I rootkit fanno la loro comparsa con clamore anche nel mondo Windows. Relegati sinora al mondo Unix/Linux, cominciano a diffondersi anche sui computer a finestrelle. Fastidiosi e invisibili, sono una delle minacce più pericolose per i personal computer, molto più dei virus e dei trojan.
I rootkit sono dei software che consentono l'esecuzione di varie funzioni di cracking del computer. Il loro utilizzo viene eseguito dall'aggressore dopo essere entrato nel sistema e averne violato la sicurezza. Come primo requisito dei rootkit vi è la possibilità di nascondersi alle normali procedure di monitoraggio degli amministratori di sistema e degli utenti comuni. I rootkit agiscono infatti ad un profondo livello del sistema, intercettando le comuni operazioni dei software e nascondendosi dietro di esse. Nessun log e nessuna visualizzazione dei processi attivi sono in grado di identificarli.
Una volta installato e configurato a dovere, il rootkit può eseguire le più comuni operazioni di cracking dei sistemi. Vengono utilizzati soprattutto per tenere aperti gli accessi alla macchina dopo che essa è stata violata attraverso l'uso di diversi exploit di vulnerabilità. I rootkit, accoppiati con altri strumenti di insicurezza informatica, sono in grado di registrare le sequenze di caratteri composte sulla tastiera e di inviarle ad un destinatario specifico; possono nascondere le attività di un cavallo di troia, o ancora funzionare da postazioni "zombie" da attivare per spedire spam o per eseguire attacchi di Denial Of Service verso altri computer.
Come rileva lo stesso nome (root è l'account dell'utente principale sui sistemi Unix), i rootkit sono stati utilizzati soprattutto su macchine provenienti dal mondo Unix, compreso lo stesso Linux. In questo ambito venivano utilizzati per ricompilare alcuni comandi tipici del sistema operativo per evitare che il loro utilizzo venisse monitorato dai log o dagli sguardi attenti dell'amministratore di sistema. In questo modo se l'aggressore esegue, ad esempio, il comando passwd per modificare le password di un account in modo da utilizzare successivamente, nessuna traccia sarebbe rimasta del suo passaggio.
Da Febbraio Microsoft è in prima linea per combattere il fenomeno rootkit che si sta espandendo con preoccupazione anche nell'ambito Windows. Il fenomeno non è nuovo, sin dal 2003 sono comparse le prime avvisaglie di rootkit per Windows 2000. Chiamati "Slanret", "IERK," o "Backdoor-ALI", come recita un articolo di SecurityFocus dell'epoca, provocavano più impacci e malfunzioni al computer che danni veri e propri alla sicurezza dei dati.
Ma è dall'inizio di quest'anno che l'azienda di Redmond ha rivelato le più serie preoccupazioni. Nella cornice della RSA Conference 2005 a San Francisco, due manager Microsoft hanno mostrato grande preoccupazione per l'espandersi del fenomeno. Vecchi nomi, ben conosciuti a chi si occupa di sicurezza, come Hacker Defender, si stanno facendo sempre più pericolosi e raffinati.
Microsoft, sembra, ha le armi per sconfiggerli. Strider GhostBuster è un strumento per rilevare i rootkit su sistemi Windows. Poiché queste minacce sfuggono a sistemi di controllo tradizionali, Strider GhostBuster opera comparando due versioni dei file: da un lato quelle presenti sul sistema analizzato, dall'altro quelle di un sistema "pulito" conservato su CD o su altro supporto chiamato "offline system".
Ma la battaglia è solo iniziata. Il creatore di Hacker Defender, che ha inziato a vendere i propri prodotti a peso d'oro con tanto di listino online, ha anche pubblicato sul suo sito un video in cui si prende gioco dei sistemi anti-rootkit presenti sul mercato, mostrando come non riescano ad individuare le ultime versioni del suo tool di sprotezione.
