Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

Rootkit: cosa sono, come individuarli e come rimuoverli

I rootkit consentono ai criminal hacker di “comandare” a distanza un PC e rappresentano quindi una minaccia molto seria all’integrità dei nostri sistemi, alla privacy dei dati in essi contenuti ed alla nostre informazioni personali. Ecco la guida pratica per sapere come riconoscerli ed eliminarli

10 Lug 2019
L

Andrea Leandro

Consulente adeguamento privacy - DPO


I rootkit sono una seria minaccia ai sistemi informatici, incasellabili nella categoria dei malware. Sono spesso meno conosciuti e quindi, a torto, meno temuti dei più famigerati virus.

Come di dice il nome, sono dei kit, ovvero strumenti o insiemi di strumenti, come sequenze di macro o veri e propri software, atti ad ottenere sul computer bersaglio i permessi di root, senza ovviamente che il proprietario del sistema oggetto dell’attacco ne sia a conoscenza.

Nella terminologia dei sistemi Unix/Linux, root è l’utente con pieni poteri sul sistema , quindi può compiere qualunque operazione: sostanzialmente è l’equivalente dell’account Administrator sui sistemi Windows.

Cosa fa un rootkit?

Di fatto, installare un rootkit su una macchina, significa avere pieno possesso della stessa, potendo far compiere qualunque operazione si voglia.

Da notare che questo tipo di operazione illecita, può essere compiuta oltre che sui PC, anche sugli smartphone, esistendo infatti rootkit Android e iOSche possono aggredire specificamente questi sistemi operativi.

Di frequente gli antivirus non rilevano la presenza di rootkit: una caratteristica, questa che rende ancora più subdola questa di minaccia.

Ma andiamo per gradi. In che modo si puo’ essere infettati da un rootkit? Le modalità di infezione sono praticamente le stesse di quelle che possono far entrare un virus sui nostri sistemi: ovvero, la navigazione su siti non sicuri, il download dal web di programmi e file di origine non certa, l’apertura di allegati da e-mail di provenienza dubbia.

Questo a grandi linee. In realtà, un rootkit potrebbe infettare il nostro sistema anche semplicemente collegando un dispositivo di memoria USB infetto, usando un “crack” per sbloccare un software o addirittura il sistema operativo.

Riguardo quest’ultima possibilità, aggiungo alcune parole solo con intento esplicativo, dato che in ambito professionale l’utilizzo di software “crackkati”, oltre alla non liceità di farlo, mette a rischio la stabilità dei sistemi e la loro sicurezza.

Il programmatore che realizza il piccolo software che ha l’intento di permettere l’utilizzo di un programma senza averne diritto, eludendo la eventuale protezione dalla copia o la necessità di aver acquistato una licenza d’uso, corredata spesso da un numero seriale che occorre per attivare il prodotto, di norma è dotato di una notevole abilità, non essendo affatto banale eludere le protezioni o richieste di attivazione previste dalle varie software house.

Questo piccolo programma di “sblocco” contiene le istruzioni o le modifiche al software bersaglio, che permettono, come detto, di utilizzarlo senza ad esempio le legittime chiavi di accesso.

Ora, che garanzie abbiamo che oltre a ciò il “crack” non faccia altro? Potrebbe tranquillamente contenere codice atto a tentare di ottenere i permessi di amministratore nel computer ospitante, installare una backdoor, aprendo delle porte ad hoc, permettendo un accesso remoto ed inconsapevole al sistema.

Anche il download e l’installazione di un programma possono portare ad installare, senza averne coscienza, un rootkit.

Il punto è che un software può essere modificato in modo da installare un rootkit di nascosto, quindi la regola è di scaricare il software direttamente dal sito del produttore o da mirror da lui indicati e certificati.

Alcuni siti propongono il download di utility e software conosciuti, molti solo per dare un servizio, ma alcuni possono o potrebbero utilizzare questa modalità per fare prelevare il programma, che in realtà potrebbe poi anche funzionare regolarmente, aggiungendo il codice necessario per attaccare il vostro sistema.

Il problema è ben conosciuto dai produttori di software, tanto che spesso e volentieri indicano e propongono di verificare il codice CRC, allo scopo di assicurarsi che non si sia in presenza di modifiche non volute.

Rootkit: ecco come accorgersi della sua presenza

Anche in questo caso i sintomi sono spesso simili a quelli provocati dalla presenza di un virus.

Il primo è un rallentamento del computer o della navigazione su Internet dovuto al fatto che la macchina sta eseguendo compiti o trasmissioni dati “in parallelo” alle normali operazioni richieste dall’utente.

Altro sintomo che un medico definirebbe patognomonico, è il notare cambiamenti nelle impostazioni del sistema o addirittura software installati non previsti.

La comparsa delle BSOD (Blue screed of death), le famigerate schermate blu di errore e blocco nei sistemi Windows, può essere un segno da non sottovalutare. Infatti i rootkit, soprattutto quelli che agiscono a livello di kernel, sono molto sosfisticati e complessi: ciò può portare a blocchi e instabilità del sistema proprio per la presenza di bug nel codice del rootkit stesso.

Tenete conto che un rootkit può tranquillamente disabilitare o danneggiare il nostro antivirus.

Un altro segno evidente è quello di notare azioni “autonome” da parte del nostro PC, come quando in caso di virus o addware si aprono popup o pagine web senza averle richieste.

Altro spunto un pochino più “tecnico”: di norma, i sistemi operativi server, ma anche in una certa misura quelli desktop, effettuano il cosiddetto logging, ovverosia, tengono traccia delle operazioni compiute al loro interno. L’analisi dei file di log è una via maestra per verificare e scoprire intrusioni nei sistemi informatici.

Chi attacca un sistema informatico potrebbe anche andare a cancellare le sue tracce, andando ad alterare o addirittura cancellare i file di log, ma, anche questa è una traccia evidente.

Più a portata dell’utente non specificamente addetto ai lavori, potrebbe essere l’utilizzo di software antirootkit e rootkit scanner, software creati appositamente per rilevare modifiche ai file di sistema e scandagliare il sistema stesso alla ricerca di tracce di intrusione e di software atti a permettere accessi esterni indesiderati.

Come rimuovere o rendere inefficaci i rootkit

Dopo aver verificato la presenza di un rootkit nei propri sistemi, l’azione base è scaricare dal web un rootkit remover e applicalo.

Normalmente, questi strumenti trovano e rimuovono una serie di tipologie di rootkit conosciute, seppur va tenuto conto che la possibilità elevata della presenza di varianti o di rootkit custom, può rendere meno efficaci questi metodi.

Il metodo più tecnico è quello di rimuovere manualmente i file individuati o ripristinare i file eventualmente sostituiti dal rootkit con le versioni originali; si pensi, ad esempio, ad una DLL.

Per chiudere le falle create da un rootkit o sulle quali il rootkit fa leva, la via maestra è di tenere aggiornato il sistema operativo e i software installati: molte falle di sicurezza e possibili accessi vengono bloccati tramite gli aggiornamenti.

Ovviamente utilizzare un sistema operativo obsoleto, magari non più aggiornabile, è un ottimo modo per rimanere vittime di virus e rootkit.

Mi capita di parlare con persone che sottovalutano questo aspetto, affermando che il computer in questione si occupa di compiti sporadici e/o irrilevanti; questo è un atteggiamento molto pericoloso, anche per gli altri utenti del web.

Si tenga conto, poi, che molto spesso i rootkit vengono utilizzati per infettare dei computer non allo scopo di sottrarre i dati in essi contenuti o altre pratiche che mettano a rischio direttamente l’azienda o la persona colpita, ma allo scopo di far diventare il PC uno “zombie” da utilizzare in attacchi DDoS.

Gli attacchi Distibuted Denial of Service utilizzano un numero elevato di computer geograficamente non correlati, per effettuare un attacco convergente su un sito o un sevizio web allo scopo di renderlo indisponibile.

È quindi una responsabilità di tutti non diventare complici seppur non consapevoli di questo tipo di attività non lecita, mantenendo i nostri sistemi protetti ed aggiornati.

Una buona idea, in generale, sarebbe l’utilizzo di un firewall, meglio se hardware; molti rootkit utilizzano degli accessi su porte di comunicazione già definite e non sono spesso in grado di utilizzarne di alternative, se quelle stabilite sono bloccate da un corretta programmazione di un firewall.

Conclusioni

I rootkit rimangono, pur con tutte le accortezze, un rischio.

In caso di dubbio o per controllo consiglio di usare , in fase di verifica, più software antivirus e anti-rootkit in maniera incrociata. Se i “sintomi” o i dubbi permangono, la cosa migliore è consultare un esperto di sicurezza informatica.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4