Cosa sono i rootkit e come evitarli

Il significato di “rootkit” è legato al concetto di root. Nei sistemi Unix, viene chiamato root l’utente con i più elevati privilegi di amministratore. Con kit si intende invece un’applicazione che consente di accedere al livello di root senza averne l’autorizzazione. Un rootkit è quindi un programma in grado di ottenere l’accesso da amministratore a un sistema, pur non avendone il permesso.

I rootkit sono un metodo molto usato dagli hacker per introdursi nei sistemi e ottenere così informazioni private. Vengono solitamente scaricati come malware e installati dagli utenti senza che questi se ne rendano conto, sfruttano poi le vulnerabilità del sistema per operare e nascondersi. Possono essere utilizzati per diverse operazioni, con differenti livelli di pericolosità.

• Controllo remoto. Un rootkit può agire a livello di sistema e aprire una backdoor, in modo che qualcuno riesca a introdursi nel computer senza essere rilevato. L’hacker in questione può quindi effettuare operazioni sul sistema compromesso: scaricare file, eliminare documenti, impossessarsi di informazioni personali, e molto altro.
• Furto di password. Un rootkit può essere programmato in modo da registrare tutto quello che viene digitato sulla tastiera. Ciò significa che sarà in grado di rubare informazioni come credenziali di accesso, numeri di carta di credito o qualsiasi altro dato che viene digitato dall’utente.
• Installare malware. Un rootkit può essere programmato per installare altri malware. I rootkit sono infatti più difficili da rilevare rispetto ai malware: un utente attento a questi ultimi potrebbe comunque non accorgersi di essere stato infettato da un rootkit, e di conseguenza subire un imprevisto attacco malware.
• Attacchi DDoS. Un attacco DDoS prevede che vi sia un gran numero di computer che effettuano contemporaneamente richieste a un singolo server, inondandolo a tal punto da bloccarlo e creare disservizi. La rete da cui partono le richieste è formata da bot (per questo è nota anche come botnet), che possono essere creati proprio tramite rootkit. Un rootkit è infatti in grado di sfruttare le risorse del sistema compromesso per inviare richieste a un server, senza che l’utente si accorga di nulla.

Ma i rootkit possono essere usati anche per scopi positivi. Ad esempio, sono utili a monitorare un computer da remoto. In casi come questo, però, la loro installazione non è nascosta.

I rootkit non sono tutti uguali. Si possono infatti classificare in diverse tipologie, ognuna con le proprie caratteristiche, i propri punti di forza e le proprie debolezze.

Rootkit in modalità utente

I rootkit in modalità utente operano al livello dell’utente. Agiscono su archivi e file di configurazione, in modo da ottenere accesso completo al sistema e al dispositivo. Questi rootkit vengono solitamente installati tramite altri programmi malevoli oppure tramite allegati a e-mail. Sono abbastanza facili da riconoscere, un buon software antimalware dovrebbe essere in grado di individuarli, ma se non vengono eliminati immediatamente potrebbero fare molti danni.

Rootkit in modalità kernel

I rootkit in modalità kernel operano al livello del sistema operativo e sono in grado di modificarlo in maniera sostanziale. Possono infatti cambiare il codice stesso che costituisce il sistema operativo. Tali rootkit si mascherano spesso da driver hardware, in quanto anche i driver si comportano allo stesso modo: un utente che crede di scaricare un driver necessario potrebbe quindi ritrovarsi a scaricare un rootkit a sua insaputa. Per questo motivo sono molto più difficili da identificare e rimuovere.

Bootkit

Il bootloader è il programma che avvia il sistema operativo, ed è quindi fondamentale per il corretto funzionamento di un computer. In questo caso il bootkit, definito rootkit del bootloader, agisce proprio sul bootloader, sostituendosi a esso. Poiché viene eseguito prima ancora che il sistema operativo venga avviato, il bootkit può eseguire un codice malevolo senza che il sistema se ne renda conto, ed è quindi molto pericoloso e difficile da eliminare.

Rootkit firmware

Un firmware è un programma che permette di controllare e gestire le periferiche collegate al computer. Un rootkit firmware, di conseguenza, è un rootkit che si sostituisce al firmware e che è in grado di infettare non soltanto il computer ma anche le periferiche a esso collegate. In particolare, molti rootkit sviluppati di recente prendono di mira i dispositivi dell’Internet delle cose, che generalmente hanno un livello di protezione dagli attacchi esterni piuttosto basso.

Rootkit di memoria

Un rootkit di memoria è un rootkit in grado di nascondersi all’interno della memoria di un computer e avviare quindi processi potenzialmente dannosi in background. Tali processi possono influire sulle prestazioni del computer, in quanto per funzionare avranno bisogno di una parte delle risorse di memoria normalmente usate dal sistema operativo. Questo genere di rootkit è solitamente meno dannoso di altri, in quanto non modifica permanentemente il sistema: spesso basta riavviare il computer per liberarsene.

Rootkit virtuali

I rootkit virtuali, chiamati anche rootkit hypervisor, operano in modo piuttosto particolare. Creano infatti una macchina virtuale all’interno della quale viene eseguito il sistema operativo, intercettando così tutte le richieste di operatività. All’apparenza il computer funziona perfettamente e non ci sono indizi di problemi, in quanto il sistema operativo non è tecnicamente infettato: il pericolo sta però nell’immagine virtuale, che non sempre è facile individuare.

Un rootkit può infettare un sistema con gli stessi metodi usati da un malware “tradizionale”. Tramite social engineering, ad esempio, un hacker può ottenere una serie di informazioni che gli permettono di inviare e installare rootkit sul computer della vittima. Il metodo più utilizzato, però, è quello di associare il rootkit ai file di installazione di altri programmi apparentemente legittimi, in modo che l’utente non si accorga di nulla.

Individuare e rimuovere i rootkit non è sempre facile, poiché questi possono compromettere pesantemente il sistema in brevissimo tempo. Se ci si accorge di essere stati infettati, però, si può ricorrere ad alcune soluzioni.

• Usare programmi appositi. Alcuni tipi di antivirus e antimalware sono in grado di eliminare anche i rootkit. In questo caso va verificato se l’antivirus in uso sia effettivamente in grado di farlo.
• Reinstallare il sistema operativo. La maggior parte dei rootkit, fatta eccezione per i bootkit, operano al livello del sistema operativo: reinstallando quest’ultimo si dovrebbe eliminare il problema alla radice.
• Ripristinare le impostazioni di fabbrica. Per quanto riguarda i dispositivi esterni, difficilmente si può agire seguendo i due punti precedenti: l’unica possibilità è quella di cancellare completamente i dati e di ripristinare il dispositivo alle impostazioni di fabbrica.

In ogni caso, la soluzione migliore, come spesso accade in ambito di sicurezza informatica, è quella di evitare di essere infettati da un rootkit. Fortunatamente ci sono diverse opzioni per farlo.

• Eseguire uno scan del sistema. Gli antivirus e gli antimalware in grado di rilevare ed eliminare i rootkit permettono di eseguire uno scan completo del sistema: questa scansione andrebbe eseguita frequentemente in maniera preventiva.
• Scaricare software affidabile. I rootkit sono spesso associati a software apparentemente legittimi ma malevoli: meglio quindi affidarsi solo ad applicazioni conosciute e sicure, ed evitare d’altra parte quelle di dubbia provenienza. Usare soltanto gli store ufficiali dei vari sistemi operativi è sicuramente un buon metodo per andare sempre sul sicuro.
• Fare attenzione al phishing. Quando si riceve un messaggio e-mail strano, bisogna sempre sospettare che si possa trattare di un tentativo di phishing. È bene ricordare di non fornire mai informazioni personali tramite e-mail o tramite siti di cui non si è sicuri al 100%.
• Usare una VPN. Le VPN sono reti private virtuali che permettono di crittografare il traffico e proteggersi da diversi tipi di attacchi informatici. Con soluzioni come Threat Protection di NordVPN, poi, è possibile anche rilevare i malware prima ancora che vengano scaricati e installati.