Quando i malware si nascondono: la minaccia rootkit I rootkit sono dei programmi inseriti su un sistema da parte di un aggressore remoto dopo che questi ne ha preso il controllo: essi permettono di cancellare le tracce dell’attacco e di facilitare la v …
Quando i malware si nascondono: la minaccia rootkit
I rootkit sono dei programmi inseriti su un sistema da parte di un aggressore
remoto dopo che questi ne ha preso il controllo: essi permettono di cancellare
le tracce dell’attacco e di facilitare la vita al malintenzionato per
i successivi ingressi. La peculiarità principale dei rootkit consiste
nel fatto che si tratta di programmi sviluppati per nascondersi sul sistema
in modo da non insospettire l’utente.
Grande clamore ha sollevato tempo fa la scoperta, da parte di M.Russinovich
di Sysinternals.com, dell’utilizzo di Sony BMG, un componente che si comportava,
di fatto, come un rootkit e che veniva utilizzato come parte integrante della
protezione anticopia (DRM) per alcuni CD musicali. Il componente veniva installato
sul sistema senza l’autorizzazione dell’utente (non ne veniva nemmeno dichiarato
l’utilizzo) e non ne veniva permessa la disinstallazione. Si sono susseguite
polemiche, azioni legali, rilasci di patch. Microsoft Antispyware ha addirittura
permesso, poche settimane più tardi, l’eliminazione del rootkit di Sony BMG
(un comunicato è pubblicato sul blog
ufficiale.
Al momento in cui scriviamo, segnaliamo l’interessante tool gratuito
F-Secure Blacklight Rootkit Eliminator che permette di individuare la presenza,
sul proprio sistema di eventuali rootkit. Già integrato nel pacchetto
Internet Security 2006, F-Secure prevede di rilasciarne presto una versione
più ricca di funzionalità, sempre a titolo gratuito.
EULAlyzer: il consulente legale scova-spyware
Abbiamo evidenziato nell’introduzione come alcuni sviluppatori di software
shareware e freeware integrino, nei loro prodotti, dei componenti spyware. Il
loro obiettivo consiste essenzialmente nel ricevere una remunerazione economica.
Chi sviluppa spyware è infatti interessato a conoscere le abitudini degli
utenti pagando a peso d’oro questo tipo di informazioni.
Per motivi legali, il produttore del software è comunque obbligato a
dichiarare esplicitamente l’uso del componente spyware nella licenza d’uso
del suo prodotto. Spesso gli utenti non leggono con attenzione i contratti di
licenza (EULA) proposti al momento dell’installazione di un software.
Talvolta, soprattutto perché sono molto lunghi (spesso vengono così
realizzati per scoraggiarne la lettura completa) e generalmente redatti in lingua
inglese, possono sfuggire, quindi, clausole estremamente importanti.
EULAlyzer è un programma gratuito – creato dallo stesso autore di SpywareBlaster
– che si incarica di analizzare in pochi istanti qualunque contratto di licenza
d’uso evidenziando immediatamente parole sospette collegate all’utilizzo
di tecnologie spyware. E’ possibile quindi scoprire immediatamente se il programma
che siete in procinto di installare sul vostro personal computer visualizza
finestre pop-up, trasmette dati personali a terzi, se fa uso di identificativi
unici per tenere traccia delle vostre attività e così via.
EULAlyzer è gratuito per uso personale e per scopi educativi non sostituendo
comunque l’attenta lettura dei contratti di licenza d’uso che suggeriamo
di analizzare sempre con la dovuta attenzione.
Dopo aver installato il programma, è possibile esaminare un qualunque
contratto di licenza cliccando sul link Scan new license agreement
(finestra principale del software) quindi incollandone il testo nel box License
agreement to analyze (Contratto di licenza da analizzare) oppure trascinando
la croce sulla finestra dell’applicazione che si sta installando non appena
viene mostrata la licenza (EULA).
HijackThis: la cassetta degli attrezzi per i
più esperti
HijackThis è un software di dimensioni assai contenute (pesa, complessivamente,
meno di 250 KB) che offre la possibilità di effettuare un rapido controllo
sulla configurazione di tutte le aree del sistema operativo comunemente sfruttate
da spyware e malware per far danni.
Il programma è una sorta di cassetta degli attrezzi appannaggio degli
utenti più smaliziati. Una volta eseguito, infatti, ed effettuata una
scansione del sistema (Do a system scan only; cliccare sul pulsante
Do a system scan and save a logfile per memorizzare il risultato dell’analisi
in un file di testo), HijackThis suddivide le informazioni rilevate in ben 23
sezioni differenti, ciascuna marcata con una sigla specifica (esempio: O1, O2,…,O23).
A questo indirizzo, tutti gli interessati possono trovare una guida completa all’uso
di HijackThis con la spiegazione esaustiva del significato di ciascuna sigla
utilizzata dal programma. In questa sede ci limitiamo a dire soltanto, per esempio,
che gli elementi R0-R3 sono spesso riconducibili all’attività di hijackers del
browser (componenti malware che modificano la pagina iniziale od i motori di
ricerca predefiniti); O1 indica le modifiche apportate al file HOST di Windows;
con O2 sono marcati tutti gli oggetti BHO usati in Internet Explorer; con O4
i programmi in esecuzione automatica; con O8 le aggiunte inserite al menù contestuale.
Il problema derivante dall’uso di HijackThis consiste nel discernere
gli elementi benigni da quelli invece collegati all’azione di componenti
spyware o malware. Il programma infatti, non dà nessun suggerimento (fatta
eccezione per qualche indicazione di carattere molto generico, poco utile all’atto
pratico) sull’identità dei vari oggetti rilevati e non consiglia
quale sia bene eliminare e quale invece debba essere necessariamente mantenuto.
Chi utilizza HijackThis e si appresta ad eliminare una o più delle voci
elencate deve ben comprendere, prima, il funzionamento del software. La cancellazione
di oggetti benigni può comportare malfunzionamenti al sistema ed alle
applicazioni installate.
System Spyware Interrogator, software che presentiamo più avanti, tende
la mano agli utenti meno esperti che, con HijackThis, dovessero trovarsi in
difficoltà.
