Cosa sono i rootkits e le botnets ?
Per rootkit si intende quella porzione di software di piccole dimensioni che può essere installato e nascosto su un computer all'insaputa dell'utente. I metodi utilizzati dai malintenzionati per installare un rootkit sono molteplici, variano dall'inserimento fraudolento all'interno di altro software, di solito di intrattenimento come i giochi, concesso in modalità freeware, all'installazione tramite un attacco portato sfruttando una vulnerabilità del sistema operativo o tramite un convincimento psicologico diretto all'utente (social engineering). I rootkits possono contenere al loro interno diverse tipologie di software (payload) dannoso. Ad esempio, un attaccante pùò acquisire il controllo del sistema allo scopo di acquisire informazioni, monitorare le azioni effettuate sul sistema stesso, modificare programmi oppure avviare altri programmi all'insaputa dell'utente.
Botnet è un termine derivante dall'unione di due parole inglesi : bot e network. Nella sua forma più elementare bot è semplicemente un programma automatico per computer o robot. Nel contesto delle botnets, la parola bots è riferita a più computer che possono essere controllati da una o più entità esterne. Un attaccante solitamente guadagna dapprima il controllo di un computer infettandolo con un virus o mediante altri codici malevoli, sfruttanti delle vulnerabilità del sistema, e successivamente vi installa un software che lo rende in grado di acquisire il controllo del sistema da remoto allo scopo, ad esempio, di effettuare degli attacchi verso altri sistemi del tipo SPAM distribuito o Denial of Service (DoS). Un computer potrebbe essere parte di una botnet sebbene sembri funzionare regolarmente.
Perché sono considerate delle gravi minacce ?
Il problema principale con i rootkit e le botnets è che sono di difficile individuazione. Sebbene le botnets non siano nascoste come lo sono i rootkits, queste possono essere localizzate solo durante una loro attività illecita. Se un rootkit viene installato su un sistema, l'utente non sarà consapevole di questa installazione "non autorizzata", dato che i normali programma antivirus non sono in grado di rilevarlo. Dalla loro prima comparsa, i rootkits sono diventati sempre più sofisticati acquisendo sia capacità di aggiornanamento automatico remoto e sia di elevato mascheramento.
Gli attaccanti possono usare rootkits and botnets per accedere e modificare informazioni riservate, attaccare altri computer e commettere tutta una serie di crimini informatici, rimanendo perfettamente anonimi. Questo fenomeno è in piena crescita ed è ampiamente nota la esistenza di vaste reti di computer botnets che nelle mani di malintenzionati senza scrupoli sono in grado procurare notevoli danni effettuando attacchi simultanei verso uno stesso obiettivo.
Gli attaccanti possono usare rootkits and botnets per accedere e modificare informazioni riservate, attaccare altri computer e commettere tutta una serie di crimini informatici, rimanendo perfettamente anonimi. Questo fenomeno è in piena crescita ed è ampiamente nota la esistenza di vaste reti di computer botnets che nelle mani di malintenzionati senza scrupoli sono in grado procurare notevoli danni effettuando attacchi simultanei verso uno stesso obiettivo.
Come ci si difende ?
Adottando le seguenti raccomandazioni ci si può efficacemente difendere da un attacco:
- usare e mantenere aggiornato il proprio programma antivirus - l'antivirus riconosce e protegge il computer contro la maggior parte dei virus in circolazione. Non è però in grado di proteggerci dai nuovi virus, è percio fondamentale mantenerlo costantemente aggiornato;
- cambiare spesso le proprie password - le password di default o nulle, così come le password usate da troppo tempo ci rendono vulnerabili agli attacchi. E' quindi buona norma quella di modificare sempre le password di base fornite dal software, non lasciare password nulle e cambiare frequentemente (almeno ogni tre mesi) le password che usiamo per accedere al sistema e ai vari servizi come la posta elettronica e i siti web protetti;
- mantenere aggiornato il software - installare le patch appena vengono pubblicate sia per il sistema operativo e sia per tutti gli applicativi installati sul proprio sistema dovrebbe diventare una buona consuetudine;
- installare ed usare un personal firewall - i personal firewall sono in grado di prevenire determinate infezioni bloccando in ingresso il traffico non desiderato e potenzialmente dannoso. Sono anche molto utili per tenere sotto controllo il traffico in uscita segnalandoci la presenza di software nascosti che tentano di contattare dei siti WEB non autorizzati ;
- usare programmi anti-spyware - l'uso di questi tipi di programmi è complementare a quello dei programmi antivirus;
- seguire sempre i consigli sulla sicurezza - prendere sempre appropriate precauzioni quando si usa l'account e-mail o quando si naviga con un browser in modo da poter diminuire i rischi di infezioni.
In commercio esistono dei tool capaci di localizzare e in alcuni casi cancellare i rootkit, ma se questi non dovessero riuscire nel loro intento, bisognerà in ultima analisi procedre alla formattazione dell'hard disk. In tale caso assume notevole importanza la disponibilita di copie di salvataggio dei dati non infettate.
Nessun commento:
Posta un commento