Scopriamo cosa sono i rootkit e come proteggere il PC
I malware sono tanti, milioni di milioni… proprio come le stelle del famoso jingle televisivo! Nei post del nostro blog parliamo spesso di ransomware, trojan, adware e tante altre tipologie di virus tristemente famose. Tuttavia, ce ne sono altre meno conosciute, ma a volte ancora più pericolose.
Una di queste è la categoria dei rootkit, un tipo di malware che potremmo definire come un virus che altera le autorizzazioni del sistema per compiere crimini informatici sul PC della vittima e attraverso di esso. La definizione è volutamente generica perché la famiglia dei rootkit comprende molti malware diversi, con scopi altrettanto specifici. Tra poco vedremo cosa sono i rootkit, come funzionano e come proteggere i nostri PC.
Che cosa sono i rootkit
Il termine inglese rootkit è la combinazione di due parole, root + kit, dove root (che in inglese significa radice) indica l’utente con privilegi da amministratore sui sistemi Unix (e per estensione anche sui computer con altri sistemi operativi) e kit, invece, fa riferimento al software necessario per introdursi nel sistema.
Con il termine rootkit ci si riferisce a tutti quei software che modificano le impostazioni e i permessi di un sistema informatico per prenderne il controllo completamente o in parte. I rootkit non hanno necessariamente scopi illegali, alcuni servono per far funzionare applicazioni che consentono a un utente di comandare in remoto un altro sistema o modificarne determinate impostazioni.
L’epoca dei rootkit dannosi e illegali è iniziata paradossalmente con un episodio legato a un’azienda molto famosa, Sony BMG. Nel 2005, l’azienda introdusse un rootkit nei propri CD musicali per limitare l’accesso da parte degli utenti e impedirne la duplicazione. Inutile dire che quando la questione fu resa pubblica da un informatico, scoppiò un grosso scandalo legato alla privacy e alla trasparenza delle azioni di Sony BMG. La cosa peggiore è che, in risposta alla disapprovazione generale, Sony rilasciò una patch per rimuovere il rootkit che finì per esporre gli utenti a minacce informatiche ancora più gravi, perché nel frattempo la comunità di hacker aveva approfittato della stessa vulnerabilità di Windows sfruttata da Sony per creare rootkit pericolosi.
Come funzionano i rootkit
I rootkit possono essere autonomi o agire in combinazione con altri elementi malware che ne consentono l’installazione, ad esempio un worm, un backdoor o un semplice adware contenente il rootkit. Una volta installato, il rootkit modifica alcune impostazioni del sistema ottenendo permessi di accesso di vario livello, generalmente sempre più alti rispetto a quelli normalmente concessi ad applicazioni e servizi esterni.
Tuttavia, oggi la maggior parte dei rootkit non cerca più di prendere il controllo del computer, ma ha scopi ben più subdoli e, paradossalmente, pericolosi. Ecco gli utilizzi illegali più comuni dei rootkit attuali:
- Rubare dati personali e inviarli a computer “in ascolto” sulla rete.
- Nascondere altri malware, come i keylogger, piccoli virus in grado di memorizzare credenziali di accesso e password e trasmetterle ad hacker che le utilizzano per violare gli account degli utenti o rivenderle in massa nel Deep Internet.
- Contaminare il PC rendendolo una specie di computer-zombie e utilizzarlo per propagare l’infezione del rootkit. Il computer viene connesso a una bot-net (una rete di computer inconsapevolmente connessi tra loro che supportano azioni di cybercrimine, occultando l’identità e l’ubicazione reali dell’hacker).
Come dicevamo, una volta installato, il rootkit modifica il sistema e sé stesso. Grazie a tecniche di polimorfismo, occultamento, rigenerazione e blocco dei sistemi antimalware, i rootkit sono molto difficili da localizzare e rimuovere, perché una volta installati non hanno più neanche l’aspetto di un virus. Di fatto, molte delle applicazioni in circolazione che promettono di rilevare la presenza di rootkit sul PC e rimuoverli non sono realmente in grado di farlo, oppure possono rilevarne solo i più conosciuti, di cui si sa esattamente il meccanismo di funzionamento e le tracce che lasciano nel sistema.
Inoltre, trattandosi di malware sofisticati e che si mimetizzano molto bene all’interno del sistema, è molto difficile rendersi conto di avere un rootkit sul computer. I sintomi tipici di infezione da rootkit sono alterazioni delle impostazioni del sistema, rallentamenti e funzionamenti anomali. Purtroppo si tratta di sintomi talmente generici da passare spesso inosservati o essere confusi con un malfunzionamento generale del sistema, ad esempio dovuto a un carico di lavoro eccessivo o una connessione a Internet lenta.
In generale, l’unico metodo efficace contro i rootkit è la prevenzione.
Come proteggersi dai rootkit
Per evitare di installare inavvertitamente un rootkit, valgono le linee guida di “igiene informatica”, le stesse che ti aiuteranno anche a proteggere i tuoi dispositivi da altri tipi di malware e attacchi informatici:
- Mantieni aggiornato il sistema operativo per approfittare delle patch di sicurezza. Il lavoro più grosso in termini di prevenzione delle infezioni lo fanno le stesse software house come Microsoft, rendendo più sicuri i propri sistemi operativi e programmi.
- Scarica e installa Panda Dome, il software di cybersicurezza che ti aiuta a rilevare, bloccare e rimuovere le minacce informatiche dal tuo computer. Prova un mese gratis.
- Utilizza il firewall. I firewall aggiungono un livello di protezione in più al sistema informatico, obbligando i malware a trovare altri percorsi in entrata e in uscita. I virus meno sofisticati non sono in grado di oltrepassarli e trovare alternative.
- Non visitare siti web non attendibili, come siti di pornografia, pirateria informatica e categorie simili.
- Fai attenzione a cosa installi. Investi in software sicuri, conosciuti e a pagamento, da cui sai con certezza che non prenderai nessun rootkit. Durante l’installazione dei programmi che non conosci (SCONSIGLIATI), non procedere distrattamente ma fai attenzione a cosa accetti e su cosa fai clic. Senza volerlo potresti installare adware e alcuni di essi contengono rootkit. Scopri come eliminare l’adware.
- Non inserire MAI i tuoi dati personali su siti che non utilizzano il protocollo di trasmissione dei dati HTTPS (con la S finale)! Per maggiori informazioni, leggi il nostro articolo sul protocollo HTTPS. Questi siti non sono certificati e i dati personali che inserisci non sono protetti, pertanto è probabile che non si tratti di un’attività legittima e anche qui potresti prendere un rootkit.
- Attenzione ai download. I rootkit sono infidi, talmente insidiosi da essere in grado di nascondersi anche nei file di rich content, ad esempio nei PDF. A volte basta scaricarne uno – magari una guida o un libro che cercavi gratuitamente – e alla prima apertura del PDF il rootkit si installerà sul tuo computer.
- Buon senso, buon senso e ancora buon senso! Contro i malware e le minacce informatiche serve attenzione e un po’ di pazienza. Prenditi sempre qualche secondo per valutare l’attendibilità delle pagine su cui navighi. A volte rinunciare alla soddisfazione istantanea di scaricare ciò che cerchiamo da Internet può risparmiarci molti problemi.
E ricorda: se qualcosa sembra troppo bello per essere vero (proprio come quel dizionario in PDF gratuito che cercavi), probabilmente non lo è!
Buona navigazione e protezione dai rootkit!