Ricerca in FOLBlog

I rootkit: rischio sottovalutato?

 Scritto da alle 12:54 del 29/09/2007  Aggiungi commenti
Set 292007
 
closeQuesto articolo è stato pubblicato 10 anni 2 mesi 18 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

Da parecchio tempo si sente parlare dei rootkit: un rootkit è un insieme di software che consente la presenza e l’esecuzione (invisibile e permanente) di processi all’interno di un sistema.
Non è un virus, ne’ un trojan, ne’ uno spyware ed ecco perchè viene solitamente escluso quando si parla di virus.
Costituisce un insieme di tecniche di occultamento e, di per sé, non è dannoso.
Infatti, gli stessi metodi vengono spesso usati da programmi commerciali per scopi del tutto leciti.

Ma, la tecnica adottata dai rootkit, può essere utilizzata anche per scopi diversi e meno leciti.
I più comuni rootkit fanno uso di moduli del kernel o librerie su sistemi Linux/MacOSX, e librerie dll e/o driver per quelli Windows.
Purtroppo, c’è chi ha iniziato a sfruttare questi metodi per scopi meno leciti, con risultati analoghi a quelli che si ottengono con altri malware.Un numero elevato di trojan e backdoor, utilizza rootkit per eludere i controlli dei software anti-malware o dei sistemi di protezione presenti nei sistemi operativi.
Come detto, il compito principale di un rootkit è occultare oggetti/processi di sistema all’utente. Possono essere quindi resi invisibili file, processi in memoria, servizi, porte TCP/IP in stato di ascolto e tanto altro.
Una volta penetrato nel sistema, il programma alla base del rootkit viene di solito lanciato all’avvio del sistema attraverso una procedura invisibile.
Da quel momento comincerà a svolgere il compito per cui è stato progettato: potrà intercettare i tasti digitati sulla tastiera per carpire password, codici di attivazione e informazioni riservate oppure mettersi in ascolto sulla rete, come una sorta di server invisibile, ed accettare istruzioni dall’esterno, esaminare i dati che passano nella rete a cui il PC è collegato per carpire informazioni, ecc.
Il tutto risultando perfettamente invisibile.

Ritengo una pratica rischiosa sottolineare sempre e solo quanto MacOSX e Linux siano sicuri rispetto ai malware “tradizionali” tacendo, invece, o sottovalutando/minimizzando la loro vulnerabilità potenziale ai rootkit (la vulnerabilità di Windows è invece arcinota a tutti); si potrebbe infatti indurre nell’utente MacOSX/Linux/Unix la convinzione di non essere esposto ad alcun rischio e, facendolo sentire “in una botte di ferro”, indurlo ad abbassare la guardia rispetto a comportamenti non opportuni (scaricare ed installare ogni file che capita a tiro ad esempio!).
Dato che il miglior antivirus, come ha detto non-ricordo-chi, resta sempre il cervello, sarebbe opportuno, spiegare in modo completo che occorre sempre cautela e buon senso quando si opera su Internet e con file estranei in genere.
Anche perchè, se è vero che Linux e MacOSX sono impenetrabili a tutta una serie di pericoli esterni, non è detto che lo siano altrettanto i software che si utilizzano e che non fanno parte del sistema operativo (es. si veda ad esempio la falla di sicurezza di Quicktime).

Come ci si difende dal pericolo rappresentato dai rootkit?
Prima di tutto, con il buon senso.
C’è da dire che oramai i migliori software antivirus includono meccanismi di protezione anti-rootkit; inoltre esistono dei software anti-rootkit, che aiutano a stanare e rimuovere eventuali rootkit presenti nel sistema.
Ad esempio Windows Vista integra nel proprio sistema Windows Defender.
Personalmente, dato che non sono ancora stato in grado di stabilire la reale efficacia dello strumento integrato in Vista, ho preso l’abitudine di effettuare periodiche scansioni con Gmer e con AVG Anti-Rootkit Free.
Per l’ambiente MacOSX/Linux segnalo Sophos Endpoint Security and Control e Rkhunter 1.3.0.
(Segnalate pure anti-rootkit alternativi, che usate o ritenete migliori.)

Inoltre, tempo fa, avevo letto che Intel stava lavorando all’implementazione hardware di un anti-rootkit (OIRSIS), di cui però ho poi perso le tracce.

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: