode deteksi termasuk menggunakan sistem operasi alternatif dan tepercaya, metode berbasis perilaku, pemindaian tanda tangan, pemindaian perbedaan, dan analisis timbunan memori. Penghapusan bisa rumit atau hampir tidak mungkin, terutama dalam kasus di mana rootkit berada di kernel; penginstalan ulang sistem operasi mungkin merupakan satu-satunya solusi yang tersedia untuk masalah tersebut. Saat menangani rootkit firmware, penghapusan mungkin memerlukan penggantian perangkat keras, atau peralatan khusus. SejarahKata "rootkit" terdengar di telinga publik bermula pada skandal Sony BMG CD Copy Protection, di mana cakram padat yang dibuat Sony BMG music meletakkan sebuah rootkit di PC Microsoft Windows pada saat pengguna memutar cakram padat di komputer mereka. Sony sebelumnya tidak memperingatkan kepada pengguna akan hal ini di dalam cakram padat mereka maupun di dalam kemasannya. Virus komputer yang pertama kali tercatat penyerang komputer pribadi, ditemukan pada tahun 1986, menggunakan teknik selubung untuk menyembunyikan diri: virus (c)Brain berupaya untuk mencegah pembacaan sektor but, dan mengarahkannya kemana pun pada cakram padat, dimana salinan asli dari sektor but disimpan. Rootkit berbahaya pertama untuk sistem operasi Windows NT muncul pada 1999: sebuah trojan bernama NTRootkit dibuat oleh Greg Hoglund.[1] Itu kemudian diikuti oleh HackerDefender pada 2003.[2] Rootkit pertama yang menargetkan Mac OS X muncul 2009,[3] sedangkan worm Stuxnet adalah yang pertama menargetkan pengontrol logika terprogram (PLC).[4] DeteksiMasalah mendasar dengan mendeteksi rootkit adalah jika sistem operasi telah ditumbangkan, khususnya oleh rootkit tingkat kernel, tidak dapat dipercaya untuk menemukan modifikasi yang tidak sah pada dirinya sendiri atau komponennya.[5] Tindakan seperti meminta daftar proses yang sedang berjalan, atau daftar berkas dalam direktori, tidak dapat dipercaya untuk berperilaku seperti yang diharapkan. Media terpercaya alternatifMetode terbaik dan paling andal untuk mendeteksi rootkit tingkat sistem operasi adalah dengan mematikan komputer yang diduga terinfeksi, dan kemudian untuk memeriksa penyimpanannya dengan mem-boot dari media tepercaya alternatif (mis. sebuah CD-ROM atau USB flash drive "penyelamat").[6] Teknik ini efektif karena rootkit tidak dapat secara aktif menyembunyikan kehadirannya jika tidak berjalan. Berdasarkan tanda tanganProduk antivirus jarang menangkap semua virus dalam pengujian publik (tergantung pada apa yang digunakan dan sejauh mana), meskipun vendor perangkat lunak keamanan memasukkan deteksi rootkit ke dalam produk mereka. Haruskah rootkit mencoba bersembunyi selama pemindaian antivirus, sebuah detektor siluman mungkin menyadarinya; jika rootkit mencoba membongkar dirinya sendiri dari sistem untuk sementara, pendeteksian tanda tangan (atau "sidik jari") masih dapat menemukannya.[7] Pendekatan gabungan ini memaksa penyerang untuk menerapkan mekanisme serangan balik, atau rutinitas "retro", yang mencoba menghentikan program antivirus. Metode deteksi berbasis tanda tangan bisa efektif terhadap rootkit yang dipublikasikan dengan baik, tetapi kurang begitu terhadap rootkit root-kustom yang dibuat khusus.[8] Timbunan memoriMemaksa timbunan penuh memori virtual akan menangkap rootkit aktif (atau dump kernel dalam kasus rootkit mode-kernel), memungkinkan analisis forensik luring dilakukan dengan debugger terhadap timbunan berkas yang dihasilkan, tanpa rootkit dapat mengambil tindakan apa pun untuk menyelubungi dirinya sendiri. Teknik ini sangat terspesialisasi, dan mungkin memerlukan akses ke kode sumber non-publik atau simbol debug. PenghapusanPenghapusan rootkit secara manual seringkali sangat sulit bagi pengguna komputer biasa,[9] tetapi sejumlah vendor perangkat lunak keamanan menawarkan alat untuk mendeteksi dan menghapus beberapa rootkit secara otomatis, biasanya sebagai bagian dari suite antivirus. Hingga 2005[update], Windows Malicious Software Removal Tool bulanan Microsoft mampu mendeteksi dan menghapus beberapa kelas rootkit.[10][11] Selain itu, Windows Defender Offline dapat menghapus rootkit, karena dijalankan dari lingkungan terpercaya sebelum sistem operasi dimulai.[12] Referensi
Bacaan lanjutan
Pranala luar
|