martedì 2 agosto 2011

Rilevare i Virus invisibili!!! ( RootKit )

Questi software permettono di ottenere il controllo di un computer, sia da locale come un banale virus, sia da remoto come un trojan virus. I RootKit sono software largamente usati dagli hacker per nascondere le loro intrusioni . 

Essi agiscono in maniera completamente invisibile , rendendosi non rilevabili  sia dall’utente , sia dai programmi applicativi che da software di controllo come anti spyware  antivirus. Le operazioni che permettono di svolgere in modalità stealth sono moltissime, possono ad esempio nascondere backdoor, trojan, virus  e malware in generale . Per mantenere questa invisibilità sui sistemi Unix usano i moduli del kernel e librerie, mentre in Microsoft Windows, gli sviluppatori dei rootkit utilizzano librerie dll e driver di sistema. La parola rootkit vuol dire appunto attrezzatura di amministrazione, quindi questi programmi non sono in realtà nocivi,  hanno solo nel loro kernel capacità avanzate di occultamento.
Spesso le tecniche usate dai rootkit vengono integrate da software di uso quotidiano quindi non dannosi, è famosa la vicenda della Sony che ha integrato in CD Audio come quelli di Celine Dion, (album: On ne Change-Pas), e Ricky Martin (album: Life )  ecc. tecnologie per limitare il numero di copie,  installando un rootkit sul computer . Il problema è che questo software di protezione può essere usato da malintenzionati per memorizzare dati privati degli utenti in maniera nascosta e permette intrusioni non autorizzate nel computer nascondendo trojan e virus in generale. 

Per loro natura i rootkit suscitano gli interessi di Hacker, Cracker, e Virus Writer , soprattutto di questi ultimi che sfruttano le capacità di questi software per rendere i loro virus immuni alla scansione di antivirus compromettendo la sicurezza di qualsiasi sistema. Esiste infatti  una tipologia di virus chiamatavirus stealth, che utilizza largamente queste caratteristiche. 

Come funzionano i rootkit
La prima operazione che compie un rootkit una volta installato, è quella di assicurarsi la sua esecuzione all’avvio del computer,  iniettando spesso un comando nel registro di configurazione del sistema e rendendolo invisibile. I rootkit per mantenere questa invisibilità, si installano come parte del Sistema Operativo spacciandosi per una libreria , un driver ecc. Riescono quindi a mettersi tra il Sistema Operativo e il programma permettendo di filtrare tutto ciò che si intende nascondere e riuscendo a rendere invisibile applicazioni base per qualsiasi sistema operativo , come chiavi di registro di configurazione,  processi di sistema  e addirittura riescono a rendere stealth porte di rete. 
Per questo motivo la loro rimozione è molto delicata e difficile. Si rischia infatti di compromettere l’inera integrità del sistema operativo. Una volta che il rootkit è installato, può aiutare i software come backdoors,  che si mettono in ascolto sulla rete in attesa di istruzioni esterne a  non essere intercettati. Può evitare l’identificazione  di keylogger che memorizzano tutto ciò che viene digitato e lo inviano al malintenzionato

Rootkit avanzati: rootkit LKM 

La minaccia più grave che un rootkit può portare alla sicurezza di un sistema è quella causata dai rootkit LKM ( Loadable Kernel Module ) è un meccanismo comodo e veloce per aggiungere nuove funzionalità al kernel del sistema operativo. I rootkit LKM non rimpiazzano gli eseguibili di sistema come visto in precedenza, ma ne alterano il funzionamento attraverso il kernel. 

Come difendersi dai rootkit e come trovarli

Riuscire a capire che il sistema sia stato Infettato da un rootkit è fondamentale per poterlo eliminare. Come per i virus, i primi segni di malfunzionamento dovrebbero insospettire l'utente. Una tipica anomalia causata dai rootkit è un forte utilizzo della banda di comunicazione in uscita, questa anomalia è causata potenzialmente da intrusi che usano il sistema per diffondere e distribuire software protetti, crack e materiali illeciti ( warez ). 

Per intercettare ed evitare l’installazione di queste applicazioni fantasma, si utilizzano programmi chiamati Anti Rootkit spesso si trovano in rete anche software con i nomi di rootkit revealer, rootkit removal e rootkit hunter . Questi software non sono infallibili perché basati soprattutto sul monitoraggio del filesystem . I rootkit, infatti rimpiazzano gli eseguibili di alcuni file di sistema con le relative versioni trojan, in modo da mantenere inalterata la funzionalità del file aggiungendo però le loro tecniche stealth per nascondere le azioni degli intrusi o i programmi da proteggere. E’ molto difficile identificarli perchè sono in grado di  imitare la data di creazione e la dimensione dei files  di sistema che rimpiazzano . Ovviamente un software AntiRootkit che tiene traccia unicamente di queste informazioni,  non è sufficiente a determinarne la presenza. 
Occorrerebbe quindi adottare l’utilizzo di un database dei files presenti nel sistema di cui calcolare e conservare il loro checksum. Questo database dovrebbe però essere conservato in un supporto di sola lettura ; nasce dunque il problema che questo database dovrebbe essere aggiornato e conservato ogni qualvolta si installino nuovi files. Un rootkit come abbiamo detto in precedenza non è progettato per danneggiare ma semplicemente per nascondere.

Per essere installato un rootkit dannoso, si devono spesso sfruttare le tecniche che usano i normali virus per installarsi e diffondersi , quindi valgono gli stessi consigli che si usano per i virus : installazione dipatch dei software, aggiornamenti continui del sistema operativo, installazione di firewall e antivirus.


link dove scaricare molti tool freeware per i rootkit. http://www.networkice.com/

Nessun commento:

Posta un commento