Essi hanno come obbiettivo quello di modificare i permessi amministrativi del sistema e di nascondere le tracce.
I Rootkit inizialmente erano stati concepiti come uno strumento riservato agli amministratori dei post client, permettendogli di avere pieno controllo sui processi sistemi.
Con il passare del tempo questo ruolo autoimposto di "Amministratore" si è rigirato contro l'industria informatica.
Infatti con questi metodi i pirati riescono ad infiltrarsi nel sistema per prenderne il controllo, all'insaputa degli utilizzatori.
PERICOLOSITA'
Il sistema operativo dialoga con i programmi attraverso un insieme di funzioni chiamate API.
La parte di queste funzioni che riguardano il file system, hanno come compito quello di chiedere informazioni al sistema sui dati registrati nel disco rigido e di comunicarli alle applicazioni.
Il rootkit intercetta le risposte che le funzioni API restituiscono alle applicazioni e rimuove da esse qualsiasi riferimento riguardante l'oggetto che intende occultare (soprattutto Backdoor).
E' ovvio che non avendo ricevuto alcuna informazione, le applicazioni non potranno rilevare alcun oggetto nascosto .
Il rootkit fa in modo da essere lanciato ad ogni avvio del sistema operativo attraverso una chiave di registro, ovviamente resa anch'essa invisibile.
Una volta attivo, come una qualsiasi applicazione, il rootkit può operare sia in user-mode, che in kernel-mode.
I programmi che girano in user-mode sono più limitati, nel senso che operano in un'area ristretta della memoria e non possono in alcun modo accedere ad altre aree della memoria stessa .
Il kernel-mode al contrario, consente un accesso illimitato, ciò significa che un software in kernel può modificare e sovrascrivere anche altri programmi (addirittura il codice del sistema operativo) presente in memoria.
Un programma per girare in kernel-mode deve però essere avviato con privilegi d'amministratore.
I rootkit sono al momento classificati "user-mode" o "kernel-mode" in base a come si comportano una volta nel sistema.
ROOTKIT SU CD MUSICALI(2005)
Anno 2005.
Quello che Sony fece ai tempi per combattere la pirateria, fu includere all'interno di CD musicali un malicious software nascosto (appunto un rootkit) con l'obiettivo supposto di proteggere i propri interessi e prevenire l'uso e la copia illegale di musica.
La questione inquietante è stata il fatto che questo malicious software venne fatto girare senza che l'utente sapesse o consentisse il consenso.
Il rootkit in questione infettava il computer attraverso un CD musicale Sony e lo espone ad alti rischi di sicurezza.
CD Infettati:
Trey Anastasio, Shine (Columbia)
Celine Dion, On ne Change Pas (Epic)
Neil Diamond, 12 Songs (Columbia)
Our Lady Peace, Healthy in Paranoid Times (Columbia)
Chris Botti, To Love Again (Columbia)
Van Zant, Get Right with the Man (Columbia)
Switchfoot, Nothing is Sound (Columbia)
The Coral, The Invisible Invasion (Columbia)
Acceptance, Phantoms (Columbia)
Susie Suh, Susie Suh (Epic)
Amerie, Touch (Columbia)
Life of Agony, Broken Valley (Epic)
Horace Silver Quintet, Silver's Blue (Epic Legacy)
Gerry Mulligan, Jeru (Columbia Legacy)
Dexter Gordon, Manhattan Symphonie (Columbia Legacy)
The Bad Plus, Suspicious Activity (Columbia)
The Dead 60s, The Dead 60s (Epic)
Dion, The Essential Dion (Columbia Legacy)
Natasha Bedingfield, Unwritten (Epic)
Ricky Martin, Life (Columbia) (labeled as XCP, but, oddly, our disc had no protection)
Nessun commento:
Posta un commento