Cosa è e Come agisce un Rootkit?

Un rootkit è un programma vero e proprio, in grado di nascondersi e nascondere la propria attività attraverso lo sfruttamento e la falsificazione delle API, funzioni che permettono il dialogo fra il sistema operativo ed i programmi in esso installati. Infatti le API hanno il compito di far pervenire le informazioni sui dati presenti nell' hard disk alle applicazioni installate, e quì agisce il Rootkit poiché è in grado di intercettare queste chiamate, modificare ed occultare la propria presenza agendo su un livello bassissimo del sistema operativo ed eliminando ogni informazione su se stesso, di insediarsi molto profondamente nel sistema operativo, in pratica tra l'interfaccia utente ed il kernel (Cuore del sistema operativo).

Ed è proprio da questa posizione intermediaria che, i comandi dati vengono intercettati e falsificati.
Inoltre teniamo presente che un rootkit è anche in grado di modificare il kernel, nascondere processi e cartelle, porte di sistema, chiavi del registro, servizi e perfino profili di utenti. La minaccia più grave che un rootkit può portare alla sicurezza di un sistema è quella causata dai rootkit LKM (Loadable Kernel Module) è un meccanismo comodo e veloce per aggiungere nuove funzionalità al kernel del sistema operativo, i rootkit LKM non rimpiazzano gli eseguibili di sistema, ma ne alterano il funzionamento attraverso il kernel.

In sostanza possiamo affermare che un rootkit è composto da due elementi : il payload, ovvero un evento qualunque in grado di eseguire il codice(che può essere una vulnerabilità di sicurezza del sistema o un allegato di posta elettronica contenente il codice maligno), l'altro elemento è il vero e proprio rootkit, ovvero una routine che si aggancia al kernel oppure un driver in modalità kernel, che tenta di nascondere la propria presenza.

Quello di cui stiamo parlano è qualcosa di estremamente evoluto e sofisticato, che opera ad un livello molto basso nel sistema operativo e difficilmente intercettabile, quello che in passato era prerogativa dei sistemi di difesa, ora è usato anche da applicazioni maligne. Questa evoluzione porta inevitabilmente ad una diffusione esponenziale di malware che difficilmente possiamo rimuovere.

In uno studio presentato dagli esperti di Kaspersky viene analizzato l'andamento e l'evoluzione del fenomeno rootkit nei primi tre mesi del 2006, dal loro rapporto emerge come il fenomeno che più impensierisce gli esperti di sicurezza informatica sia rappresentato dalle nuove forme di rootkit: boot rootkit, bios backdoor e vmware rootkit, e sempre secondo lo studio, nell'ultimo triennio l'uso di rootkit è aumentato più del 600%.

L'unica soluzione "tampone" è quella di tener sempre il nostro sistema operativo aggiornato e patchtato, dotato di un buon antivirus e un buon firewall e si sconsiglia l’utilizzo di software non legale. A tutto questo và affiancato anche un migliore uso del pc poiché l’evoluzione delle applicazioni maligne è stata notevole, mentre quello degli utenti invece è ancora abbastanza bassa.
Solo con questi piccoli accorgimenti dimezzeremo il pericolo, se poi affianchiamo anche una adeguata configurazione della policy e della trusted area tramite un firewall certamente navigheremo in maniera più sicura e tranquilla.

back