Il pericolo dei Rootkit

30 Ottobre 2008 0 di Elvio

Un rootkit è un codice maligno che si può installare, per vari motivi, sui nostri PC e ne prende il controllo.
Tra i più insidiosi si possono classificare quelli che si installano sul Master Boot Record. Facendo qualche passo indietro nella storia dei PC, qualcuno ricorderà Brain, che fu il primo virus per IBM-PC documentato. Brain era un boot sector virus con tecnologia stealth, capace cioè di nascondersi prendendo il controllo dell’INT 13h, (un interrupt utilizzato per il controllo diretto dell’accesso ai dischi). Ogni qualvolta si tentava di leggere il settore di boot del disco infetto, Brain mostrava la copia originale del boot sector. Da Brain in poi sono stati migliaia i virus che hanno utilizzato una simile tecnologia (o più avanzate) per rendersi invisibili agli occhi dell’utente e degli scanner antivirus, alterando le funzioni basilari e compromettendo così il funzionamento del sistema operativo.
A quei tempi si parlava di Brain, Stoned, Tequila e molti altri. Questa tipologia di infezione, con il passare degli anni scomparve, lasciando il posto ad altri tipi di malware. Ad oggi, la tipologia di infezione più complessa, è senza dubbio il rootkit. Tecnicamente parlando, le modalità con cui un rootkit compromette a basso livello il sistema operativo è affascinante ed allo stesso tempo pericoloso. Vi sarà capitato di conoscere differenti tecniche di attacco utilizzate da varie forme virali per compromettere il sistema operativo e nascondere le componenti dell’infezione all’interno del pc. Ogni volta, la guerra è stata combattuta dall’interno del sistema operativo, una guerra tra i ricercatori delle società antivirus e malware writer per riuscire a garantirsi il controllo del PC.
Qualcosa però stava cambiando. Nel 2005 alcuni ricercatori della eEye Digital Security pubblicarono un nuovo progetto, chiamato BootRoot. Il progetto era essenzialmente un nuovo tipo di rootkit che tentava di compromettere Windows dall’esterno, sovrascrivendo il Master Boot Record con del codice che aveva la capacità di modificare il driver di Windows ndis.sys sin dall’avvio. Una volta insediatosi il rootkit si esegue al boot del sistema, ancor prima dell’avvio di XP o Vista, e in questo modo assume il controllo completo del processo di boot del sistema operativo e può installare ed eseguire qualsiasi applicazione senza che l’utente del pc o il sistema operativo ne siano consapevoli. Niente di sorprendente dal punto di vista concettuale, considerato che l’obiettivo dei rootkit è proprio quello di installarsi nel sistema in maniera completamente nascosta e invisibile, e ad un livello talmente profondo, che nessun programma caricato nel sistema stesso, possa scoprirli o neutralizzarli. E’ proprio per questo motivo che gran parte delle soluzioni antirootkit falliscono miseramente nell’individuare, correttamente, alcuni codici maligni dall’interno di Windows, anche perché i malware writer possono utilizzare diversi trucchi e tecniche molto sofisticate e particolarmente difficili da individuare. Per questo che la tendenza è quella di lasciare il campo del sistema operativo e si sta spostando all’esterno con sitemi operativi indipendenti sicuramente più in grado di controllare ad un livello molto più favorevole. Per approfondimenti leggete qui. Saluti.