Le metodologie utilizzate dai malintenzionati per attentare alla sicurezza dei sistemi sono sempre più sofisticate e di difficile rilevazione. I rootkits e i botnets sono fra i metodi più insidiosi di attacco in quanto realizzati per mascherarsi all'interno del sistema e non farsi individuare dai normali programmi antivirus.
Cosa sono i rootkits e i botnets?
Per rootkit si intende quella porzione di software di piccole dimensioni che può essere installato e nascosto su un computer all'insaputa dell'utente. I metodi utilizzati dai malintenzionati per installare un rootkit sono molteplici, variano dall'inserimento fraudolento all'interno di altro software, di solito di intrattenimento come i giochi, concesso in modalità freeware, all'installazione tramite un attacco portato sfruttando una vulnerabilità del sistema operativo o tramite un convincimento psicologico diretto all'utente, il cosiddetto social engineering. I rootkits possono contenere al loro interno diverse tipologie di software dannoso, detto payload. Ad esempio, un attaccante può acquisire il controllo del sistema allo scopo di acquisire informazioni, monitorare le azioni effettuate sul sistema stesso, modificare programmi oppure avviare altri programmi all'insaputa dell'utente.
Botnet è un termine derivante dall'unione di due parole inglesi: bot e network. Nella sua forma più elementare bot è semplicemente un programma automatico per computer o robot. Nel contesto dei botnets, la parola bots è riferita a più computer che possono essere controllati da una o più entità esterne. Un attaccante solitamente guadagna dapprima il controllo di un computer infettandolo con un virus o mediante altri codici malevoli, sfruttanti delle vulnerabilità del sistema, e successivamente vi installa un software che lo rende in grado di acquisire il controllo del sistema da remoto allo scopo, ad esempio, di effettuare degli attacchi verso altri sistemi del tipo spam distribuito o Denial of Service (DoS). Un computer potrebbe essere parte di un botnet sebbene sembri funzionare regolarmente.
Perché sono considerate delle gravi minacce?
Il problema principale con i rootkit e i botnets è che sono di difficile individuazione. Sebbene i botnets non siano nascosti come lo sono i rootkits, questi possono essere localizzati solo durante una loro attività illecita. Se un rootkit viene installato su un sistema, l'utente non sarà consapevole di questa installazione "non autorizzata", dato che i normali programma antivirus non sono in grado di rilevarlo. Dalla loro prima comparsa, i rootkits sono diventati sempre più sofisticati acquisendo sia capacità di aggiornamento automatico remoto e sia di elevato mascheramento.
Gli attaccanti possono usare rootkits e botnets per accedere e modificare informazioni riservate, attaccare altri computer e commettere tutta una serie di crimini informatici, rimanendo perfettamente anonimi. Questo fenomeno è in piena crescita ed è ampiamente nota l’esistenza di vaste reti di computer botnets che nelle mani di malintenzionati senza scrupoli sono in grado procurare notevoli danni effettuando attacchi simultanei verso uno stesso obiettivo.
Come ci si difende?
Adottando le seguenti raccomandazioni ci si può efficacemente difendere da un attacco:
-
Usare e mantenere aggiornato il proprio programma antivirus: l'antivirus riconosce e protegge il computer contro la maggior parte dei virus in circolazione, a patto che venga costantemente aggiornato con le nuove definizioni dei virus.
-
Cambiare spesso le proprie password: le password di default o nulle, così come le password usate da troppo tempo ci rendono vulnerabili agli attacchi. É quindi buona norma quella di modificare sempre le password di base fornite dai software, non lasciare password nulle e cambiare frequentemente (almeno ogni sei mesi) le password che usiamo per accedere al sistema e ai vari servizi come la posta elettronica e i siti web protetti.
-
Mantenere aggiornato il software: installare le patch appena vengono pubblicate sia per il sistema operativo e sia per tutti gli applicativi installati sul proprio sistema dovrebbe diventare una buona consuetudine. Allo scopo è opportuno attivare l’aggiornamento automatico.
-
Installare ed usare un personal firewall: i personal firewall sono in grado di prevenire determinate infezioni bloccando in ingresso il traffico indesiderato e potenzialmente dannoso. Sono anche molto utili per tenere sotto controllo il traffico in uscita segnalandoci la presenza di software nascosti che tentano di contattare dei siti web non autorizzati.
-
Usare programmi antispyware: l'uso di questi tipi di programmi è complementare a quello dei programmi antivirus.
-
Seguire sempre i consigli sulla sicurezza: prendere sempre appropriate precauzioni quando si usa l'account e-mail o quando si naviga con un browser in modo da poter diminuire i rischi di infezioni.
In commercio esistono degli strumenti capaci di localizzare e in alcuni casi cancellare i rootkit, ma se questi non dovessero riuscire nel loro intento, bisognerà in ultima analisi procedere alla formattazione dell'hard disk. In tale caso assume notevole importanza la disponibilità di copie di backup dei dati non infettate.