firewall, antivirus, sicurezza  
   
   
   
   
   
   
   
 
 

 
 

 

 

 

Anti Rootkit
come difendersi dai rootkit

 

Cosa sono i Rootkit?

La parola rootkit deriva da due parole inglesi: root (radice) è il termine che si usa da anni per definire l'amministrazione del sistema, mentre kit significa insieme di strumenti utilizzabili per un certo scopo.

In breve i Rootkit sono dei programmini estremamente piccoli, quasi invisibili, che si vanno ad installare alla radice del nostro sistema operativo, con lo scopo di compiere (o bloccare) certe operazioni a nostra insaputa: per esempio possono impedire l'esecuzione di certi programmi o certe procedure, chiudere il firewall o l'antivirus, copiare CD, fino a cose molto più gravi, come il furto di password, o il vero e proprio accesso del nostro computer da parte di un intruso.

L'esistenza dei rootkit è venuta a conoscenza del grande pubblico dall'episodio di qualche tempo fa, in cui una nota casa discografica era stata messa sotto accusa proprio per aver creato un rootkit che si installava sul pc degli ignari acquirenti di un CD musicale (originale), nel momento in cui essi non si limitavano ad ascoltarlo su un normale lettore, ma lo infilavano nel pc; tramite quel rootkit si impediva che il CD venisse copiato (oltre -raccontano alcuni degli acquirenti più irritati- a provocare altri danni collaterali). La vicenda si concluse con il ritiro di tutti i CD in questione dal mercato.

Quale differenza c'è con i virus?

Gli effetti possono essere simili, tuttavia i virus hanno una caratteristica particolare: si propagano, mentre i rootkit non lo fanno (lo possono anche fare, ma in questo caso rientrano nella categoria dei virus). Per il resto, i comportamenti distruttivi possono essere identici.

Come si prendono i Rootkit?

L'esperienza insegna che i rootkit possono essere contenuti anche nei CD originali, per esempio nei giochi (ci sono certe protezioni che fanno rabbrividire su quello che provocano nel pc), al fine di impedire la copia, o nei CD musicali, o in qualunque programma.

 I Rootkit -al pari di virus e trojan- possono essere anche contenuti in programmi di dubbia provenienza (certamente in misura di gran lunga maggiore se questi programmi hanno provenienza illegale).

Come si identificano e rimuovono ?

Identificarli è difficile, rimuoverli altrettanto. Spesso ci si accorge di un rootkit a causa di un malfunzionamento di qualche programma o processo, in quel caso sarebbe opportuno eseguire una scansione.

Per prima cosa è necessario avere sempre un antivirus e un firewall attivi e aggiornati (se non altro impediranno l'installazione di Rootkit conosciuti). A parte questi, esistono dei programmi specifici anti rootkit, che si occupano di individuarli (se l'utente ha abbastanza competenza) e in certi casi rimuoverli. Sottolineo in certi casi, perché purtroppo questi programmi non funzionano sempre; alcuni rootkit si possono installare in profondità, e con privilegi completi... in quelle circostanze, se non c'è un programma specifico, la loro rimozione è oltremodo difficoltosa.

Tra i programmi più interessanti posso segnalare (ricordo che il loro utilizzo non è semplice e non è adatto né consigliato agli utenti inesperti, si potrebbero fare danni al sistema operativo, nei casi peggiori non renderlo più avviabile):

Alcuni antirookit free sono già presenti nell'apposita categoria Anti Rootkit di Programmifree.


Process Guard: (shareware) esegue un costante monitoraggio di tutti i file del sistema, e si occupa di impedire che qualcuno di essi sia modificato (o chiuso, o subisca qualsiasi variazione) senza il nostro consenso. Rallenta il pc (e in certi casi diventa irritante, perché chiede conferma all'utente di qualsiasi cambiamento si voglia apportare), ma è uno dei programmi principali per la sicurezza. Abbastanza difficile da usare, ma consigliato per chi vuole un'altissima sicurezza. E' anche in versione gratuita, ma purtroppo alcune delle funzionalità più potenti si trovano esclusivamente nella versione a pagamento. AGGIORNAMENTO: Purtroppo la società che lo sviluppava -a quanto pare- non esiste più.

Ghost Security Suite (AppDefend e RegDefend) (shareware): due programmi di interesse assoluto. Riescono ad impedire l'esecuzione di qualsiasi programma si voglia, in certi casi ancora più di Process Guard. Rispetto a quest'ultimo, l'utente è chiamato ad intervenire maggiormente, tuttavia il grado di sicurezza è estremo. Consigliato a chi cerca la sicurezza massima, e non ha problemi a spendere più tempo per autorizzare i vari programmi.
WinPatrol: (freeware e shareware): altro buon programma per proteggere in tempo reale il computer, e per impedire l'installazione di spyware a nostra insaputa. Rispetto a Process Guard è meno potente, non ha l'assoluta meticolistà nella protezione dell'altro, ma è più semplice da utilizzare (per quanto possa valere la parola 'semplice' in questo campo...). Anche qui la versione a pagamento (shareware) ha la maggior parte delle funzionalità più importanti.
Sophos anti rootkit: (freeware) anti rootkit di una nota casa di antivirus.
F-Secure Blacklight: (shareware) un anti rootkit a pagamento molto valido, che si occupa sia di rilevare che di rimuovere i rootkit.
Unhack Me (shareware) Come Blacklight si occupa di rilevare e rimuovere i rootkit. E' più semplice da usare di altri, per quanto in alcuni casi abbia difficoltà a rimuovere certi rootkit particolarmente malevoli.