Els rootkits es poden nomenar com la forma més sofisticada tècnicament de codi maliciós (malware) i una de les més difícils de descobrir i eliminar. De tots els tipus de programari maliciós, probablement els virus i els cucs tinguin major publicitat perquè generalment estan molt difosos. Es coneix que moltes persones han estat afectades per un virus o per un cuc, però això no significa que definitivament els virus i els cucs siguin els malware més variats. Hi ha tipus de programari maliciós més perillós, ja que per regla general funcionen en mode furtiu, són difícils de detectar i eliminar i poden passar desapercebuts durant períodes de temps molt llargs, obtenint silenciosament accés, robant dades i modificant els fitxers a la màquina de la víctima. .
Un exemple d’un enemic tan furtiu són els rootkits: una col·lecció d’eines que poden substituir o canviar programes executables, o fins i tot el nucli del sistema operatiu en si, per tal d’accedir a nivell d’administrador al sistema, que es pot utilitzar per instal·lar. spyware, keyloggers i altres eines malintencionades. Essencialment, un rootkit permet a un atacant accedir completament a la màquina de la víctima (i possiblement a tota la xarxa a la qual pertany). Un dels usos més coneguts d’un rootkit que va causar pèrdues / danys importants va ser el robatori del codi font de Valve’s Half-Life 2: Motor game game.
Els rootkits no són novetats, han estat durant uns anys i se sap que han realitzat diversos sistemes operatius (Windows, UNIX, Linux, Solaris, etc.). Si no fos per una o dues ocurrències massives d’incidents rootkit (vegeu la secció Exemples famosos), que els va cridar l’atenció del públic, potser haurien tornat a escapar de la consciència, tret d’un petit cercle de professionals de la seguretat. Fins avui, els rootkits no han desfermat tot el seu potencial destructiu, ja que no estan tan estès com altres formes de programari maliciós. Tot i això, això pot ser de poc confort.
Mecanismes de rootkit exposats
Semblant als cavalls de Troia, virus i cucs, els rootkits s’instal·len utilitzant defectes en la seguretat i el sistema operatiu de la xarxa, sovint sense interacció d’usuaris. Tot i que hi ha rootkits que es poden presentar com a fitxers adjunts de correu electrònic o en un paquet amb programes de programari legítims, no són inofensius fins que l’usuari obri el fitxer adjunt o s’instal·li el programa. Però, a diferència de les formes menys sofisticades de programari maliciós, els rootkits s’infiltren molt profundament en el sistema operatiu i fan esforços especials per dissimular la seva presència, per exemple, modificant fitxers del sistema.
Bàsicament, hi ha dos tipus de rootkits: els rootkits de nivell del nucli i els rootkits de nivell d’aplicació. Els arrels de nivell del nucli afegeixen codi o modifiquen el nucli del sistema operatiu. Això s’aconsegueix instal·lant un controlador de dispositiu o un mòdul carregable, que altera les trucades del sistema per ocultar la presència d’un atacant. Així, si busqueu els fitxers de registre, no veureu cap activitat sospitosa al sistema. Els rootkits de nivell d’aplicacions són menys sofisticats i generalment són més fàcils de detectar perquè modifiquen els executables de les aplicacions, en lloc del sistema operatiu. Com que Windows 2000 informa de cada canvi d'un fitxer executable a l'usuari, fa que sigui més difícil que l'atacant passi desapercebut.
Per què els rootoots presenten un risc
Els rootkits poden actuar com una porta del darrere i no solen estar sols en la seva missió: sovint van acompanyats d’espionatge, cavalls de Troia o virus. Els objectius d’un rootkit poden variar des d’un simple goig maliciós de penetrar a l’ordinador d’algú altre (i d’amagar les traces de presència estrangera), fins a construir un sistema sencer per obtenir dades il·legals confidencials (números de targeta de crèdit o codi font com en el cas de la meitat. -Vida 2).
Generalment, els enllaços de nivell d’aplicació són menys perillosos i són més fàcils de detectar. Però si el programa que utilitzeu per fer un seguiment de les vostres finances, queda "pegat" per un rootkit, la pèrdua monetària podria ser significativa, és a dir, un atacant pot utilitzar les dades de la vostra targeta de crèdit per comprar un parell d'elements i si no. No detecteu cap activitat sospitosa al saldo de la vostra targeta de crèdit a temps, és molt probable que no tornareu a veure mai més els diners.
En comparació amb els rootkits de nivell del nucli, els rootkits de nivell d'aplicació semblen dolços i inofensius. Per què? Perquè en teoria, un rootkit de nivell del nucli obre totes les portes a un sistema. Una vegada obertes les portes, altres formes de programari maliciós poden entrar al sistema. Tenir una infecció de rootkit a nivell de nucli i no poder detectar-la i eliminar-la amb facilitat (o en absolut, com veurem a continuació) significa que algú altre pot tenir un control total sobre el vostre ordinador i la pot utilitzar de qualsevol manera que vulgui. per exemple, per iniciar un atac a altres màquines, fent la impressió que l'atac s'origina des del vostre ordinador i no des d'un altre lloc.
Detecció i eliminació de rootkits
No és fàcil detectar i eliminar altres tipus de programari maliciós, sinó que els enllaços de nivell del nucli són un desastre particular. En certa manera, es tracta d’un Catch 22: si teniu un rootkit, és probable que els fitxers del sistema necessaris pel programari anti-rootkit es modifiquin i, per tant, no es pot confiar en els resultats de la comprovació. És més, si s’executa un rootkit, pot modificar amb èxit la llista de fitxers o la llista de processos en execució en què es basen els programes antivirus, proporcionant així dades falses. A més, un rootkit en funcionament pot simplement descarregar els processos de programes antivirus de la memòria, fent que l'aplicació es tanqui o finalitzi inesperadament. Tot i això, fent-ho, mostra indirectament la seva presència, de manera que es pot sospitar quan alguna cosa va malament, especialment amb programari que manté la seguretat del sistema.
Una manera recomanable de detecció de la presència d’un rootkit és arrencar des d’un suport alternatiu, que se sap que és net (és a dir, una còpia de seguretat o un CD-ROM de rescat) i comprovar el sistema sospitós. L’avantatge d’aquest mètode és que el rootkit no s’executarà (per tant, no podrà amagar-se) i els fitxers del sistema no es veuran manipulats activament.
Hi ha maneres de detectar i (intentar) eliminar els rootkits. Una forma és tenir les empremtes digitals MD5 netes dels fitxers del sistema original per comparar les empremtes digitals dels fitxers del sistema actuals. Aquest mètode no és gaire fiable, però és millor que res. L'ús d'un depurador del nucli és més fiable, però requereix un coneixement en profunditat del sistema operatiu. Fins i tot la majoria dels administradors del sistema rarament hi recorreran, sobretot quan hi hagi bons programes gratuïts per a la detecció de rootkit, com el RootkitRevealer de Marc Russinovich. Si aneu al seu lloc, trobareu instruccions detallades sobre com utilitzar el programa.
Si detecteu un rootkit al vostre ordinador, el següent pas és eliminar-lo (més fàcil que dir). Amb alguns rootkits, l'eliminació no és una opció, tret que vulgueu suprimir tot el sistema operatiu. La solució més òbvia: eliminar els fitxers infectats (sempre que se sàpiga quins són exactament guardats) és absolutament inaplicable quan es tracta d’arxius vitals del sistema. Si suprimiu aquests fitxers, el més probable és que no podreu tornar a arrencar Windows. Podeu provar un parell d'aplicacions d'eliminació de rootkit, com UnHackMe o F-Secure BlackLight Beta, però no compteu amb elles per tal de poder eliminar la plaga amb seguretat.
Pot semblar una teràpia de xoc, però l’única forma demostrada d’eliminar un rootkit és formatant el disc dur i tornant a instal·lar el sistema operatiu (des d’un suport d’instal·lació net, per descomptat!). Si teniu una pista d’on proveniu el rootkit (us el vam incloure en un altre programa o us l’enviava algú per correu electrònic?), No penseu ni executar ni tornar a presentar l’origen de la infecció.
Exemples cèlebres de rootkits
Els rootoots han estat en un ús furtiu des de fa anys, però només fins a l’any passat quan van aparèixer als titulars de notícies. El cas de Sony-BMG amb la seva tecnologia Digital Right Management (DRM) que protegia la còpia de CD no autoritzada mitjançant la instal·lació d’un rootkit a la màquina de l’usuari va provocar una forta crítica. Hi va haver plets i una investigació criminal. Sony-BMG va haver de retirar els seus CD de les botigues i substituir les còpies adquirides per altres netes, segons el cas. Sony-BMG va ser acusada de revestir secretament fitxers del sistema per intentar ocultar la presència del programa de protecció contra còpies que també feia servir dades privades al lloc de Sony. Si l'usuari va desinstal·lar el programa, la unitat de CD va quedar inoperable. De fet, aquest programa de protecció dels drets d’autor va violar tots els drets de privacitat, va utilitzar tècniques il·legals pròpies d’aquest tipus de programari maliciós i, sobretot, va deixar l’ordinador de la víctima vulnerable a diverses tensions d’atac. Era típic per a una gran corporació, com Sony-BMG, anar primer per la línia arrogant afirmant que si la majoria de la gent no sabia què era un rootkit i per què els importaria que en tinguessin. Bé, si no hi hagués hagut nois com Mark Roussinovich, que va ser el primer a sonar sobre el rootkit de Sony, el truc podria haver funcionat i milions d’ordinadors s’haurien infectat - una infracció global en la suposada defensa d’un intel·lectual de l’empresa. propietat!
Similar al cas de Sony, però quan no va ser necessari estar connectat a Internet, és el cas de Norton SystemWorks. És cert que tots dos casos no es poden comparar des d’un punt de vista ètic o tècnic, ja que mentre que el rootkit de Norton (o la tecnologia similar al rootkit) modifica els fitxers del sistema de Windows per donar cabuda a la paperera de reciclatge de Norton, difícilment se’ls pot acusar a Norton d’intencions malintencionades de restringir-les. els drets d’usuari o per beneficiar-se del rootkit, com és el cas de Sony. El propòsit de l'encobriment era ocultar a tothom (usuaris, administradors, etc.) i tot (altres programes, el propi Windows) un directori de còpia de seguretat dels fitxers que els usuaris han suprimit, i que posteriorment es pot restaurar d'aquest directori de còpia de seguretat. La funció de la paperera de reciclatge protegida era afegir una xarxa de seguretat més als dits ràpids que primer esborren i després pensar si s’han suprimit els fitxers adequats, proporcionant una manera addicional de restaurar fitxers que s’han eliminat de la paperera. o que han superat la paperera).
Aquests dos exemples gairebé no són els casos més greus d’activitat de rootkit, però val la pena esmentar, ja que cridant l’atenció sobre aquests casos concrets, es va cridar l’interès públic per als conjunts de rootkit. Tant de bo ara, més gent no només sàpiga què és un rootkit, sinó que tingueu cura de si en tenen, i ser capaç de detectar-les i eliminar-les.
