Che cosa sono i Rootkits?Category=Sicurezza Internet

Sun, 23 Jul 2006 06:56:49 GMT

I "rootkit" sono tornati alla ribalta di recente, per la precisione nel 2005, a seguito dello scandalo dei CD musicali della Sony i quali, non appena venivano riprodotti su un PC con sistema operativo Windows, vi installavano surrettiziamente un rootkit che ne controllava l'utilizzo. In quella circostanza, la Sony non faceva menzione di tale evenienza, ma si citavano solamente generiche "misure di protezione contro violazioni del diritto d'autore".

Origine dei rootkits

Il termine "rootkit" è un termine piuttosto vecchio: risale probabilmente alla prima metà degli anni novanta, quando i sistemi Unix erano la regola.
Esso è la combinazione di due parole:

Un rootkit, dunque, è un insieme di strumenti (programi software) di cui deve dotarsi chiunque, dopo avere avuto accesso (solitamente in maniera fraudolenta) a un computer, voglia mantenere nel tempo i privilegi di amministratore (root) del computer vittima. Per ottenere ciò, evidentemente, il rootkit deve anche essere in grado di riuscire a nascondere la propria presenza e le proprie tracce ai software anti-virus. Soprattutto per questa loro caratteristica, si ritiene che l'idea di base dei rootkits si ispiri ai virus creati per i vecchi sistemi MS-DOS. Quei virus, infatti, furono i primi che, modificando il sistema operativo, riuscivano a nascondere la loro presenza.

Esistono rootkits per la maggior parte dei sistemi operativi comunemente impiegati: Linux, Solaris e, naturalmente, tutte le versioni di Microsoft Windows. I rootkits riescono a modificare intere porzioni del sistema operativo del computer e si installano sotto forma di driver o moduli kernel.
 

Utilizzo dei rootkits

Come si è detto, un rootkit viene solitamente utilizzato per nascondere altri software in cui scopo è quello di prendere il controllo del computer vittima, procurandovi danni di diversa natura quali:

Il computer infetto da un rootkit viene chiamato "zombie". Esso, infatti, viene utilizzato come "palcoscenico" dal quale inviare gli attacchi illeciti veri e propri verso altri computers o networks. In questo modo, gli illeciti appaiono originare dallo "zombie" e non dall'hacker realmente responsabile.

Differenze con virus e worms

È importante comprendere la differenza tra i rootkits e i viruses/worms. Ciò che li distingue è, fondamentalmente la loro capacità di "propagazione". In generale, un rootkit si limita a mantenere il controllo di un solo computer, mentre virus e worms tentano anche di propagarsi ad altri computer.

Tuttavia viruses, worms e rootkits utilizzano tecniche analoghe per infettare la loro vittima, modificando le componenti software fondamentali del computer attaccato e nascondendosi all'amministratore del sistema.

Naturalmente esistono anche degli ibridi: un worm può installare un rootkit e un rootkit può installare copie di uno o più worms o virus, spyware, scanner di porte, etc.

C'è da dire che i rootkits di per sé non sono di natura maligna. Essi non sono la causa diretta di danni, ma vengono utilizzati per nascondere codici maligni: un malware (virus, worms, backdoors, spywares ...) che si appoggia a un rootkit può restare attivo e nascosto in un sistema per lungo tempo, anche se il computer è protetto da un buon antivirus sempre aggiornato. Un malware, per esempio, può eseguire un particolare comando del rootkit di appoggio per controllare che i files init e inetd, fondamentali per il funzionamento corretto del computer, siano ancora infetti. In caso negativo, provvede automaticamente a reinfettarli nella maniera opportuna, tale da assicurare in controllo del computer vittima.

Il virus, però, solitamente cerca di propagarsi e di infettare altri computer, mente il rootkits si limita a risiedere all'interno dello "zombie" per continuare a mantenerne il controllo.

Individuare un rootkit

Trovare un rootkit al'interno di un computer infetto non è semplice. Questo è dovuto alla natura stessa del rootkit. Come si è detto, un rootkit è un insieme di programmi che modificano molte componenti fondamentali sulle quali si basa il funzionamento dei programmi software del computer. 

Il problema fondamentale nella individuazione di un rootkit, dunque, è che non è più possibile fare affidamento sul sistema operativo, poichè è proprio quest'ultimo che è stato alterato nelle sue componenti di base. In altri termini, operazioni come la richiesta dell'elenco dei processi in esecuzione o dei files in una data cartella del disco rigido (indispensabili per poter individuare anomalie) non danno più risultati affidabili. I software anti-rootkit esistenti attualmente funzionano solamente perchè non si è ancora riusciti a sviluppare rootkits che riescono a nascondersi in maniera completa, ma lasciano qualche traccia, anche se minima, della loro presenza.

Il modo migliore per individuare un rootkit è, dunque, quello di spegnare il computer sospettato di infezione e controllarne il disco fisso utilizzando un'altro hardware (per esempio il CD-ROM di ripristino creato durante la prima installazione del computer o un drive USB flash). Solamente un rootkit che non è in esecuzione, infatti, non può nascondere la sua presenza e, in tal caso, un buon anti-virus dotato di anti-rootkit è in grado di individuarlo facilmente.

Rimuovere un rootkit

Sono molti coloro che ritengono che eliminare un rootkit sia praticamente impossibile. Anche se si conoscesse l'esatto funzionamento di un dato rootkit, il tempo, gli sforzi e le competenze tecniche richieste per riuscire ad "estirparlo" dal computer infetto sono tali da rendere preferibile formattare il disco fisso e reinsallare il sistema operativo vergine. 

Esiste un modo per eliminare un rootkit. Si utilizza un'altro filesystem driver quando il sistema è online. Rkdetector v2.0 è un software in grado di cancellare files nascosti anche quando il sistema operativo del computer infetto è in esecuzione. Per far ciò esso utilizza il suo filesystem driver NTFS e FAT32.  Una volta individuato e il computer viene fatto ripartire, i files che costituiscono il rootkit non verranno mandati in esecuzione perchè risulteranno danneggiati.

Questro articolo è il risultato di una libera traduzione dall'inglese dell' inserto "Rootkit" pubblicato su Wikipedia, con alcune integrazioni tratte dall'articolo "Rootkits" di Stéphanie Deléamont e Benoit Perroud.

 

Autore: 

 

Se questo articolo ti è piacciuto clicca sull'icona qui accanto per conservarlo sul tuo servizio di Social Bookmaring preferito Conserva questo articolo sul tuo servizio di Social Bookmaring preferito

Scrivi una recensione o un commento all'articolo Che cosa sono i Rootkits?

Segnala l'articolo Che cosa sono i Rootkits? a un amico

Creazione siti Web:  RSS feed: per importare questo feed RSS di CyberBizia fai clic con il tasto destro del mouse, scegli 'copia collegamento' e incolla il link nel tuo aggregatore preferito  XLM feed: per importare questo feed RSS di CyberBizia fai clic con il tasto destro del mouse, scegli 'copia collegamento' e incolla il link nel tuo aggregatore preferito

Come aggiornare un sito Web: indicizzazione
Come essere al top nei Motori di Ricerca
Chi visita il tuo sito Web?
Controllare l'indicizzazione nei Motori di Ricerca
Ottimizzare Tags e META-Tag di un sito Web
Ottimizzare i contenuti di un sito Web
Selettore parole chiave
Efficacia e reperibilità di un sito Web
Indicizzare un sito Internet con Google Sitemaps
Indicizzare un sito Internet con le Yahoo! Sitemaps
Che cosa sono le Google Sitemaps?
Ricerca parole chiave
L'essenziale per una campagna di ottimizzazione per i motori di ricerca
Truffe nella promozione di siti web: tempi di risposta dei motori di ricerca
Utilizzare i meta-tags come strategia di web marketing
Scrivere testi per siti web, motori di ricerca e indici
Apparire nei motori di ricerca
Apparire negli indici di ricerca
Suggerimenti per l'indicizzazione su Internet
Link Popularity: popolarità da collegamenti e motori di ricerca
Suggerimenti per indicizzare un sito su Yahoo!
Usabilità del sito Web
I prezzi proibitivi delle agenzie SEO
Cosa richiedere ad uno specialista della ottimizzazione per i motori di ricerca
Come funziona il Traffic Rank di Alexa?

 

Per essere sempre aggiornato sulle nostre novità, notizie e offerte speciali
scopri tutti i vantaggi della toolbar di CyberBizia prima di scaricarla
Aggregatore RSS, Chat, Web TV, Web Radio, Video YouTube, software gratis, personalizzabile e molto altro ancora ...

 

Semplicemente meraviglioso - Tratto da Watch Different

Siti Web professionali per aziende pubblicità Internet per trovare nuovi clienti

Come creare siti Web professionali per l'azienda? Creare siti Web per aziende non è un gioco: occorrono professionalità e serietà. Pubblicità e promozione per trovare clienti con Internet
Sedna Gold is Omega replica watches uk seizing the essence of modern metallurgical technology, combining high-tech replica watches with independent innovation, creating a new best replica watches type of red gold material with replica watches online longer lasting color.