Sicurezza  »  Articoli  »  Software di sicurezza 

Introduzione

Il concetto di rootkit nasce con i sistemi Unix, tralasciando l'etimologia della parola, possiamo semplicemente definire un rootkit come un software che ha come scopo principale quello di nascondersi agli occhi dell'utente e garantire a un attaccante il completo controllo del computer della vittima.

Rootkit principi di funzionamento

Un rootkit può annidarsi nel nostro sistema in diversi modi, un tipico esempio consiste nello sfruttare una "backdoor" presente nei software o nei sistemi operativi, non meno frequente è la diffusione tramite pen drive USB o altri supporti di memorizzazione. Un rootkit opera in modalità demone, in altre parole resta continuamente in ascolto ed in esecuzione pronto ad eseguire il compito per il quale è stato progettato. Molti rootkit sovrascrivono i normali comandi di sistema così da essere trasparenti agli occhi degli utenti e dei sistemi antivirus. Un modo per prevenire il diffondersi dei rootkit nel nostro sistema potrebbe essere quello di associare una "checksum" a tutti i file e comandi presenti nel sistema, così quando un rootkit prova ad "infettare” un file la "checksum" (paragonabile ad un'impronta digitale del file) risulterà alterata, proprio questa metodologia è alla base di molti software anti-rootkit, i quali cercano di contrastare questo problema. Tutti i sistemi operativi non sono immuni dai rootkit. Oltre all'utilizzo dei vari anti-rootkit che presenteremo in quest'articolo è naturalmente utile provvedere al continuo aggiornamento del sistema operativo e dei vari software utilizzati, nonché all'installazione di un firewall capace di analizzare il traffico che transita sulla nostra rete.

Dopo una breve ma doverosa digressione sulle tecniche ed i rischi dei rootkit presentiamo alcuni software anti-rootkit nonché alcune semplici contromisure che possiamo adottare per proteggerci da questa minaccia.

Sophos Anti-Rootkit

Compatibile con tutti i sistemi operativi di casa Microsoft a partire da Windows XP sino a Windows Server 2008 (sia 32 che 64 bits) Sophos Anti-Rootkit è giunto alla versione 1.5.4, prima di procedere al download del software occorrerà effettuare la registrazione gratuita nell'apposita area del sito ufficiale Sophos. L'installazione e la disinstallazione del software seguono la normale procedura dei sistemi Windows. L'amministrazione è resa semplice dall'interfaccia grafica (GUI) semplice ed intuitiva, oppure per i più esperti viene messa a disposizione la possibilità di amministrare il software tramite la riga di comando.

Il sistema anti rootkit Sophos permette la scansione e la protezione sia del disco sia del registro di sistema.

Figura 1. Sophos Anti-Rootkit

Altri articoli

Altre guide

Altre newsletter