Che cosa sono i Rootkits?

Sun, 23 Jul 2006 06:56:49 GMT

I "rootkit" sono tornati alla ribalta di recente, per la precisione nel 2005, a seguito dello scandalo dei CD musicali della Sony i quali, non appena venivano riprodotti su un PC con sistema operativo Windows, vi installavano surrettiziamente un rootkit che ne controllava l'utilizzo. In quella circostanza, la Sony non faceva menzione di tale evenienza, ma si citavano solamente generiche "misure di protezione contro violazioni del diritto d'autore".

Origine dei rootkits

Il termine "rootkit" è un termine piuttosto vecchio: risale probabilmente alla prima metà degli anni novanta, quando i sistemi Unix erano la regola.
Esso è la combinazione di due parole:

Un rootkit, dunque, è un insieme di strumenti (programi software) di cui deve dotarsi chiunque, dopo avere avuto accesso (solitamente in maniera fraudolenta) a un computer, voglia mantenere nel tempo i privilegi di amministratore (root) del computer vittima. Per ottenere ciò, evidentemente, il rootkit deve anche essere in grado di riuscire a nascondere la propria presenza e le proprie tracce ai software anti-virus. Soprattutto per questa loro caratteristica, si ritiene che l'idea di base dei rootkits si ispiri ai virus creati per i vecchi sistemi MS-DOS. Quei virus, infatti, furono i primi che, modificando il sistema operativo, riuscivano a nascondere la loro presenza.

Esistono rootkits per la maggior parte dei sistemi operativi comunemente impiegati: Linux, Solaris e, naturalmente, tutte le versioni di Microsoft Windows. I rootkits riescono a modificare intere porzioni del sistema operativo del computer e si installano sotto forma di driver o moduli kernel.
 

Utilizzo dei rootkits

Come si è detto, un rootkit viene solitamente utilizzato per nascondere altri software in cui scopo è quello di prendere il controllo del computer vittima, procurandovi danni di diversa natura quali:

Il computer infetto da un rootkit viene chiamato "zombie". Esso, infatti, viene utilizzato come "palcoscenico" dal quale inviare gli attacchi illeciti veri e propri verso altri computers o networks. In questo modo, gli illeciti appaiono originare dallo "zombie" e non dall'hacker realmente responsabile.

Differenze con virus e worms

È importante comprendere la differenza tra i rootkits e i viruses/worms. Ciò che li distingue è, fondamentalmente la loro capacità di "propagazione". In generale, un rootkit si limita a mantenere il controllo di un solo computer, mentre virus e worms tentano anche di propagarsi ad altri computer.

Tuttavia viruses, worms e rootkits utilizzano tecniche analoghe per infettare la loro vittima, modificando le componenti software fondamentali del computer attaccato e nascondendosi all'amministratore del sistema.

Naturalmente esistono anche degli ibridi: un worm può installare un rootkit e un rootkit può installare copie di uno o più worms o virus, spyware, scanner di porte, etc.

C'è da dire che i rootkits di per sé non sono di natura maligna. Essi non sono la causa diretta di danni, ma vengono utilizzati per nascondere codici maligni: un malware (virus, worms, backdoors, spywares ...) che si appoggia a un rootkit può restare attivo e nascosto in un sistema per lungo tempo, anche se il computer è protetto da un buon antivirus sempre aggiornato. Un malware, per esempio, può eseguire un particolare comando del rootkit di appoggio per controllare che i files init e inetd, fondamentali per il funzionamento corretto del computer, siano ancora infetti. In caso negativo, provvede automaticamente a reinfettarli nella maniera opportuna, tale da assicurare in controllo del computer vittima.

Il virus, però, solitamente cerca di propagarsi e di infettare altri computer, mente il rootkits si limita a risiedere all'interno dello "zombie" per continuare a mantenerne il controllo.

Individuare un rootkit

Trovare un rootkit al'interno di un computer infetto non è semplice. Questo è dovuto alla natura stessa del rootkit. Come si è detto, un rootkit è un insieme di programmi che modificano molte componenti fondamentali sulle quali si basa il funzionamento dei programmi software del computer. 

Il problema fondamentale nella individuazione di un rootkit, dunque, è che non è più possibile fare affidamento sul sistema operativo, poichè è proprio quest'ultimo che è stato alterato nelle sue componenti di base. In altri termini, operazioni come la richiesta dell'elenco dei processi in esecuzione o dei files in una data cartella del disco rigido (indispensabili per poter individuare anomalie) non danno più risultati affidabili. I software anti-rootkit esistenti attualmente funzionano solamente perchè non si è ancora riusciti a sviluppare rootkits che riescono a nascondersi in maniera completa, ma lasciano qualche traccia, anche se minima, della loro presenza.

Il modo migliore per individuare un rootkit è, dunque, quello di spegnare il computer sospettato di infezione e controllarne il disco fisso utilizzando un'altro hardware (per esempio il CD-ROM di ripristino creato durante la prima installazione del computer o un drive USB flash). Solamente un rootkit che non è in esecuzione, infatti, non può nascondere la sua presenza e, in tal caso, un buon anti-virus dotato di anti-rootkit è in grado di individuarlo facilmente.

Rimuovere un rootkit

Sono molti coloro che ritengono che eliminare un rootkit sia praticamente impossibile. Anche se si conoscesse l'esatto funzionamento di un dato rootkit, il tempo, gli sforzi e le competenze tecniche richieste per riuscire ad "estirparlo" dal computer infetto sono tali da rendere preferibile formattare il disco fisso e reinsallare il sistema operativo vergine. 

Esiste un modo per eliminare un rootkit. Si utilizza un'altro filesystem driver quando il sistema è online. Rkdetector v2.0 è un software in grado di cancellare files nascosti anche quando il sistema operativo del computer infetto è in esecuzione. Per far ciò esso utilizza il suo filesystem driver NTFS e FAT32.  Una volta individuato e il computer viene fatto ripartire, i files che costituiscono il rootkit non verranno mandati in esecuzione perchè risulteranno danneggiati.

Questro articolo è il risultato di una libera traduzione dall'inglese dell' inserto "Rootkit" pubblicato su Wikipedia, con alcune integrazioni tratte dall'articolo "Rootkits" di Stéphanie Deléamont e Benoit Perroud.

 

Autore: 

 

Se questo articolo ti è piacciuto clicca sull'icona qui accanto per conservarlo sul tuo servizio di Social Bookmaring preferito Conserva questo articolo sul tuo servizio di Social Bookmaring preferito

Scrivi una recensione o un commento all'articolo Che cosa sono i Rootkits?

Segnala l'articolo Che cosa sono i Rootkits? a un amico

Usare il computer: Sicurezza RSS feed: per importare questo feed RSS di CyberBizia fai clic con il tasto destro del mouse, scegli 'copia collegamento' e incolla il link nel tuo aggregatore preferito  XLM feed: per importare questo feed RSS di CyberBizia fai clic con il tasto destro del mouse, scegli 'copia collegamento' e incolla il link nel tuo aggregatore preferito

Tutta la storia del rootkit Sony
Google, Phishing e Berlusconi
Gli italiani come i cinesi
Sicuri con il software portatile
Il ritorno di Gpcode
La storia del ricatto Web
Che cosa sono i Rogue?
L'utente medio di Internet è stupido
Gli idioti di Internet
Guida Anti-Truffa e Anti-Dialer
Flash cookies
Sai quanti Flash Cookies ci sono nel tuo computer?
Private header: perchè non si vedono le immagini dei siti Web
Sicuri in Internet con le reti wireless
Nuove strategie di phishing: impariamo a difenderci
Che cosa è il Rock Phish Kit?
CyberBizia eletto sito sicuro
Nuovo pericolo per i dispositivi portatili USB
Alcune semplici regole di sicurezza informatica
Sicurezza PC, privacy e Rootkits
Che cosa sono i Rootkits?
Nuovo worm e dialer nello spam
Come proteggersi dal phishing Decalogo per le banche
Come proteggersi dal phishing Decalogo per i clienti
Phishing: come difendersi?
Compra un Video iPod e ricevi un virus in omaggio!
Siti italiani sotto attacco
Test sui migliori software anti-virus
I migliori antivirus
Sony Rootkit: Tutta la storia giorno per giorno
Guida Anti-Truffa e Anti-Dialers

 

Per essere sempre aggiornato sulle nostre novità, notizie e offerte speciali
scopri tutti i vantaggi della toolbar di CyberBizia prima di scaricarla
Aggregatore RSS, Chat, Web TV, Web Radio, Video YouTube, software gratis, personalizzabile e molto altro ancora ...

 

Semplicemente meraviglioso - Tratto da Watch Different

Siti Web professionali per aziende pubblicità Internet per trovare nuovi clienti

Come creare siti Web professionali per l'azienda? Creare siti Web per aziende non è un gioco: occorrono professionalità e serietà. Pubblicità e promozione per trovare clienti con Internet