Rootkit : Conosciamoli

Ormai è diventata quasi una moda parlare di rootkit, il tutto nasce da un articolo pubblicato alcuni mesi fa da Mark Russinovich, programmatore di Sysinternals, in cui riportava la notizia che RootkitRevealer avrebbe rilevato la presenza di un rootkit all’interno del software installato da un cd musicale Sony.
Cerchiamo di capire cosa è e come agisce un rootkit.

Un rootkit è un programma vero e proprio, in grado di nascondersi e nascondere la propria attività: questo avviene attraverso lo sfruttamento e la falsificazione delle chiamate API, infatti sono queste funzioni che permettono il dialogo fra il sistema operativo ed i programmi in esso installati.

Le funzioni API hanno il compito di far pervenire le informazioni sui dati presenti nell’hard disk alle applicazioni installate, un rootkit è in grado di intercettare queste chiamate, modificare ed occultare la propria presenza agendo su un livello bassissimo del sistema operativo ed eliminando ogni informazione su se stesso dalle API, è in grado di insediarsi molto profondamente nel sistema operativo, tra il livello user ed il livello kernel(il cuore del sistema operativo), in tal modo i comandi dell’utente verranno intercettati dal rootkit prima che questi arrivino al kernel e permettendo allo stesso di falsificare i risultati nascondendo quindi la propria attività e i propri files e cartelle.

Inoltre teniamo presente che un rootkit è anche in grado di modificare il kernel, nascondere processi e cartelle, porte di sistema, chiavi del registro, servizi e perfino profili di utenti. La minaccia più grave che un rootkit può portare alla sicurezza di un sistema è quella causata dai rootkit LKM (Loadable Kernel Module) è un meccanismo comodo e veloce per aggiungere nuove funzionalità al kernel del sistema operativo, i rootkit LKM non rimpiazzano gli eseguibili di sistema, ma ne alterano il funzionamento attraverso il kernel.

In sostanza possiamo affermare che un rootkit è composto da due elementi : il payload, ovvero un evento qualunque in grado di eseguire il codice(che può essere una vulnerabilità di sicurezza del sistema o un allegato di posta elettronica contenente il codice maligno), l’altro elemento è il vero e proprio rootkit, ovvero una routine che si aggancia al kernel oppure un driver in modalità kernel, che tenta di nascondere la propria presenza.
Come possiamo facilmente capire da queste poche righe, esposte anche in maniera molto superficiale, stiamo parlano di qualcosa di estremamente evoluto e sofisticato, che opera ad un livello molto basso nel sistema operativo e difficilmente intercettabile, quello che in passato era prerogativa dei sistemi di difesa, ora è usato anche da applicazioni maligne. Questa evoluzione porta inevitabilmente ad una diffusione esponenziale di malware che difficilmente possiamo rimuovere.

In uno studio presentato dagli esperti di Kaspersky viene analizzato l’andamento e l’evoluzione del fenomeno rootkit nei primi tre mesi del 2006, dal loro rapporto emerge come il fenomeno che più impensierisce gli esperti di sicurezza informatica sia rappresentato dalle nuove forme di rootkit: boot rootkit, bios backdoor e vmware rootkit, e sempre secondo lo studio, nell’ultimo triennio l’uso di rootkit è aumentato più del 600%.
Credo che quanto esposto sia già abbastanza per poter preoccupare chiunque, ma cerchiamo anche di non “demonizzare” il problema, di non farci travolgere dallo stesso e il solo fatto di essere consapevoli che esista è già una grande conquista, ora però sorge spontanea una domanda : che dobbiamo fare?

E’ molto semplice, intanto cerchiamo di tenere sempre il nostro sistema operativo aggiornato e patchtato, pertanto si sconsiglia l’utilizzo di software non legale, e dotiamo il nostro sistema di un buon antivirus e un buon firewall, inoltre sono da seguire le basilari regole della corretta navigazione, in tutta la rete troviamo piccole guide e consigli in merito, approffondiremo più avanti questo argomento, intanto possiamo giungere ad una conclusione, forse frettolosa o semplicistica ma che può farci riflettere sull’argomento.

Un rootkit è una minaccia, abbiamo visto un po’ sommariamente come agisce, possiamo affermare anche che sfrutta falle nel sistema operativo e la superficialità nell’uso del pc, non me ne vogliano gli utenti poco esperti, ma purtroppo ora è una realtà, l’evoluzione delle applicazioni maligne è stato notevole, mentre quello degli utenti invece è ancora abbastanza basso, le tecniche di difesa sono molte, ma cosa succederebbe se eliminiamo le falle nel sistema ed utilizziamo il pc in maniera più attenta?

Io sono certa che solo con questi piccoli accorgimenti dimezzeremo il pericolo, se poi affianchiamo anche una adeguata configurazione della policy e della trusted area tramite un firewall certamente navigheremo in maniera più sicura e tranquilla.