Rootkit

Da Wikipedia, l'enciclopedia libera.

Un rootkit, termine letteralmente traducibile in lingua italiana con equipaggiamento da amministratore (in ambiente Unix per "root" access si intende accesso di livello amministrativo), in informatica, è un programma software prodotto per avere il controllo sul sistema senza bisogno di autorizzazione da parte di un utente o di un amministratore. Recentemente alcuni virus informatici si sono avvalsi della possibilità di agire come rootkit (processo, file, chiave di registro, porta di rete) all'interno del sistema operativo.

Caratteristiche[modifica | modifica sorgente]

Se è vero che questa tecnologia è fondamentale per il buon funzionamento del sistema operativo, negli anni sono stati creati cavalli di Troia e altri programmi maligni volti ad ottenere il controllo di un computer da locale o da remoto in maniera nascosta, ossia non rilevabile dai comuni strumenti di amministrazione e controllo. In più i rootkit possono inviare dei virus (spam e cookie) per email. I rootkit vengono tipicamente usati per nascondere delle backdoor. Negli ultimi anni, tuttavia, si è molto diffusa la pratica, tra i creatori di malware, di utilizzare rootkit per rendere più difficile la rilevazione di particolari trojan e spyware, indipendentemente dalla presenza in essi di funzioni di backdoor, proprio grazie alla possibilità di occultarne i processi principali. Grazie all'alto livello di priorità con la quale sono in esecuzione, i rootkit sono molto difficili da rilevare e da rimuovere con i normali software Antivirus.

Utilizzo[modifica | modifica sorgente]

I rootkit vengono usati anche per trovare le informazioni personali presenti in un computer e inviarle al mittente del malware ed essere poi utilizzate da esso per scopi personali, come per esempio un keylogger (a livello kernel) che memorizza tutti i tasti premuti direttamente dal driver per il controllo della tastiera.

I più comuni rootkit fanno uso di moduli del kernel o librerie su sistemi Unix, e DLL e driver per quelli Windows.

I rootkit di tipo kernel driver sono la categoria più forte e difficile da trovare, perché possono prendere il controllo di una qualsiasi funzione del sistema direttamente al livello più privilegiato (IOPL = 0).

Solitamente essi adottano varie tecniche:

  1. Modifica dei vettori della tabella dei descrittori dei servizi di sistema (SSDT)
  2. Intercettazione delle "system call" invocate dall'istruzione SYSENTER
  3. Infiltrazione nello stack dei drivers lungo una richiesta IRP

Rootkit famosi[modifica | modifica sorgente]

Tra i più noti si possono annoverare FU e NT Rootkit.

Un particolare tipo di rootkit è presente anche nel sistema operativo (versione 3.56 o superiori) della Playstation 3. Questo è stato introdotto da Sony con l'aggiornamento alla versione 3.56 del firmware e serve a prevenire l'accesso a PlayStation Network delle console modificate, con successivo ban dell'Indirizzo MAC della loro scheda di rete.

Voci correlate[modifica | modifica sorgente]

Altri progetti[modifica | modifica sorgente]

Collegamenti esterni[modifica | modifica sorgente]