Un Rootkit è uno dei tipi di malware più avanzati attualmente esistenti. Per anni, le soluzioni di sicurezza hanno lottato per il rilevamento e la rimozione, soprattutto perché i rootkit compromettono il sistema operativo a un livello tale da poter nascondere la loro presenza sia alle soluzioni anti-malware che al sistema operativo stesso.
Cos'è un Rootkit e come funziona?
Il termine Rootkit è una concatenazione delle parole "root", l'utente più privilegiato di un sistema operativo basato su Unix, e "kit", l'insieme degli strumenti software che compongono il rootkit. I rootkit risalgono ai primi anni '90, quando erano focalizzati su Sun e Linux, ma l'emergere di nuovi sistemi operativi ha portato allo sviluppo di rootkit per Windows nel 1999 e per Mac nel 2009.
A differenza del malware tradizionale, i rootkit introducono una falla fondamentale nel computer che infettano. Non compromettono file o cartelle. Al contrario, alterano tutto ciò che il sistema operativo riporta all'utente in base alle esigenze del loro creatore.
I rootkit si dividono in due categorie principali, a seconda del loro campo d'azione: rootkit in modalità utente e rootkit in modalità kernel. Per capire come compromettono un sistema operativo, dobbiamo innanzitutto capire come funziona un sistema operativo. Tutte le applicazioni sul computer comunicano tramite chiamate di funzione passate attraverso l'API (Application Programming Interface) del sistema operativo. Un driver in modalità utente aggancia l'Import Address Table (un elenco di tutti gli indirizzi delle API o delle funzioni di sistema che il programma deve far eseguire al kernel del sistema operativo).
I rootkit in modalità kernel utilizzano driver di sistema che si collegano al kernel per "intermediare" le chiamate API tra le applicazioni utente e il sistema operativo stesso. Una volta installato, il driver del rootkit reindirizza le chiamate alle funzioni di sistema in modo che il proprio codice venga eseguito al posto del codice del kernel. Pertanto, quando si apre una cartella per vederne il contenuto, di solito si interroga il kernel sul numero di file presenti nella cartella in questione. Tuttavia, un rootkit potrebbe intercettare la richiesta e segnalare tutti i file presenti nella cartella, tranne alcuni che sono dannosi. L'utente, il sistema operativo o la soluzione anti-malware non sapranno nemmeno che alcuni file sono mai esistiti nella cartella in questione.
Utilizzando un rootkit, un hacker dispone di tutti i privilegi di amministratore del computer e del software, accedendo comodamente ai registri, monitorando l'attività, rubando informazioni e file privati e scompaginando le configurazioni. Senza che l'utente se ne accorga, tutte le sue password e informazioni saranno disponibili per essere rubate.
Come fa un Rootkit a entrare nel mio computer?
Anche se si tratta di una delle minacce elettroniche più pericolose, i rootkit non funzionano da soli: hanno bisogno di un vettore di infezione per propagarsi e installarsi. Gli hacker utilizzano Trojan o sfruttano le vulnerabilità del sistema operativo per installare i rootkit. Ma una volta penetrati nel sistema, spesso ospitano spyware, worm, keylogger o virus informatici che trasformano il computer in un inutile burattino. Gli hacker possono quindi utilizzare i rootkit per lanciare attacchi DoS, spam e campagne di phishing a terzi, magari anche ai vostri contatti. Con l'accesso root al sistema operativo, il computer viene completamente preso in mano dagli hacker, il che rende i rootkit difficili da individuare immediatamente anche per l'occhio tecnico più esperto.
Ma i rootkit non sono sempre dannosi: in alcuni casi vengono utilizzati per scopi truffaldini, come ad esempio per sconfiggere il copyright e la protezione antifurto. D'altra parte, Sony e Lenovo sono aziende note per aver inserito rootkit nei dispositivi degli utenti per reinstallare software indesiderato o come parte della gestione dei diritti digitali. Anche se impiantati con intenti innocui, si tratta di vulnerabilità che, se scoperte, possono essere facilmente sfruttate dagli hacker.
Rilevamento, rimozione, prevenzione
L'individuazione dei rootkit è difficile e potrebbe rivelarsi impossibile a causa del loro completo controllo sul computer, compreso il software che si potrebbe scegliere per rimuovere un'infezione da rootkit. Se siete esperti di tecnologia, potete seguire alcuni passaggi come la scansione delle firme o l'analisi dei dump di memoria, ma se il rootkit ha preso il controllo della memoria del kernel (ovvero il cervello del sistema operativo), accettate la sconfitta. Formattate il disco rigido e reinstallate il sistema operativo.
Come avrete capito ormai, i rootkit sono così sofisticati che potreste non essere in grado di liberarvene senza una nuova installazione. In effetti, è probabile che non li rileviate fino a quando non è troppo tardi, oppure che cerchiate di eseguire una scansione antivirus e il rootkit non permetta l'avvio dell'antivirus.
Per evitare di perdere tutti i vostri dati, assicuratevi di sviluppare abitudini di navigazione online adeguate:
- Crittografare le informazioni private e assicurarsi di eseguire il backup dei dati da più fonti.
- Poiché il modo più comune per un hacker di entrare nella vostra rete sono i trojan, non aprite mai gli allegati di posta elettronica provenienti da mittenti che non conoscete.
- Se state guardando un video in streaming o volete aprire un file e vi viene chiesto di scaricare un plugin, non fatelo.
- Aggiornate costantemente il firewall e le soluzioni di sicurezza ed eseguite periodicamente scansioni complete del sistema sul vostro computer Windows e Mac.