Sicurezza  »  Articoli  »  Tecniche di sicurezza 

Le recenti notizie di cronaca riguardanti l'utilizzo di rootkit da parte di Sony BMG all'interno di alcuni suoi CD ha portato alla ribalta un fenomeno a lungo sottovalutato di cui molti ignoravano l'esistenza. L'affare Sony è in realtà solo la punta di un iceberg sommerso in costante e rapida crescita. Il fenomeno si sta diffondendo al punto tale che alcuni addetti ai lavori hanno ritenuto di dover coniare un nuovo termine per identificare il malware facente uso di tali tecniche. D'ora in poi sarà sempre più facile imbattersi nel cosiddetto Ghostware.

Il punto di forza di questi software fantasma è che grazie a particolari tecniche di programmazione riescono a rendersi completamente invisibili all'utente, ai programmi applicativi e all'intero sistema operativo. Questo significa che nessun antivirus, nessun programma antispyware e nessuno strumento antimalware sarà in grado di rilevarli. Diventa del tutto irrilevante il fatto che questi programmi di scansione posseggano nel loro database le firme per poterli individuare. Non si può riconoscere ciò che non si vede!

Di seguito si descriveranno brevemente le tecniche di funzionamento adottate dai rootkit per nascondere file e programmi e si illustreranno alcuni strumenti utili alla loro individuazione.

Breve storia

Il termine rootkit esiste da più di una decina di anni, non è quindi un fenomeno nuovo. Per molto tempo gli unici esemplari conosciuti erano destinati a mascherare intrusioni perpetrate da pirati informatici ai danni di macchine Unix collegate alla rete. Il loro scopo era nascondere all'amministratore di sistema eventuali backdoor o altri programmi installati dall'intrusore.
Il mondo Windows non è stato a guardare per molto tempo. L'articolo "A *REAL* NT Rootkit, patching the NT Kernel" di Greg Hoglund pubblicato nel 1999 su Phrack rappresenta la svolta. Da questo momento in poi le evoluzioni sono rapide e continue. I primi abbozzi di codice, che spesso rendevano instabile il sistema, vengono perfezionati rendendo i rootkit per Windows una realtà di cui cominciare ad aver paura.

Allo stato attuale esiste un discreto numero di rootkit disponibile liberamente su internet che aspetta soltanto di essere usato per creare il nuovo ghostware di turno. AFX, Vanquish, Hacker Defender (disponibile in versione silver, gold e brilliant) sono solo alcuni della lista. Di quest'ultimo è disponibile una versione open source pronta per essere studiata e modificata. Su richiesta e a pagamento l'autore fornisce addirittura una copia del programma personalizzata che non sia individuabile dagli antivirus prima della sua installazione.

Siti come rootkit.com sono il ritrovo preferito di persone attive in prima linea per studiare il fenomeno, per creare nuove tecniche di attacco ma anche per programmare strumenti di difesa. Infine il libro "ROOTKITS, Subverting the Windows Kernel" del già citato Hoglund è diventato una vera e propria bibbia per chi si interessa dell'argomento.

Altri articoli

Altre guide

Altre newsletter