Il Rootkit, questo sconosciuto
Cos’è un rootkit?
Rootkit è l’insieme di due parole inglesi: root (ovvero radice) ed è il termine che si usa, praticamente da sempre, definire la “cartella radice”, cioè la base del nostro computer. In windows, la cartella di root è C:\, in linux è lo slash “/”. Kit, invece va a rappresentare tutto quell’insieme di strumenti, che possono essere usati per raggiungere un determinato scopo.
I Rootkit sono dei programmi estremamente piccoli, che si installano (da soli) alla base del nostro sistema operativo, allo scopo di fare certe operazioni a nostra insaputa, oppure possono inibirci l’uso del computer. Per esempio questi rootkit possono bloccare certi programmi o alcune procedure, sono in grado anche di chiudere il firewall o lo stesso antivirus, oppure possono rubarci la password, o dare l’accesso del nostro computer a qualcun’altro che magari lo usa a nostra insaputa.
L’esistenza dei rootkit è nata quando, una nota casa discografica (la Sony, n.d.r.) era stata messa sotto accusa proprio per aver creato un rootkit che si installava sul pc degli ignari acquirenti di un CD musicale (originale), nel momento in cui essi non si limitavano ad ascoltarlo su un normale lettore, ma lo infilavano nel pc; tramite quel rootkit si impediva che il CD venisse copiato (oltre -raccontano alcuni degli acquirenti più irritati- a provocare altri danni collaterali). La vicenda si concluse con il ritiro di tutti i CD in questione dal mercato.
Che differenza c’è tra virus e rootkit?
Gli effetti possono essere simili, tuttavia i virus hanno una caratteristica particolare: si propagano, mentre i rootkit non lo fanno. Per il resto, i comportamenti distruttivi possono risultare identici.
Come si prendono i Rootkit?
I rootkit possono essere contenuti nei CD originali, come per esempio nei giochi (a causa di protezioni che sembrano più invasioni nell’utente che ha comperato, e non scaricato il gioco), per impedirne la copia, oppure possono esser presenti nei CD musicali, o in qualunque programma, specie quelli che scarichiamo senza conoscerne la provenienza.
Come si identificano e rimuovono i rootkit?
È molto difficile sia identificarli che rimuoverli. Spesso ci si accorge di un rootkit a causa di un malfunzionamento di qualche programma o processo, in quel caso sarebbe opportuno eseguire una scansione.
Per prima cosa è necessario avere sempre un antivirus e un firewall attivi e aggiornati (se non altro impediranno l’installazione di Rootkit conosciuti). A parte questi, esistono dei programmi specifici anti rootkit, che si occupano di individuarli (se l’utente ha abbastanza competenza) e in certi casi rimuoverli. Sottolineo in certi casi, perché purtroppo questi programmi non funzionano sempre; alcuni rootkit si possono installare in profondità, e con privilegi completi… in quelle circostanze, se non c’è un programma specifico, la loro rimozione è oltremodo difficoltosa.
Programmi anti rootkit: (a breve una recensione su ognuno) :D
Ghost Security Suite (AppDefend e RegDefend)
Unhack Me
F-Secure Blacklight
Winpatrol