Rootkit sempre alla ribalta

Sicurezza

I rootkit continuano a farsi sempre più invadenti e a minacciare i sistemi in
modo quasi più devastante e subdolo rispetto a virus, worm o trojan horse

I rootkit che abbiamo già affrontato altre volte nel corso di questo approfondimento rappresentano una minaccia insidiosa e particolarmente devastante. Portati alla ribalta dalla vicenda Sony che aveva introdotto uno di questi programmi a protezione dei contenuti di alcuni suoi CD. Il punto di forza di questi software fantasma è che grazie a particolari tecniche di programmazione riescono a rendersi completamente invisibili all’utente, ai programmi applicativi e all’intero sistema operativo. Questo significa che nessun antivirus, nessun programma antispyware e nessuno strumento antimalware sarà in grado di rilevarli. Diventa del tutto irrilevante il fatto che questi programmi di scansione posseggano nel loro database le firme per poterli individuare, infatti. Non si può riconoscere ciò che non si vede! Allo stato attuale esiste un discreto numero di rootkit disponibile liberamente su internet che aspetta soltanto di essere usato per creare il nuovo ghostware di turno. AFX, Vanquish, Hacker Defender (disponibile in versione silver, gold e brilliant) sono solo alcuni della lista. Di quest’ultimo è disponibile una versione open source pronta per essere studiata e modificata. Su richiesta e a pagamento l’autore fornisce addirittura una copia del programma personalizzata che non sia individuabile dagli antivirus prima della sua installazione. Lo scopo principale di un rootkit è identico a quello di un trojan, cioè quello di permettere all’intruso (o agli intrusi) di poter ritornare al sistema compromesso senza essere scoperti. Inoltre, il sistema colpito da un rootkit può essere connesso ad altri ugualmente compromessi, a formare una vera e propria rete distribuita, chiamata botnet. Lo scopo di queste reti è quello di essere utilizzate dai malintenzionati per organizzare attacchi Dos in grande stile, oppure per effettuare massicce campagne di spam.

Combatterli Per quanto questi software possano essere difficilmente individuabili, esistono alcuni tool che confrontando una lista di rootkit noti sono in grado d’individuarne la presenza su un sistema. Non trattandosi propriamente di programmi simili ai virus i kit esistenti generalmente sono in grado di rilevare la presenza di uno di questi programmi, ma non di rimuoverli. RootkitRevealer è proprio uno di questi kit e come accennato serve per scoprire (NON eliminare) i rootkit. RootkitRevealer è in grado di individuare tutti i rootkit presenti sulla lista del sito www.rootkit.com , inclusi AFX, Vanquish e HackerDefender (nota: il programma non ha tra i suoi scopi quello di scoprire rootkit come Fu, che non cercano di nascondere i loro files o chiavi di registro). Il software è standalone: non necessita di installazione. Un’alternativa al kit appena descritto è costituita da F-Secure BlackLight. Il prodotto, nella versione finale, sarà a pagamento. La beta che è possibile scaricare da numerosi siti è freeware, ma è limitata nel tempo: smetterà di funzionare il 1° gennaio 2006.Anche BlackLight è standalone e non necessita di installazione. Come si può edere gli strumenti a disposizione sono limitati sia in numero sia in potenzialità. Sono comunque al momento una delle armi migliori a disposizione per riuscire almeno a capire se il nostro sistema è stato compromesso. Ovviamente è solo questione di tempo in quanto la minaccia inizia a farsi pressante e sarà necessario trovare quanto prima armi di difesa efficaci come lo è stato per gli antivirus.

Conclusioni Dopo anni in cui i virus e le loro varianti hanno dominato incontrastati la scena informatica internazionale ora si sta sempre più affermando una nuova e subdola minaccia. SI tratta dei rootkit, una tipologia di programmi in grado d’impadronirsi dei sistemi colpiti senza che gli uteni abbiano modo di accorgersene. La minaccia nascosta è stata portata alla ribalta dalla vicenda Sony che era ricorsa a questa tecnologia per proteggere i contenuti di alcuni suoi CD. Purtroppo la tecnologia e il modo di agire di questi programmi ne rende difficile l’individuazione e difficilissima la rimozione. Esistono alcuni strumenti freeware che non necessitano d’installazione e che consentono almeno d’individuare l’esistenza della minaccia sul proprio sistema

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore