Un rootkit è un insieme di strumenti software che, quando installato su un computer, fornisce l’accesso remoto a risorse, file e informazioni di sistema all’insaputa del proprietario. Le forze dell’ordine e i “programmi tata” dei genitori utilizzano vari tipi di rootkit per monitorare segretamente l’attività sui computer a fini di sorveglianza, ma gli hacker malintenzionati possono anche installare rootkit sui computer di vittime ignare.
La parola “rootkit” deriva dal sistema operativo (OS) UNIX™ che era prevalente prima di Microsoft™ Windows™. Linux e Berkeley Software Distribution (BSD) sono derivati di UNIX. Il livello “root” di un sistema UNIX è simile ai privilegi di amministratore di Windows. Il pacchetto software di controllo remoto veniva chiamato “kit”, dandoci “rootkit” a volte scritto come “root kit”.
I rootkit hanno creato un ronzio sin dai primi anni ‘1990. Il tipo di rootkit che attaccano le macchine Windows™ si incorporano nel kernel del sistema operativo. Da qui il rootkit può modificare il sistema operativo stesso e intercettare le chiamate al sistema (richieste di informazioni del sistema), fornendo risposte false per mascherare la presenza del rootkit. Poiché il rootkit nasconde i suoi processi dal sistema operativo e dai registri di sistema, è difficile da rilevare.
Un hacker malintenzionato può trasferire un rootkit su un computer in vari modi. I rootkit possono essere consegnati in un Trojan o addirittura nascosti in un file apparentemente benigno. Questo potrebbe essere un grafico o un programma sciocco distribuito tramite e-mail. Le vittime non hanno modo di sapere che verrà installato un rootkit facendo clic sull’immagine o sul programma. I rootkit possono essere installati anche navigando sul Web. Una finestra popup potrebbe indicare, ad esempio, che è necessario un programma per visualizzare correttamente il sito, mascherando un rootkit come un plugin legittimo.
Una volta installato un rootkit, l’hacker può comunicare segretamente con il computer di destinazione ogni volta che è online. Il rootkit viene in genere utilizzato per installare più programmi nascosti e creare “backdoor” al sistema. Se l’hacker vuole informazioni, può essere installato un programma keylogger. Questo programma registrerà segretamente tutto ciò che la vittima digita, online e offline, consegnando i risultati all’intruso alla prossima occasione. I programmi keylogger possono rivelare nomi utente, password, numeri di carte di credito, numeri di conti bancari e altri dati sensibili configurando la vittima per potenziali frodi o furto di identità.
Altri usi dannosi per i rootkit includono la compromissione di diverse centinaia o addirittura centinaia di migliaia di computer per formare una “rete di rootkit” remota chiamata botnet. Le botnet vengono utilizzate per inviare attacchi DDoS (Distributed Denial of Service), spam, virus e trojan ad altri computer. Questa attività, se ricondotta ai mittenti, può potenzialmente comportare il sequestro legale di computer da parte di proprietari innocenti che non avevano idea che i loro computer fossero utilizzati per scopi illegali.
Per proteggersi dai rootkit, gli esperti consigliano di mantenere aggiornato il software di sicurezza, inclusi antivirus e antispyware. Installa gli hotfix (patch di sicurezza del sistema operativo) non appena diventano disponibili ed elimina lo spam senza aprirlo. Quando si naviga in Internet, consentire solo a siti attendibili di installare software ed evitare di fare clic su banner o popup sconosciuti. Anche un pulsante “no grazie” può essere uno stratagemma per scaricare un rootkit.
È anche consigliabile utilizzare uno o più programmi software anti-rootkit per cercare i rootkit settimanalmente, quindi eseguire il backup del sistema. Sebbene alcuni rootkit possano essere presumibilmente rimossi in modo sicuro, la raccomandazione generale è di riformattare l’unità e ricostruire il sistema per assicurarsi che l’intero rootkit e tutti i suoi processi siano spariti. In tal caso, un backup recente e pulito renderà il lavoro molto più semplice.