Rootkit: la minaccia silenziosa

Sicurezza

Subdoli e misteriosi sembravano un’esclusiva del mondo Linux. Ultimamente hanno iniziato a invadere anche l’universo Windows

Per dare un’idea della minaccia rappresentata da questi software fastidiosi e invisibili basterà dire che rappresentano un pericolo superiore a quello dei virus e dei trojan. I rootkit sono dei software che consentono l’esecuzione di varie funzioni nascoste nel computer. Un rootkit non è progettato per aiutare un intruso a ottenere un accesso al sistema, bensì per far sì che vi possa lavorare indisturbato. Si tratta di applicazioni che nascondono i malware agli strumenti implementati per individuarli, quali per esempio gli antivirus e gli antispyware. Un caso clamoroso Come mai ultimamente il termine Rootkit è diventato così popolare? A portare i rootkit sotto i riflettori ha contribuito la recente vicenda che ha visto coinvolto il colosso Sony. L’accusa piovuta in questi giorni sulla testa è pesante: il gigante nipponico è accusato di installare software all’insaputa degli utenti. A scatenare il caso è stato Mark Russinovich, un ricercatore del gruppo SysInternals. Russinovich ha rilevato infatti quasi per caso sul proprio computer un’applicazione che era stata installata dal meccanismo di protezione Xcp, un sistema utilizzato nei Cd Sony per “combattere la pirateria”. Il software in questione si comportava in tutto e per tutto come un virus: si installava di nascosto e non disponeva di una procedura di rimozione. Stando a quanto affermato dallo stesso Russinovich, il software in questione ? “è mal realizzato”, e potrebbe causare rallentamenti del sistema oppure fornire debolezze sfruttabili da eventuali attaccanti. Carta d’indentita di un rootkit Come abbiamo già accennato, l’ambiente di provenienza di questi software è il mondo Unix (root è infatti l’account dell’utente principale sui sistemi Unix). In ambito Unix questi software venivano utilizzati per ricompilare alcuni comandi tipici del sistema operativo e per evitare che il loro utilizzo venisse monitorato dai log o dall’amministratore di sistema. La caratteristica fondamentale di un rootkit è quella di risultare invisibile al sistema, in modo che né l’utente né alcun programma possano identificarlo. Per fare ciò, parlando del sistema operativo Windows, un rootkit può seguire diverse strade: una è quella di intercettare le chiamate alle Api di Windows e modificandole arbitrariamente cercando di non farsi identificare; un’altra è quella di “modificare” il comportamento del kernel di sistema (Kernel-mode rootkits). Una volta installato e configurato, il rootkit può eseguire le più comuni operazioni di cracking dei sistemi. Vengono utilizzati soprattutto per tenere aperti gli accessi alla macchina dopo che essa è stata violata attraverso l’uso di diversi exploit di vulnerabilità. I rootkit usati congiuntamente ad altri strumenti di attacco, sono inoltre in grado di registrare le sequenze di caratteri composte sulla tastiera e di inviarle ad un destinatario specifico; possono nascondere le attività di un cavallo di troia, o ancora funzionare da postazioni per l’invio di spam o per l’organizzazione ed esecuzione di attacchi Dos. Conclusioni Nati dal lontano mondo Unix e approdati inizialmente a quello Windows come strumenti per la lotta alla pirateria informatica i rootkit hanno rivelato il loro lato nascosto. Una volta installato, un buon rootkit è, per natura, difficile da individuare proprio perchè tende a nascondere le tracce della propria esistenza. Esistono tuttavia diversi metodi per individuarne la presenza. Attenzione che alcuni dei sintomi causati dalla presenza di rootkit sui propri sistemi possono essere facilmente confusi con quelli di virus e worm. Una prima operazione da eseguire se si sospetta la presenza di rootkit sui propri sistemi è quella di verificare con un port scanning da una macchina esterna, se sul sistema indagato sono aperte porte che non dovrebbero essere aperte e non vengono visualizzate con un netstat locale. Un’altra buona abitudine è quella di indagare sempre quando un server si riavvia o si blocca senza apparente motivo o un servizio cade o comunque si riscontrano anomalie nel suo funzionamento: possono essere tutti indici di Dos attack o tentativi di intrusione o tentativi di installazione di un rootkit. Un consiglio aggiuntivo è quello di seguire attentamente i bollettini e gli alert diffusi dai principali vendor di prodotti antivirus. La pericolosità di un rootkit è maggiore di quella di un virus, il quale per propria natura prima o poi si rivela provocando danni visibili. La presenza di un rootkit può invece rimanere nascosta per parecchio tempo, dando nel frattempo la possibilità a terzi di accedere ai nostri sistemi.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore