Rootkit
In informatica un rootkit, letteralmente equipaggiamento da amministratore (in ambiente Unix per "root" access si intende accesso di livello amministrativo), è un programma software prodotto per avere il controllo sul sistema senza bisogno di autorizzazione da parte di un utente o di un amministratore. Recentemente alcuni virus informatici si sono avvalsi della possibilità di agire come rootkit (processo, file, chiave di registro, porta di rete) all'interno del sistema operativo.
Indice |
Descrizione [modifica]
Se è vero che questa tecnologia è fondamentale per il buon funzionamento del sistema operativo, negli anni sono stati creati cavalli di Troia e altri programmi maligni volti ad ottenere il controllo di un computer da locale o da remoto in maniera nascosta, ossia non rilevabile dai comuni strumenti di amministrazione e controllo. In più i rootkit possono inviare dei virus (spam e cookie) per email. I rootkit vengono tipicamente usati per nascondere delle backdoor. Negli ultimi anni, tuttavia, si è molto diffusa la pratica, tra i creatori di malware, di utilizzare rootkit per rendere più difficile la rilevazione di particolari trojan e spyware, indipendentemente dalla presenza in essi di funzioni di backdoor, proprio grazie alla possibilità di occultarne i processi principali. Grazie all'alto livello di priorità con la quale sono in esecuzione, i rootkit sono molto difficili da rilevare e da rimuovere con i normali software Antivirus.
I rootkit vengono usati anche per trovare le informazioni personali presenti in un computer e inviarle al mittente del malware ed essere poi utilizzate da esso per scopi personali, come per esempio un keylogger (a livello kernel) che memorizza tutti i tasti premuti direttamente dal driver per il controllo della tastiera.
I più comuni rootkit fanno uso di moduli del kernel o librerie su sistemi Unix, e DLL e driver per quelli Windows.
I rootkit di tipo kernel driver sono la categoria più forte e difficile da trovare, perché possono prendere il controllo di una qualsiasi funzione del sistema direttamente al livello più privilegiato (IOPL = 0). Solitamente essi adottano varie tecniche:
- Modifica dei vettori della tabella dei descrittori dei servizi di sistema (SSDT)
- Intercettazione delle "system call" invocate dall'istruzione SYSENTER
- Infiltrazione nello stack dei drivers lungo una richiesta IRP
Tra i più noti si possono annoverare FU e NT Rootkit.
PlayStation 3 [modifica]
Un particolare tipo di rootkit è presente anche nel sistema operativo (versione 3.56 o superiori) della Playstation 3. Questo è stato introdotto da Sony con l'aggiornamento alla versione 3.56 del firmware e serve a prevenire l'accesso a PlayStation Network delle console modificate, con successivo ban dell'Indirizzo MAC della loro scheda di rete
Voci correlate [modifica]
Collegamenti esterni [modifica]
- (EN) La prima segnalazione del rootkit contenuto in alcuni CD audio della Sony.
 Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica |
