I rootkit possono essere definiti la forma tecnicamente più sofisticata di codice dannoso (malware) e uno dei più difficili da scoprire ed eliminare. Di tutti i tipi di malware, probabilmente virus e worm ottengono la maggior pubblicità perché sono generalmente diffusi. Molte persone sono note per essere state colpite da un virus o un worm, ma questo sicuramente non significa che i virus e i worm siano i malware più distruttivi. Esistono tipi di malware più pericolosi, poiché di norma operano in modalità invisibile, sono difficili da rilevare e rimuovere e possono passare inosservati per periodi molto lunghi, ottenendo in silenzio l'accesso, rubando dati e modificando i file sul computer della vittima .
Un esempio di un nemico così furtivo sono i rootkit: una raccolta di strumenti che possono sostituire o modificare i programmi eseguibili o persino il kernel del sistema operativo stesso, al fine di ottenere l'accesso a livello di amministratore al sistema, che può essere utilizzato per l'installazione spyware, keylogger e altri strumenti dannosi. In sostanza, un rootkit consente a un utente malintenzionato di ottenere l'accesso completo sulla macchina della vittima (e possibilmente a tutta la rete a cui appartiene la macchina). Uno degli usi noti di un rootkit che ha causato perdite / danni significativi è stato il furto del codice sorgente del motore di gioco Half-Life 2: Source di Valve.
I rootkit non sono qualcosa di nuovo: esistono da anni e sono noti per aver influenzato vari sistemi operativi (Windows, UNIX, Linux, Solaris, ecc.). Se non fosse per una o due occorrenze di massa di incidenti rootkit (vedere la sezione Esempi famosi), che hanno attirato l'attenzione del pubblico su di loro, potrebbero essere sfuggiti nuovamente alla consapevolezza, tranne che da una piccola cerchia di professionisti della sicurezza. Ad oggi, i rootkit non hanno liberato il loro pieno potenziale distruttivo poiché non sono così diffusi come altre forme di malware. Tuttavia, questo può essere di scarso conforto.
Meccanismi di rootkit esposti
Simile a cavalli di Troia, virus e worm, i rootkit si installano sfruttando i difetti della sicurezza della rete e del sistema operativo, spesso senza interazione da parte dell'utente. Sebbene esistano rootkit che possono venire come allegati di posta elettronica o in un bundle con programmi software legittimi, sono innocui fino a quando l'utente non apre l'allegato o installa il programma. Ma a differenza delle forme meno sofisticate di malware, i rootkit si infiltrano molto in profondità nel sistema operativo e fanno sforzi speciali per mascherare la loro presenza, ad esempio modificando i file di sistema.
Fondamentalmente, esistono due tipi di rootkit: rootkit a livello di kernel e rootkit a livello di applicazione. I rootkit a livello di kernel aggiungono codice o modificano il kernel del sistema operativo. Ciò si ottiene installando un driver di dispositivo o un modulo caricabile, che modifica le chiamate di sistema per nascondere la presenza di un utente malintenzionato. Pertanto, se si guardano i file di registro, non si vedrà alcuna attività sospetta sul sistema. I rootkit a livello di applicazione sono meno sofisticati e generalmente sono più facili da rilevare perché modificano gli eseguibili delle applicazioni, piuttosto che il sistema operativo stesso. Poiché Windows 2000 segnala all'utente ogni modifica di un file eseguibile, rende più difficile per l'utente malintenzionato passare inosservato.
Perché i rootkit rappresentano un rischio
I rootkit possono fungere da backdoor e di solito non sono soli nella loro missione: sono spesso accompagnati da spyware, trojan o virus. Gli obiettivi di un rootkit possono variare dalla semplice gioia maligna di penetrare nel computer di qualcun altro (e nascondere le tracce della presenza straniera), alla costruzione di un intero sistema per ottenere illegalmente dati riservati (numeri di carta di credito o codice sorgente come nel caso di Half -Vita 2).
In generale, i rootkit a livello di applicazione sono meno pericolosi e più facili da rilevare. Ma se il programma che stai utilizzando per tenere traccia delle tue finanze, viene "patchato" da un rootkit, la perdita monetaria potrebbe essere significativa - vale a dire che un utente malintenzionato può utilizzare i dati della tua carta di credito per acquistare un paio di articoli e se non t notate attività sospette sul saldo della carta di credito a tempo debito, è molto probabile che non vedrete mai più i soldi.
Rispetto ai rootkit a livello di kernel, i rootkit a livello di applicazione sembrano dolci e innocui. Perché? Perché in teoria un rootkit a livello di kernel apre tutte le porte a un sistema. Una volta aperte le porte, altre forme di malware possono quindi scivolare nel sistema. Avere un'infezione da rootkit a livello di kernel e non essere in grado di rilevarla e rimuoverla facilmente (o affatto, come vedremo in seguito) significa che qualcun altro può avere il controllo totale sul tuo computer e può usarlo come preferisce - per esempio, per iniziare un attacco su altre macchine, dando l'impressione che l'attacco provenga dal tuo computer e non da qualche altra parte.
Rilevamento e rimozione di rootkit
Non che altri tipi di malware siano facili da rilevare e rimuovere, ma i rootkit a livello di kernel sono un disastro particolare. In un certo senso, si tratta di un Catch 22: se si dispone di un rootkit, è probabile che i file di sistema necessari al software anti-rootkit vengano modificati e quindi i risultati del controllo non possono essere considerati attendibili. Inoltre, se un rootkit è in esecuzione, può modificare correttamente l'elenco di file o l'elenco dei processi in esecuzione su cui si basano i programmi antivirus, fornendo così dati falsi. Inoltre, un rootkit in esecuzione può semplicemente scaricare dalla memoria i processi del programma antivirus, causando l'arresto o la chiusura imprevista dell'applicazione. Tuttavia, facendo ciò mostra indirettamente la sua presenza, quindi si può diventare sospettosi quando qualcosa va storto, specialmente con un software che mantiene la sicurezza del sistema.
Un modo consigliato per rilevare la presenza di un rootkit è quello di avviare da un supporto alternativo, che è noto per essere pulito (cioè un backup o un CD-ROM di salvataggio) e controllare il sistema sospetto. Il vantaggio di questo metodo è che il rootkit non sarà in esecuzione (quindi non sarà in grado di nascondersi) e che i file di sistema non verranno manomessi attivamente.
Esistono modi per rilevare e (tentare di) rimuovere i rootkit. Un modo è disporre di impronte digitali MD5 pulite dei file di sistema originali per confrontare le impronte digitali dei file di sistema correnti. Questo metodo non è molto affidabile, ma è meglio di niente. L'uso di un debugger del kernel è più affidabile, ma richiede una conoscenza approfondita del sistema operativo. Anche la maggior parte degli amministratori di sistema raramente ricorre ad esso, specialmente quando ci sono buoni programmi gratuiti per il rilevamento dei rootkit, come RootkitRevealer di Marc Russinovich. Se vai sul suo sito, troverai istruzioni dettagliate su come utilizzare il programma.
Se rilevi un rootkit sul tuo computer, il passo successivo è sbarazzartene (più facile a dirsi che a farsi). Con alcuni rootkit, la rimozione non è un'opzione, a meno che non si desideri rimuovere anche l'intero sistema operativo! La soluzione più ovvia: eliminare i file infetti (purché tu sappia quali sono esattamente nascosti) è assolutamente inapplicabile, quando si tratta di file di sistema vitali. Se elimini questi file, è probabile che non sarai più in grado di riavviare Windows. Puoi provare un paio di applicazioni di rimozione di rootkit, come UnHackMe o F-Secure BlackLight Beta, ma non contare troppo su di esse per poter rimuovere il parassita in modo sicuro.
Potrebbe sembrare una terapia d'urto, ma l'unico modo provato per rimuovere un rootkit è formattando il disco rigido e reinstallando nuovamente il sistema operativo (da un supporto di installazione pulito, ovviamente!). Se hai la minima idea da dove hai preso il rootkit (è stato raggruppato in un altro programma o qualcuno te lo ha inviato via e-mail?), Non pensare nemmeno di eseguire o non è più la fonte dell'infezione!
Esempi famosi di rootkit
I rootkit sono stati utilizzati in modo furtivo per anni, ma solo fino allo scorso anno quando hanno fatto la loro comparsa nei titoli delle notizie. Il caso di Sony-BMG con la loro tecnologia DRM (Digital Right Management) che proteggeva la copia non autorizzata di CD installando un rootkit sul computer dell'utente ha suscitato aspre critiche. Ci sono state cause legali e un'indagine penale. Sony-BMG ha dovuto ritirare i propri CD dai negozi e sostituire le copie acquistate con copie pulite, in base alla risoluzione del caso. Sony-BMG è stata accusata di occultare segretamente i file di sistema nel tentativo di nascondere la presenza del programma di protezione dalla copia che utilizzava anche per inviare dati privati al sito di Sony. Se il programma è stato disinstallato dall'utente, l'unità CD diventa inutilizzabile. In effetti, questo programma di protezione del copyright ha violato tutti i diritti sulla privacy, ha utilizzato tecniche illegali tipiche di questo tipo di malware e, soprattutto, ha lasciato il computer della vittima vulnerabile a vari tipi di attacchi. Era tipico per una grande società, come la Sony-BMG, seguire per prima la strada arrogante affermando che se la maggior parte delle persone non sapeva cosa fosse un rootkit e perché si sarebbe preoccupato di averne uno. Bene, se non ci fossero stati ragazzi come Mark Roussinovich, che è stato il primo a suonare il campanello del rootkit di Sony, il trucco avrebbe funzionato e milioni di computer sarebbero stati infettati - un vero reato globale nella presunta difesa dell'intellettuale di un'azienda proprietà!
Simile al caso di Sony, ma quando non era necessario essere connessi a Internet, è il caso di Norton SystemWorks. È vero che entrambi i casi non possono essere confrontati da un punto di vista etico o tecnico perché mentre il rootkit (o la tecnologia simile al rootkit) di Norton modifica i file di sistema di Windows per adattarsi al cestino protetto di Norton, Norton difficilmente può essere accusato di intenzioni dannose di limitare diritti dell'utente o di beneficiare del rootkit, come nel caso di Sony. Lo scopo del cloaking era nascondere a tutti (utenti, amministratori, ecc.) E tutto (altri programmi, Windows stesso) una directory di backup dei file che gli utenti hanno eliminato e che in seguito può essere ripristinata da questa directory di backup. La funzione del Cestino protetto era quella di aggiungere un'altra rete di sicurezza contro le dita rapide che prima cancellano e quindi pensare se hanno eliminato i file giusti, fornendo un modo aggiuntivo per ripristinare i file che sono stati eliminati dal Cestino ( o che hanno ignorato il Cestino).
Questi due esempi non sono certo i casi più gravi di attività di rootkit, ma vale la pena menzionarli perché attirando l'attenzione su questi casi particolari, l'interesse pubblico è stato attratto dai rootkit nel loro insieme. Spero che ora più persone non solo sappiano cos'è un rootkit, ma si preoccupano di averne uno e sono in grado di rilevarli e rimuoverli!
