Rootkit

Il rootkit è un insieme di software, tipicamente malevoli, realizzati per ottenere l'accesso a un computer, o a una parte di esso, che non sarebbe altrimenti possibile (per esempio da parte di un utente non autorizzato a effettuare l'autenticazione). Questi software, oltre a garantire tali accessi, si preoccupano di mascherare se stessi o altri programmi utili per raggiungere lo scopo. Il termine inglese "rootkit" deriva dalla concatenazione di due termini: "root", che indica, tradizionalmente, l'utente con i maggiori permessi nei sistemi simil-Unix, e "kit", che si riferisce al software che implementa lo strumento. Il termine "rootkit" assume spesso una connotazione negativa, perché generalmente associato a un malware^[1].

L'installazione di un rootkit può essere automatizzata, oppure un attaccante (cracker) può installarla personalmente una volta ottenuti i permessi di root o l'accesso come amministratore. Ottenere questo tipo di accesso può essere il risultato di un attacco diretto verso il sistema sfruttando, per esempio, una vulnerabilità nota (come Privilege Escalation) o scoprendo una password (ottenuta tramite Cracking o Ingegneria Sociale). Una volta installato il Rootkit, è importante mantenere nascosta l'intrusione così da poter mantenere i privilegi ottenuti. La chiave di questo attacco sta quindi nei permessi di root o Amministratore. Con questi permessi è possibile avere un controllo completo del sistema, questo include anche modificare software, compreso quello nato per rilevarli e bloccarli (come gli antivirus).

Rilevare un Rootkit può essere complicato, perché la prima preoccupazione di questi software è bloccare i programmi che possono trovarli. I metodi per rilevare rootkit includono l'utilizzo di un sistema operativo alternativo e fidato, metodi di analisi comportamentale (behavioral-based methods), signature scanning, analisi dei dump della memoria (memory dump). La rimozione può essere davvero complicata se non quasi impossibile, specialmente nei casi in cui il rootkit risiede nel kernel; formattare la macchina e reinstallare il sistema operativo potrebbe essere l'unica soluzione possibile^[2]. Quando però si ha a che fare con dei rootkit nel firmware, la rimozione potrebbe richiedere la sostituzione di parti hardware, oppure l'utilizzo di strumenti specializzati.

^ McAfee, Proven Security 2006, in https://web.archive.org/web/20060823090948/http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_akapoor_rootkits1_en.pdf.
^ (EN) Rootkit Removal from a Windows System, su Technibble, 25 ottobre 2011. URL consultato l'8 giugno 2016.

[:0-1] McAfee, Proven Security 2006, in https://web.archive.org/web/20060823090948/http://www.mcafee.com/us/local_content/white_papers/threat_center/wp_akapoor_rootkits1_en.pdf.

[2] (EN) Rootkit Removal from a Windows System, su Technibble, 25 ottobre 2011. URL consultato l'8 giugno 2016.

[1]

[2]