|
Cosa sono i Rootkit?
La parola rootkit deriva da due
parole inglesi: root (radice) è il termine che si usa da anni per definire
l'amministrazione del sistema, mentre kit significa insieme di strumenti
utilizzabili per un certo scopo.
In breve i Rootkit sono dei
programmini estremamente piccoli, quasi invisibili, che si vanno ad installare
alla radice del nostro sistema operativo, con lo scopo di compiere (o bloccare) certe
operazioni a nostra insaputa: per esempio possono impedire l'esecuzione di certi
programmi o certe procedure, chiudere il firewall o l'antivirus, copiare CD, fino a cose molto più gravi,
come il furto di password, o il vero e proprio accesso del nostro computer da
parte di un intruso.
L'esistenza dei rootkit è venuta a conoscenza del grande pubblico dall'episodio di qualche tempo fa, in cui
una nota casa discografica era stata messa sotto accusa proprio per aver creato
un rootkit che si installava sul pc degli ignari acquirenti di un CD musicale
(originale),
nel momento in cui essi non si limitavano ad ascoltarlo su un normale lettore,
ma lo infilavano nel pc; tramite quel rootkit si impediva che il CD venisse
copiato (oltre -raccontano alcuni degli acquirenti più irritati- a provocare altri danni
collaterali). La vicenda si concluse con il ritiro di tutti i CD in questione
dal mercato.
Quale differenza c'è con i
virus?
Gli effetti possono essere simili,
tuttavia i virus hanno una caratteristica particolare: si propagano, mentre i
rootkit non lo fanno (lo possono anche fare, ma in questo caso rientrano nella
categoria dei virus). Per il resto, i comportamenti distruttivi possono essere
identici.
Come si prendono i Rootkit?
L'esperienza insegna che i rootkit
possono essere contenuti anche nei CD originali, per esempio nei giochi (ci sono
certe protezioni che fanno rabbrividire su quello che provocano nel pc), al fine
di impedire la copia, o nei CD musicali, o in qualunque programma.
I Rootkit -al pari di virus e
trojan- possono essere anche contenuti in programmi di dubbia provenienza
(certamente in misura di gran lunga maggiore se questi programmi hanno
provenienza illegale).
Come si identificano e rimuovono
?
Identificarli è difficile,
rimuoverli altrettanto. Spesso ci si accorge di un rootkit a causa di un
malfunzionamento di qualche programma o processo, in quel caso sarebbe opportuno
eseguire una scansione.
Per prima cosa è necessario avere
sempre un antivirus e un firewall attivi e aggiornati (se non altro impediranno
l'installazione di Rootkit conosciuti). A parte questi, esistono dei programmi
specifici anti rootkit, che si occupano di individuarli (se l'utente ha
abbastanza competenza) e in certi casi rimuoverli. Sottolineo in certi
casi, perché purtroppo questi programmi non funzionano sempre; alcuni
rootkit si possono installare in profondità, e con privilegi completi... in
quelle circostanze, se non c'è un programma specifico, la loro rimozione è
oltremodo difficoltosa.
Tra i programmi più interessanti
posso segnalare (ricordo che il loro utilizzo non è semplice e non è
adatto né consigliato agli utenti inesperti, si potrebbero fare danni al
sistema operativo, nei casi peggiori non renderlo più avviabile):
Alcuni antirookit free sono già
presenti nell'apposita categoria Anti
Rootkit di Programmifree.
Process Guard:
(shareware) esegue un costante
monitoraggio di tutti i file del sistema, e si occupa di impedire che qualcuno
di essi sia modificato (o chiuso, o subisca qualsiasi variazione) senza il
nostro consenso. Rallenta il pc (e in certi casi diventa irritante, perché
chiede conferma all'utente di qualsiasi cambiamento si voglia apportare), ma è uno dei programmi principali per la sicurezza. Abbastanza
difficile da usare, ma consigliato per chi vuole un'altissima
sicurezza. E' anche in versione gratuita, ma purtroppo alcune delle funzionalità
più potenti si trovano esclusivamente nella versione a pagamento.
AGGIORNAMENTO: Purtroppo la società che lo sviluppava -a quanto pare- non esiste
più.
Penetration
Testing Tools: una serie di test di sicurezza per mettere alla prova il
nostro sistema.
Sophos anti rootkit: (freeware) anti rootkit di una nota casa di antivirus.
Unhack Me
(shareware) Si occupa di rilevare e rimuovere i rootkit. E'
più semplice da usare di altri, per quanto in alcuni casi abbia difficoltà a
rimuovere certi rootkit particolarmente malevoli.
|
