COSA SONO
I rootkit sono i nemici più infimi, i più difficili da rilevare e contrastare rispetto a tutte le altre categorie di malware, e vengono chiamati in gergo Ghostware.
Sono programmi che riescono a rendersi totalmente invisibili a livello utente, quindi anche a programmi di rilevazione vari ( antivirus, antispyware, etc ), permettendo quindi di celare alla perfezione qualsiasi tipo di malware (virus, trojan, etc) anche se questo è nelle firme del database del vostro antivirus.
Solo recentemente alcuni software come Rootkitrevealer (di Mark Russinovich) e altri riescono a rilevarne certuni, ma non possono rilevarli tutti in quanto scansionano il sistema e mostrano eventuali discrepanze nel filesystem come *potenziali* rootkit solo a livello utente.
I rootkit non sono pericolosi solo per sistemi Windows, ma anche per molti Unix like (Linux, BSD, Mac OS X), è infatti su questi sistemi che sono nati i primissimi rootkit, oltre 10 anni or sono, usati dagli hacker per nascondere le proprie intrusioni.
TIPOLOGIE
Possiamo categorizzare i rootkit in varie classi:
Per durata vitale :
- Rootkits Persistenti
Assimilabile ad un programma malevolo che si attiva ad ogni riavvio del Sistema Operativo.
- Memory-Based Rootkit
Non hanno codice memorizzato in modo persistente (ovvero nell’HD), perciò non sopravvivono al Reboot.
Per modo di esecuzione :
- Rootkit livello utente
Nascondono la loro presenza intercettando le API del Sistema Operativo, mediante Hooks che ritornano informazioni false. La presenza dei files è nascosta a tutti i meccanismi di esplorazione, compreso l’Explorer di Windows, inoltre anche le chiavi di registro che interessano il Rootkit possono essere camuffate o nascoste. Nel caso di RootKit persistenti, lo stesso programma che compone il rootkit può essere contenuto nel registro di Windows.
- Rootkit livello kernel
Sono molto più complessi e sofisticati, possono intercettare e mistificare con falsi dati tutte le chiamate effettuate a basso livello dal’OS.
I rootkit, essendo a tutti gli effetti software di occultamento, permettono di celare file, chiavi di registro, processi in memoria e socket in ascolto. La loro pericolosità è relativa all’uso che se ne fa, e purtroppo con un uso efferato diventano armi in grado di mettere KO un intero sistema, potendo infatti nascondere virus, trojan, spyware e quanto di peggio c’è nella rete.
Tutto ha inizio da una segnalazione nel blog di Mark Russinovich, dove dimostra che Sony BGM inseriva all’interno dei suoi CD un rootkit; basta inserire e ascoltare un CD e si è automaticamente infettati. Il sistema è stato infatti usato da Sony per tutelare i suoi interessi, ovvero impedire la copia dei CD, senza però che questo fosse minimamente segnalato all’utente e ovviamente senza il suo consenso. Da quì in poi iniziò la tempesta. Quà trovate tutta la cronologia presa dal sito boingboing.net sulla vicenda Sony. E dire che bastava avere l’autorun dei CD (premendo anche SHIFT) disabilitato per non incorrere in questi problemi.
COME EVITARLI
Ci sono 3 metodi piuttosto efficaci per prevenire rootkit (e non solo questi).
Account Limitato – Usare il PC con account limitato non è certamente la cura, però previene molti malware tra cui molti rootkit.
HIPS – (Host Intrusion Prevention System) Analizza in tempo reale quello che un’applicazione esegue all’interno del sistema e lo notifica all’utente. Chiaramente, un pò come avviene per i firewall, bisogna avere una certa accortezza nel permettere o negare certe regole, altrimenti non sapendo bene cosa si fà si rende vano l’utilizzo di questa tipologia di software.
Sandbox – Esegue le applicazioni (browser o qualsiasi applicazione) in un’area protetta in modo che alla fine dell’utilizzo il sistema non salva gli eventuali cambiamenti e tracce. Questo garantisce privacy e sicurezza ( anche eventuali virus eseguiti in modalità sandboxed sono innocui, perchè restano appunto all’interno dell’area protetta senza toccare il sistema). Usatela per eseguire applicazioni sconosciute e di dubbia provenienza.
COME ELIMINARLI
Vi elenco alcuni programmi per l’eliminazione di rootkit :
- Sysinternals Rootkit Revealer – Molto efficace, dallo stesso scopritore del rootkit Sony.
- Strider Ghostbuster – Progetto di MS, che se avrà un seguito sarà senz’altro il più efficace. Esegue in primis una scansione del sistema usando le API di alto livello come i programmi sopra elencati e ne salva i risultati. Successivamente si riavvia il sistema con un CD di boot che legge offline il filesystem, salvandone il risultato. Si confrontano i risultati della scansione online e offline ed eventuali discrepanze vengono segnalate come potenziale rootkit.
LINKS
