Конечно, вы в состоянии поиграть с RootKit уровня ядра в защищенной лаборатории с целью их изучения. Тем не менее я не рекомендую ставить RootKit уровня ядра на рабочие системы.
«Горшочки с медом»: единственная причина для установки RootKit уровня ядра на свою машину
Единственный случай, когда я использовал бы RootKit уровня ядра на собственных машинах, связан с созданием «горшочка с медом». «Горшочек с медом» представляет собой намеренно пожертвованный компьютер, предназначенный для заманивания атакующих. RootKit уровня ядра помогает создать эффективный «горшочек с медом», который введет в заблуждение всех атакующих, кроме наиболее искушенных. Система «горшочка с медом» проектируется таким образом, чтобы выглядеть интересной для атакующих, но не содержит никаких действительно важных данных. Атакующие, как предполагается, находят «горшочек с медом» и тратят свое время и силы на вторжение в систему, которая кажется ценным компьютером. «Горшочки с медом» применяются в различных целях:
раннее предупреждение: если ваш «горшочек с медом» взломан, то вы знаете, что атакующие рядом с вашей сетью. Вы можете использовать этот индикатор раннего предупреждения для сохранения дополнительной бдительности в своей инфраструктуре. В некотором смысле «горшочек с медом» действует подобно шахтерской канарейке в былые дни. Когда канарейка умирает, вы знаете, что вы в опасности;
липучка: атакующий способен обнаружить систему «горшочка с медом» и потратить много времени, атакуя ее и не трогая оставшуюся часть ваших машин. Хакеры будут действовать подобно мухам, прилипшим к липучке. Как только они вторгнутся в «горшочек с медом», вы можете изолировать их в этой системе, препятствуя доступу к остальной части сети. Такой прием называется созданием «системы-тюрьмы»;
обучение: установка «горшочка с медом» в вашей сети поможет изучить приемы атакующих и отточить свои навыки в обнаружении и расследовании. Лэнс Спицнер (Lans Spitzner) и группа проекта Honeynet подготовили ряд статей, описывающих их приключения при использовании «горшочков с медом» для обучения. Эти статьи являются частью серии «Знай своего врага» и доступны на project.honeynet.org.