Rootkit: Cosa sono e come eliminarli

 COSA SONO 

I rootkit sono i nemici più infimi, i più difficili da rilevare e contrastare rispetto a tutte le altre categorie di malware, e vengono chiamati in gergo Ghostware.

Sono programmi che riescono a rendersi totalmente invisibili a livello utente, quindi anche a programmi di rilevazione vari ( antivirus, antispyware, etc ), permettendo quindi di celare alla perfezione qualsiasi tipo di malware (virus, trojan, etc) anche se questo è nelle firme del database del vostro antivirus.

Solo recentemente alcuni software come Rootkitrevealer (di Mark Russinovich) e altri riescono a rilevarne certuni, ma non possono rilevarli tutti in quanto scansionano il sistema e mostrano eventuali discrepanze nel filesystem come *potenziali* rootkit solo a livello utente.

I rootkit non sono pericolosi solo per sistemi Windows, ma anche per molti Unix like (Linux, BSD, Mac OS X), è infatti su questi sistemi che sono nati i primissimi rootkit, oltre 10 anni or sono, usati dagli hacker per nascondere le proprie intrusioni.

TIPOLOGIE

Possiamo categorizzare i rootkit in varie classi:

Per durata vitale :

• Rootkits Persistenti
  Assimilabile ad un programma malevolo che si attiva ad ogni riavvio del Sistema Operativo.

• Memory-Based Rootkit
  Non hanno codice memorizzato in modo persistente (ovvero nell’HD), perciò non sopravvivono al Reboot.

 

Per modo di esecuzione :

• Rootkit livello utente
  Nascondono la loro presenza intercettando le API del Sistema Operativo, mediante Hooks che ritornano informazioni false. La presenza dei files è nascosta a tutti i meccanismi di esplorazione, compreso l’Explorer di Windows, inoltre anche le chiavi di registro che interessano il Rootkit possono essere camuffate o nascoste. Nel caso di RootKit persistenti, lo stesso programma che compone il rootkit può essere contenuto nel registro di Windows.

• Rootkit livello kernel
  Sono molto più complessi e sofisticati, possono intercettare e mistificare con falsi dati tutte le chiamate effettuate a basso livello dal’OS.

I rootkit, essendo a tutti gli effetti software di occultamento, permettono di celare file, chiavi di registro, processi in memoria e socket in ascolto. La loro pericolosità è relativa all’uso che se ne fa, e purtroppo con un uso efferato diventano armi in grado di mettere KO un intero sistema, potendo infatti nascondere virus, trojan, spyware e quanto di peggio c’è nella rete.

Tutto ha inizio da una segnalazione nel blog di Mark Russinovich, dove dimostra che Sony BGM inseriva all’interno dei suoi CD un rootkit; basta inserire e ascoltare un CD e si è automaticamente infettati. Il sistema è stato infatti usato da Sony per tutelare i suoi interessi, ovvero impedire la copia dei CD, senza però che questo fosse minimamente segnalato all’utente e ovviamente senza il suo consenso. Da quì in poi iniziò la tempesta. Quà trovate tutta la cronologia presa dal sito boingboing.net sulla vicenda Sony. E dire che bastava avere l’autorun dei CD (premendo anche SHIFT) disabilitato per non incorrere in questi problemi.

 

COME EVITARLI

Ci sono 3 metodi piuttosto efficaci per prevenire rootkit (e non solo questi).

Account Limitato – Usare il PC con account limitato non è certamente la cura, però previene molti malware tra cui molti rootkit.

HIPS – (Host Intrusion Prevention System) Analizza in tempo reale quello che un’applicazione esegue all’interno del sistema e lo notifica all’utente. Chiaramente, un pò come avviene per i firewall, bisogna avere una certa accortezza nel permettere o negare certe regole, altrimenti non sapendo bene cosa si fà si rende vano l’utilizzo di questa tipologia di software.

Sandbox – Esegue le applicazioni (browser o qualsiasi applicazione) in un’area protetta in modo che alla fine dell’utilizzo il sistema non salva gli eventuali cambiamenti e tracce. Questo garantisce privacy e sicurezza ( anche eventuali virus eseguiti in modalità sandboxed sono innocui, perchè restano appunto all’interno dell’area protetta senza toccare il sistema). Usatela per eseguire applicazioni sconosciute e di dubbia provenienza.

COME ELIMINARLI 

Vi elenco alcuni programmi per l’eliminazione di rootkit :

• Sophos Anti-Rootkit

• F-Secure Blacklight

• Sysinternals Rootkit Revealer – Molto efficace, dallo stesso scopritore del rootkit Sony.

• Strider Ghostbuster – Progetto di MS, che se avrà un seguito sarà senz’altro il più efficace. Esegue in primis una scansione del sistema usando le API di alto livello come i programmi sopra elencati e ne salva i risultati. Successivamente si riavvia il sistema con un CD di boot che legge offline il filesystem, salvandone il risultato. Si confrontano i risultati della scansione online e offline ed eventuali discrepanze vengono segnalate come potenziale rootkit.

LINKS

http://www.antirootkit.com/

Blue Pill 

http://www.rootkit.com/

Linux Kernel Rootkits

(XP) – Eseguire un’applicazione come utente limitato da account admin

Una delle pessime abitudini dell’utente Windows medio, è quella di accedere sempre e comunque al sistema come Amministratore. Tutto questo causa non pochi problemi a certi utenti, che hanno la mania di cliccare maldestramente a destra e a manca.

L’ideale sarebbe avere un account limitato per navigare/scaricare e quello di admin per il resto, ma purtroppo molti software non si installano in modalità limited user (anche andando su ‘esegui come..’), ecco perchè molti scelgono (erroneamente) di loggarsi unicamente come admin.

Ho pensato quindi questa guida per quelli che non vogliono staccarsi dalle “cattive” abitudini ma che vogliono navigare un pò più sicuri.

Ricordo però che un account limitato permette una sicurezza nettamente maggiore, visto che non ha i permessi per accedere alle cartelle di sistema, tenendo fuori molto malware (anche certi tipi di rootikit).

 

Windows XP Professional – 2003 Server

Per permettere a determinate applicazioni (browser, IM, e-mail client, etc) di essere eseguiti da admin come se fossero in limited account fate così:

Aprite il registro di sistema (Start – Esegui.. e digitate regedit) andate alla sezione

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\

Aggiungete un valore DWORD chiamato ‘Levels’ (senza apici) con un valore esadecimale (HEX) di 20000 (Tasto dx, Nuovo – Valore DWORD).

Ora tornate nuovamente su Start – Esegui.. e scrivete secpol.msc e si aprirà ‘Impostazioni protezione locale‘ .

Andate ora su ‘Criteri restrizione software‘ e cliccate col tasto destro su ‘Regole aggiuntive‘ e ‘Nuova regola percorso‘ e scegliete l’eseguibile del programma che volete limitare, e impostate infine ‘Livello di protezione‘ su utente principiante.

Alla fine dovrà essere all’incirca così:

 

Windows XP Home – 2000

Per gli utenti XP Home c’è DropMyRights creato da Michael Howard, dipendente Microsoft.

Installatelo in ‘c:\windows‘. Per eseguire un programma (nell’esempio Opera) come se avessimo un account limitato digitare:

%windir%\DropMyRights.exe “c:\programmi\opera\opera.exe” n

Il parametro ‘N‘ permette di eseguire il programma come utente normale (quindi limitato). Gli altri parametri permettono esecuzioni ancora più restrittive, ma le sconsiglio per l’uso normale.

N = run as normal user (default)

C = run as constrained user.

U = run as an untrusted user.

Potete creare un collegamento per avviare velocemente l’applicazione desiderata. Basta cliccare col tasto destro sul desktop, scegliere Nuovo – Collegamento e immettere il percorso come descritto poco sopra.

Gli utenti di Internet Explorer 6 e 7 possono aggiungere una toolbar, PrivBar, per mostrare con quale previlegi utente viene eseguito IE.

Estraete dall’archivio i file DLL e REG. Registrate la DLL tramite Start – Esegui e digitate

regsrv32 percorso\PrivBar.dll

Quindi ad esempio, se lo piazzate in c:\ sarà regsrv32 c:\PrivBar.dll

Applicate infine il file di registro (.reg).

Come vedete applicare questi settaggi è semplice, e porta notevoli vantaggi per la sicurezza. Meglio pensarci prima.

Out Run (1986)

Creato nel lontano 1986 dalla Sega, è stato (e a mio avviso è ancora) uno dei giochi di guida più belli mai esistiti.

Out run è una corsa coast to coast per le strade americane, dove è possibile scegliere tra svariate direzioni, fino ad arrivare a destinazione entro il tempo limite e vincere così la corsa.

GRAFICA

É veramente stupenda, dettagliata (parliamo di un gioco uscito 22 anni fà!), incredibilmente veloce e fluida.

MUSICHE

Sono un altro punto di forza, un qualcosa che ti resta dentro la testa, tutti motivetti che senti una volta per non scordarli più. Chissà quanti di voi sentendo il motivo di sottofondo si diranno “Questa non mi è nuova”

• Last Wave – Midi
• Magical Sound Shower – Midi
• Passing Breeze – Midi
• Splash Wave – Midi

CABINETS

Il sit-cabinet fu il primo ad adottare il force feedback, ovvero la vibrazione al volante, che si azionava ogni qualvolta si urtava qualcosa. Credetemi se dico che vedere una simile soluzione nel 1986 era davvero all’avanguardia. Aveva inoltre il sedile scorrevole come nelle auto vere, in modo da adattarlo a tutte le taglie.

PCB

Questo è il cuore di Out Run, la sua scheda PCB. Ecco le sue caratteristiche:
CPU : 2 x MC68000 @ 12.5 MHz
Sound CPU : Z80 @ 4 MHz
Sound chip : YM2151 @ 4 MHz & SegaPCM @ 15.625 kHz
Risoluzione Video: 320 x 224
Composizione Scheda: CPU board + Video board
Hardware Features : 128 Sprites su schermo contemporaneamente, 2 tile layers, 1 text layer, 1 sprite layer with hardware sprite zooming, 1 road layer, can draw 2 roads at once, translucent shadows

CONVERSIONI

• Arcade
• Sega Mega Drive
• Sega Master System / Game Gear
• Sega Saturn
• Turbo GrafX 16
• Atari ST
• Amiga
• Commodore 64
• Amstrad
• ZX Spectrum
• MSX
• PC

Altri giochi della serie:

• Out Run 3-D – Uscito per Sega Master System
• Battle Out Run – Uscito per sega Master System
• Out Run Europa – Uscito per SMS, ZX Spectrum, C64, Amiga
• Turbo Out Run – Uscito per Sega Megadrive, atari ST, PC, C64, ZX Spectrum, Arcade
• Out Run 2019 – Uscito per Sega Megadrive
• Outrunners – Uscito per Sega Megadrive, Arcade
• Out Run 2 – Uscito per Xbox, Arcade
• Out Run 2006 Coast to Coast – Uscito per Xbox, PS2, PSP, PC

CHEATS

• Per fare una partenza più rapida, accellerare fino alla zona verde e cambiare marcia a circa 170 Km/h invece di aspettare.
• Per non perdere velocità quando si esce di strada, fare un prima-seconda molto velocemente, ripetendolo ogni 1-2 secondi
• Appena passato un checkpoint se premete il tasto START vedrete apparire sullo schermo ‘Created by Yu Suzuki‘

COME GIOCARCI

Penso che vi sia venuta voglia di giocarci vero?

Ecco con quali emulatori potrete giocare a tutte le varie versioni:

• Arcade – MAME
• Sega Master System – Meka
• Sega Megadrive – Kega Fusion
• Amiga – WinUAE
• C64 – Vice
• ZX Spectrum – EmuZWin
• Atari ST – SainT

Alle roms dovrete pensarci voi, basta comunque un veloce ricerca su Google per trovare.

Chiudo con una mia partita, non perfettissima 😛