|
|
Pericolo Rootkit
Microsoft in collaborazione con l'università del Michigan, sta studiando come si evolveranno i prossimi malware. Ed il panorama è inquietante. Codice maligno in grado di nascondersi alla vista di antivirus ed anti-spyware ed in grado di controllare il sistema operativo da remoto senza causare rallentamenti apprezzabili che possano rivelarne l’esistenza. Si chiama “Subvirt” il progetto di ricerca che si serve di macchine virtuali basate su Vmware e Virtual PC. Le virtual machine utilizzano un software per interfacciare un sistema operativo emulato con l'hardware fisico del computer in uso, collegando hardware reale al computer emulato. Il VMM lavora al livello più basso , ovvero in “kernel mode” , come il sistema operativo installato sul pc, mentre tutti i programmi installati nella macchina virtuale creata , incluso il sistema operativo emulato, sono eseguiti in “user mode”. Poiché le interazioni tra la Virtual Machine e l’hardware fisico sono emulate e gestite dal VMM, un eventuale hacker in grado di modificare questo componente può acquisire il completo controllo del sistema operativo emulato. Come si vede nell’immagine, il pc viene completamente inglobato in una macchina virtuale, senza che l’utente si accorga di nulla. Questa nuova minaccia viene denominata Rootkit VMBR. Ecco come entra in azione: quando il sistema operativo sta per spegnersi e tutti i processi sono stati terminati, appena prima dello shutdown, il VMBR si copia nelle prime posizioni del Master Boot Record. Al riavvio del computer, l'utente crederà di stare usando il proprio sistema operativo, mentre alcuni secondi prima del boot viene inizializzato un altro sistema operativo completamente invisibile. Il computer così infettato non mostrerà alcuna apparente differenza, ma sarà compromesso senza evidenziare dall’interno del sistema operativo indicatori di attività sospette. Tra i pochi campanelli d’allarme ci sono cali prestazionali quando si utilizzano schede grafiche 3D con applicazioni particolarmente esigenti ed il tempo di riavvio del sistema operativo. Altro indizio è lo spazio occupato nel Master Boot Record, visto che il codice del malware occupa diversi megabyte in più rispetto alla versione standard, ma questo elemento è estremamente difficile da verificare per l’utente comune. Dato che il tallone d’Achille del rootkit sta nell’istante di spegnimento e riavvio, il VMBR utilizza l'ACPI , mandando in stand by la macchina e simulando il riavvio. Se questa tecnica d’attacco sarà migliorata, quello che è un progetto di studio sulle nuove vulnerabilità potrebbe diventare un incubo per gli esperti di sicurezza. I produttori di antivirus ed anti-spyware devono implementare al più presto routine di scansione e disinfezione in grado di arginare anche i rootkit, che si stanno diffondendo purtroppo pure ad opera di multinazionali senza scrupoli che li hanno inseriti in moltissimi CD musicali in barba alla privacy e alle leggi in vigore.
|
|
|
|