I rootkit sono la nuova piaga per i pc basati su sistemi operativi Windows, questo è un dato di fatto. Negli ultimi anni si sono sviluppate nuove tecniche di infezione, si sono raffinate le armi, le minacce provenienti dai rootkit sono cresciute e sono diventate sempre più insidiose.
Negli ultimi periodi si è sentito molto parlare di possibili nuovi sviluppi dei futuri rootkit, che potrebbero diventare in un certo senso os-independent – cioè capaci di resistere ad un possibile format dell’hard disk. Sto parlando ovviamente della novità esposta al BlackHat DC da John Heasman, ricercatore di NGS Software, secondo il quale i rootkit potrebbero insidiarsi all’interno dei dispositivi interfacciati al pc, esattamente in una zona di memoria lasciata libera dal firmware che gestisce e coordina una determinata periferica.
Una svolta particolarmente radicale del concetto di rootkit così come lo conosciamo attualmente, che finirebbe per diventare ben più difficile da intercettare rispetto ai rootkit attuali.
Ma, senza spostarci di molto, è possibile citare una ricerca effettuata dalla pluri rinomata ricercatrice Joanna Rutkowska. La sua blue pill, la famosa pillola che nel film Matrix lascia le persone all’interno del sistema emulato, ha mosso parecchi allarmismi perché propone un nuovo concetto di rootkit basato su virtualizzazione hardware, ostile – se non al momento impossibile – da individuare e quindi rimuovere.
Concetto non nuovo – basti ricordarsi di SubVirt proposto da Microsoft – ma differente dagli altri per l’utilizzo di un sistema di virtualizzazione hardware, integrato nei processori AMD e Intel di ultima generazione.
O, ancora, perché non citare BootRoot della eEye, che parte prima dell’avvio del sistema operativo dal Master Boot Record. Tutti proof-of-concept, concetti, idee, sicuramente interessanti e affascinanti.
Ma non bisogna perdere il contatto con la realtà. Sono e rimangono al momento idee, concetti, che non hanno un’applicazione reale. Dal proporre un concetto all’applicazione reale di questo, soprattutto vista la complessità di sviluppo di un malware necessaria per applicare una qualunque di queste idee, c’è parecchia strada che corre nel mezzo.
Strada che, personalmente, al momento vedo lontana. La realtà dei fatti è che i rootkit attuali vengono spesso utilizzati per nascondere infezioni da trojan, Password Stealer, Keylogger e trojan adibili allo spam, tutte vie per fare soldi in un modo o nell’altro. Ma non c’è bisogno di rootkit quali quelli espressi sopra. Gli attuali rootkit user e kernel mode sono ancora utili e di gran lunga funzionali.
Purtroppo lo sviluppo dei rootkit che utilizzano le tecnologie attuali, specialmente quelli che insidiano la zona di memoria del kernel, hanno ancora gran margine di crescita e le società di sicurezza non riescono a tenere il passo per lo sviluppo di adeguate contromisure.
I nuovi malware – intesi come trojan, backdoor, worm, spyware, adware – stanno stazionando per quanto riguarda la creatività. Spesso infatti sono copie di malware già esistenti e vecchi, pezzi di codice riscritto ma stesse idee, addirittura a volte si condivide lo stesso codice. Questo perché non ci sono grossi spunti per migliorarsi, nel corso di questi decenni si sono toccati gran parte dei palpabili obiettivi per un malware utilizzando svariate modalità.
Differentemente, un rootkit ha ancora moltissime vie di possibile sviluppo. Se si guarda indietro allo scorso anno Gromozon era un rootkit addirittura user-mode , teoricamente niente di così complesso e facilmente individuabile. La pratica è stata tutt’altra però, è stato una sorta di armored-rootkit, si è difeso in maniera efficace dall’individuazione attraverso molteplici modalità.
Cosa dire poi di Rustock, uno dei migliori rootkit kernel-mode scritti al momento. Ha messo in crisi molti utenti, grazie alle sue tecniche stealth capaci di evadere gran parte dei software antirootkit. Un rootkit che qui in Italia si è fatto sentire, soprattutto durante lo scorso Dicembre quando è stato potenzialmente uno dei fattori che ha portato al rallentamento dell’intera ADSL italiana.
Haxdoor, un altro famoso rootkit, è spesso sulle cronache mondiali perché una delle sue numerose varianti è stata sicuramente utilizzata per qualche furto di informazioni – si può vedere l’ultimo clamoroso furto alla banca svedese Nordea.
Unreal, l’ultimo proof-of-concept rootkit, capace di evadere gran parte degli attuali software anti-rootkit.
Senza andare a scomodare altri rootkit, basta questo a fare il punto della situazione. La realtà delle cose è che i software antivirus attualmente non includono, o includono parzialmente, tecnologie atte all’individuazione di rootkit nel sistema.
I software specifici che esistono presentano in alcuni casi lacune, sintomo che le tecnologie esistenti sono ancora immature, giovani e hanno bisogno di numerosi sviluppi per arrivare ad un grado di affidabilità e robustezza che possa competere a quello degli antivirus contro i virus.
Ciò non toglie, però, che come vengono sviluppati rootkit sempre più rivoluzionari – rimanendo nell’ambito Windows come si è potuto vedere – così altrettanto ci saranno sviluppi dei software antirootkit in questa che è un’arena tutt’altro che esaurita ma ancora su cui combattere apertamente.
Per cui al momento penso sia sostanzialmente inutile lanciare allarmismi su tecnologie future che altro non sono che idee, gridando all’inutilità dei software antivirus o antirootkit che non individuerebbero questi nuovi e fantomatici rootkit.
Prima di preoccuparci del futuro, in altre parole, è forse il caso di preoccuparci del presente, molto più attivo e pericoloso di quanto possa sembrare all’occhio comune. Perché spesso le persone prendono le notizie dei ricercatori senza apprenderne tutte le varie sfumature e gridano all’inutilità dei software di sicurezza di fronte alle future tecnologie senza rendersi conto spesso che il loro pc è infetto con un vecchio e “innocuo” rootkit.
-------------
Post correlati:
Se gia’ riuscissimo a debellare i dialer o i cosiddetti servizi a valore aggiunto (aggiunto de che?) con una leggina facile facile gia’ avremmo fatto un passo avanti.
poi rimangono i trojan per spam e Ddos.
e il furto di dati sensibili che pero’ uno con po’ di attenzione puo’ evitare anche se ha il pc infetto. Se mi rubano la pass per accedere ad hotmail non credo che mi disperero’
Sì, assolutamente, quello dei dialer è un problema prettamente italiano (in gran parte almeno) e ci sarebbe bisogno di qualche legge ad-hoc.
Nell’articolo mi riferisco un pò in generale all’argomento rootkit, visto che tutti si allarmano per i rootkit del futuro quando ci sono molti altri problemi che vengono sottovalutati o neanche considerati in questo presente.
Marco
Marco, nn sono completamente d’accordo con te: condivido quando sottolinei che dal punto di vista concreto la minaccia reale è rappresentata al momento dai ” normali ” rookit, e nn da quelli che potrebbe sfruttare la tecnologia delle macchine virtuali o la memoria flash ecc. ecc, ma questo per l’immediato. La storia recente dei malware dimostra che ogni volta che compare una nuova specie di insidia o una nuova tecnica di aggressione queste più o meno rapidamente si diffondono e diventano anch’esse di uso ” normale “: vuoi per competizione fra hacker, vuoi per emulazione, vuoi per sfruttarne le possibilità, per ottenerne guadagni illeciti o farsi pubblicità, vuoi per sfida a elaborarne modalità perfezionate. Nn sarei molto ottimista da questo punto di vista.
Ciao,
sai, non ho detto che il pericolo futuro non esista. Dico soltanto che il ragionamento di gridare allarmismo per questo futuro problema è esagerato al momento. La complessità di sviluppo di quei proof-of-concept è alta, ma molto alta. E al momento, per quanto bella l’idea sia, non c’è necessità di ricorrerci.
Come puoi vedere tu stesso i rootkit attuali hanno gran libertà di movimento.
Perché gridare a quello che può succedere dopo quando già ora è possibile vedere cosa sta succedendo, ed è già grave?
Preoccupiamoci prima di avere delle basi solide, poi si può affrontare il futuro.
Dal proof-of-concept di quella tipologia (non parlo di exploit di qualche servizio Microsoft o simili) all’applicazione pratica e reale, cioè la creazione di un malware che sia veramente diffuso, pericoloso e perfettamente funzionante, c’è ancora fortunatamente molta strada.
Se guardi, l’idea di virtualizzazione non è totalmente nuova. PMBS faceva quello che fa SubVirt sostanzialmente, e i risultati sono stati quelli che sono stati. È altrettanto vero che le conoscenze che c’erano a quell’epoca non sono quelle che ci sono adesso, ma resta comunque un’idea di non banale implementazione.
Occhio, non dico impossibile, dico difficile.
Quello che voglio dire è che non sono ottimista, come mi hai fatto notare tu, per il futuro. Vorrei sottolineare invece che spesso e volentieri molte persone sono pessimiste per il futuro e non realiste su quello che è il presente, prendendolo sotto gamba.
Sinceramente temo più al momento rootkit che possano sfruttare avanzate tecniche DKOM – come dici tu appunto si raffinano le tecniche – piuttosto che un rootkit basato su Bluepill. Semplicemente perché non dico che quest’ultimo non possa esistere, ma che percentualmente parlando ho molte ma molte più possibilità di rimanere infetto dal primo.
Marco
PS: ti spiego velocemente il perché di questo articolo: oltre all’allarmismo generale – giusto ma esagerato per molte persone che non hanno idea di quello che sia il presente – ho avuto il piacere/dispiacere di scontrarmi con un amministratore di sistema che mi ha detto “gli antivirus tanto sono inutili, non servono a niente” e mi ha portato come prova un articolo della Blue Pill di Joanna
Ecco il perché 
Completamente d’accordo con te da questo punto di vista. E’ che leggevo il tuo articolo in due prospettive parallele: da un lato quella dell’analisi della situazione “rootkit – insidie per la sicurezza ” allo stato attuale, e qui nn posso che essere d’accordo con te. Dall’altro, considerato che sei uno specialista di rootkit, lo leggevo come valutazione teorica e prospettiva dei rootkit in generale. Di qui la mia errata impresione che tu fossi ” troppo ottimista “. Quanto a quell’amministratore – nn è che mi invii il link del 3D in privato ?
– immagino che nn abbia nemmeno sentito parlare di HIPS a questo punto. Mi ricorda una persone che conoscevo e che si spacciava per esperto che affermava che l’av nn serve, perchè ” se hai un firewall ben settato nel tuo pc non entra niente “, sic.
Purtroppo non ti posso dare il link per divertirti – mi è capitato di persona, in faccia, mi ha guardato e mi ha detto che sono giovane e non mi devo lasciar imbambolare dalle favole delle grandi società che dicono che servono le cose, devo usare la mia testa e capire da solo che quello che offrono – euristica e compagnia varia – in realtà non funziona assolutamente e non serve a niente
Il futuro sarà quello ?
Se sarà quello, credo, che sempre più utenti Windows (stufi di rincorrere in difesa chi è sempre un passo avanti in attacco) migreranno al MAC ed anche al LINUX….credo !!
Il problema rootkit è comune ai vari sistemi operativi. Purtroppo esistono anche per Linux.. quindi non penso che migrare ad altri sistemi solo per non sentire parlare di rootkit sia la soluzione. Ahimè ne sentiranno parlare anche in quei sistemi.
Ciao a tutti !!
Certo questa possibilità dei rootkit annidati vicino ai firmware mi fa’ un po’ di paura…
Mi piacerebbe chiedervi questo: in questi casi, soprattutto se il rootkit cerca di comunicare all’esterno, disponendo anche di un firewall o blocca IP operante piu’ a basso livello ( tipo Protowall ? ) ed una lista di IP da bloccare noti per un certo rootkit di questo genere, si avrebbe una minima difesa ?
Non è che mi preoccupi piu’ di tanto, ma mi piacerebbe capire se in teoria protezioni + o – di questo tipo possano servire o se invece sarebbe + utile sovrascrivere i firmware periodicamente se e quando questi rootkit saranno purtroppo una realtà…
Grazie infinite !!
P.S. Marco ritorna anche su HWU x favore !!!
Ciao Fra,
se veramente si vedrà questa evoluzione dei rootkit solo in quel momento allora si potrà discutere anche delle possibili contromisure. Ora non ci è dato sapere come verranno sviluppati, non abbiamo niente contro cui “combattere”.
Se seguissero la teoria, la macchina sarebbe completamente compromessa e l’unico modo per accorgersi della comunicazione verso l’esterno sarebbe un dispositivo esterno ad essa che controlla il traffico.
Ma, ripeto, è inutile fantasticare su ciò che per ora non c’è
Ciao!
Marco
PS: ogni tanto ci faccio un salto
Grazie mille per la stima 
Salve a tutti!
Prima di tutto volevo fare i complimenti a Marco e cmq a tutti i pezzi da 90 che frequentano questo sito e il relativo nuovo Forum.
Vi seguo piacevolmente ed anche incuriosito da un po di tempo a questa parte.
I discorsi e le riflessioni che fate sono molto tecniche e contemporaneamente molto semplici da capire, il tutto in un clima di cordialità e serenità, qualità che al giorno d’oggi è difficile trovare, anche e sopratutto nella realtà in cui viviamo.
Marco, non sono un esperto in materia ma mi sarebbe piaciuto molto vedere la faccia di quell’ “Amministratore” e cosa avesse potuto rispondere alla domanda sull’Euristica di un Antivirus.
Forse quel signore non sà che proprio grazie a quegli “sfigati” e alla loro “penosa” Euristica si è potuto constatare che in molte macchine infette da Trojan “fantasma” c’era un certo Gromozon (di cui in inizio, se ne ignorava l’esistenza) a fare bella compagnia?
Oppure non sà che la “sfortunata” tecnologia Trueprevent di una nota casa mi debellò su di un pc d’ufficio un piccolo “bacillo” di nome wincom32/Storm-Worm, prima ancora che la notizia apparisse su tutti i Blog e forum di mezza Internet?!
E forse non sà neanche, che un Vero Amministratore ha almeno un antivirus sul proprio server??!
Dal mio punto di vista una cosa è certa, se mi affidassi ad uno di questi “esperti”, farei prima a formattare le mie macchine.