Cosa sono i Rootkit?

[jarod1981®]

Questi software permettono di ottenere il controllo di un computer, sia da locale come un banale virus, sia da remoto come un trojan virus. I RootKit sono software largamente usati dagli hacker per nascondere le loro intrusioni .
Essi agiscono in maniera completamente invisibile , rendendosi non rilevabili sia dall’utente , sia dai programmi applicativi che da software di controllo come anti spyware e antivirus. Le operazioni che permettono di svolgere in modalitÃ* stealth sono moltissime, possono ad esempio nascondere backdoor, trojan, virus e malware in generale . Per mantenere questa invisibilitÃ* sui sistemi Unix usano i moduli del kernel e librerie, mentre in Microsoft Windows, gli sviluppatori dei rootkit utilizzano librerie dll e driver di sistema. La parola rootkit vuol dire appunto attrezzatura di amministrazione, quindi questi programmi non sono in realtÃ* nocivi, hanno solo nel loro kernel capacitÃ* avanzate di occultamento.
Spesso le tecniche usate dai rootkit vengono integrate da software di uso quotidiano quindi non dannosi, è famosa la vicenda della Sony che ha integrato in CD Audio come quelli di Celine Dion, (album: On ne Change-Pas), e Ricky Martin (album: Life ) ecc. tecnologie per limitare il numero di copie, installando un rootkit sul computer . Il problema è che questo software di protezione può essere usato da malintenzionati per memorizzare dati privati degli utenti in maniera nascosta e permette intrusioni non autorizzate nel computer nascondendo trojan e virus in generale.

Per loro natura i rootkit suscitano gli interessi di Hacker, Cracker, e Virus Writer , soprattutto di questi ultimi che sfruttano le capacitÃ* di questi software per rendere i loro virus immuni alla scansione di antivirus compromettendo la sicurezza di qualsiasi sistema. Esiste infatti una tipologia di virus chiamata virus stealth, che utilizza largamente queste caratteristiche.

Come funzionano i rootkit

La prima operazione che compie un rootkit una volta installato, è quella di assicurarsi la sua esecuzione all’avvio del computer, iniettando spesso un comando nel registro di configurazione del sistema e rendendolo invisibile. I rootkit per mantenere questa invisibilitÃ*, si installano come parte del Sistema Operativo spacciandosi per una libreria , un driver ecc. Riescono quindi a mettersi tra il Sistema Operativo e il programma permettendo di filtrare tutto ciò che si intende nascondere e riuscendo a rendere invisibile applicazioni base per qualsiasi sistema operativo , come chiavi di registro di configurazione, processi di sistema e addirittura riescono a rendere stealth porte di rete.
Per questo motivo la loro rimozione è molto delicata e difficile. Si rischia infatti di compromettere l’inera integritÃ* del sistema operativo. Una volta che il rootkit è installato, può aiutare i software come backdoors, che si mettono in ascolto sulla rete in attesa di istruzioni esterne a non essere intercettati. Può evitare l’identificazione di keylogger che memorizzano tutto ciò che viene digitato e lo inviano al malintenzionato

Rootkit avanzati: rootkit LKM

La minaccia più grave che un rootkit può portare alla sicurezza di un sistema è quella causata dai rootkit LKM ( Loadable Kernel Module ) è un meccanismo comodo e veloce per aggiungere nuove funzionalitÃ* al kernel del sistema operativo. I rootkit LKM non rimpiazzano gli eseguibili di sistema come visto in precedenza, ma ne alterano il funzionamento attraverso il kernel.

Come difendersi dai rootkit e come trovarli

Riuscire a capire che il sistema sia stato Infettato da un rootkit è fondamentale per poterlo eliminare. Come per i virus, i primi segni di malfunzionamento dovrebbero insospettire l'utente. Una tipica anomalia causata dai rootkit è un forte utilizzo della banda di comunicazione in uscita, questa anomalia è causata potenzialmente da intrusi che usano il sistema per diffondere e distribuire software protetti, crack e materiali illeciti ( warez ).

Per intercettare ed evitare l’installazione di queste applicazioni fantasma, si utilizzano programmi chiamati Anti Rootkit spesso si trovano in rete anche software con i nomi di rootkit revealer, rootkit removal e rootkit hunter . Questi software non sono infallibili perché basati soprattutto sul monitoraggio del filesystem . I rootkit, infatti rimpiazzano gli eseguibili di alcuni file di sistema con le relative versioni trojan, in modo da mantenere inalterata la funzionalitÃ* del file aggiungendo però le loro tecniche stealth per nascondere le azioni degli intrusi o i programmi da proteggere. E’ molto difficile identificarli perchè sono in grado di imitare la data di creazione e la dimensione dei files di sistema che rimpiazzano . Ovviamente un software AntiRootkit che tiene traccia unicamente di queste informazioni, non è sufficiente a determinarne la presenza.
Occorrerebbe quindi adottare l’utilizzo di un database dei files presenti nel sistema di cui calcolare e conservare il loro checksum. Questo database dovrebbe però essere conservato in un supporto di sola lettura ; nasce dunque il problema che questo database dovrebbe essere aggiornato e conservato ogni qualvolta si installino nuovi files. Un rootkit come abbiamo detto in precedenza non è progettato per danneggiare ma semplicemente per nascondere.

Per essere installato un rootkit dannoso, si devono spesso sfruttare le tecniche che usano i normali virus per installarsi e diffondersi , quindi valgono gli stessi consigli che si usano per i virus : installazione di patch dei software, aggiornamenti continui del sistema operativo, installazione di firewall e antivirus.

Esistono comunque software gratuiti dedicati alla loro intercettazione molto efficaci DownLoad AntiRootkit che rilevano ed impediscono l’installazione dei rootkit nel computer.