Cosa sono i rootkit e come evitarli

Dinnanzi ad un virus informatico c’è poco da scherzare. Si tratta di minacce reali e pericolose, perché passibili di creare danni enormi. Inoltre, potresti avere molte difficoltà ad individuare questi malware e tante altre per rimuoverli.

Spesso, i dati che vengono frugati sono sensibili, in molti casi non riguardano solamente un singolo utente ma migliaia di cittadini. Il rischio che gli stessi possano finire nelle mani sbagliate è elevatissimo. Riteniamo, dunque, sia importante conoscere quali sono le più diffuse forme di attacchi informatici e come difendersi da essi.
Oggi parleremo dei rootkit e dei pericoli che un attacco del genere può causare.

Cosa sono i rootkit?

I rootkit sono un tipo di malware progettato in modo tale da poter rimanere nascosto sul tuo computer. Dunque, potresti non notare la presenza del rootkit ma questo potrebbe essere ugualmente attivo. Tale malware permette ai criminali informatici di controllare il tuo computer da remoto.

I rootkit si caratterizzano, in genere, per la presenza di programmi che consentono agli hacker di rubare le tue password, i dati della tua carta di credito o degli accessi ai servizi online di home banking. Attraverso questo malware, un hacker può addirittura arrivare a disabilitare il tuo programma antivirus. Così facendo, per un criminale informatico è, chiaramente, molto più facile entrare in possesso di informazioni di carattere personale.

Per tutte queste ragioni, i rootkit sono particolarmente difficili da rilevare, il che rende probabile che questo tipo di malware possa rimanere a lungo sul tuo computer causando danni significativi. In alcuni casi, l’unico modo per eliminare completamente un rootkit ben nascosto è cancellare il sistema operativo del computer e ripristinarlo allo stato di fabbrica.

Ma come arrivano i rootkit sul tuo computer? Potresti aprire un’e-mail e scaricare un file apparentemente sicuro ma che, in realtà, nasconde un virus. Potresti scaricare accidentalmente un rootkit anche tramite un’app mobile infetta.

Quali tipologie di rootkit esistono

I rootkit possono essere installati in vari modi, ma in genere prendono di mira una vulnerabilità presente nel sistema operativo di un computer.

Un altro metodo comune di installazione dei rootkit è attraverso unità USB infette che gli hacker lasciano in luoghi pubblici nella speranza che qualcuno li raccolga e li colleghi ad un Pc. Il malware nascosto su un’unità USB verrà quindi installato come parte di un’applicazione o di un file che sembra pulito.

Esistono diverse tipologie di rootkit. Uno dei più noti è il rootkit firmware. Esso ha lo scopo di infettare il disco rigido di un computer e il BIOS, il software installato su un piccolo chip di memoria nella scheda madre. Alcuni rootkit del firmware possono essere utilizzati per infettare il router di un utente, nonché per intercettare i dati presenti sui dischi rigidi.

I memory rootkit si caratterizzano per il fatto di nascondersi nella RAM di un computer. Questi rootkit, in genere, scompaiono al riavvio del sistema, ma possono ridurre le prestazioni della RAM di una macchina consumando risorse attraverso processi dannosi.

Altrettanto pericoloso è il cosiddetto bootloader rootkit. Il bootloader è un elemento fondamentale per l’avvio del computer. Si tratta di un software del sistema operativo che viene caricato nella memoria di un computer dopo l’avvio e viene in genere avviato tramite un CD, DVD, un disco rigido o una chiavetta USB. Scopo di questo software è indicare al BIOS dove si trova il bootloader. Un toolkit di tal genere attacca questo sistema sostituendo il bootloader del Pc con una versione compromessa e infetta.

Gli application rootkit sostituiscono i file su un computer con file rootkit dannosi, modificando le prestazioni di applicazioni standard come Excel, Paint o Word. Ogni volta che un utente esegue questi programmi, consente involontariamente all’hacker di accedere al proprio computer.

I programmi infetti vengono eseguiti come di consueto, il che può rendere difficile rilevare la presenza di un rootkit, ma un buon software antivirus potrebbe aiutare a risolvere il problema.

Infine, ci sono i kernel rootkit, utilizzati dagli hacker per modificare la funzionalità di un sistema operativo inserendovi codice dannoso. Ciò offre loro l’opportunità di rubare facilmente informazioni personali.

Come prevenire i rootkit

Abbiamo visto quanto pericolosi possano essere i rootkit. Esistono, però, delle best practices che puoi far tue per prevenire possibili attacchi.

In primo luogo, potresti fare ricorso ai cosiddetti rootkit scanners, programmi che analizzano un sistema allo scopo di eliminare i rootkit attivi. Il problema è che tali software possono essere inefficaci contro gli attacchi kernel, bootloader o del firmware. Per proteggerti da questi attacchi, appare più saggio eseguire un backup dei dati e reinstallare il sistema operativo.

Occhio anche ai tentativi di phishing. In questo caso, gli hacker utilizzano la posta elettronica per indurti a fare clic su un collegamento dannoso o a scaricare un allegato infetto. Gli allegati infetti possono essere documenti Excel o Word, ma anche un’immagine o qualunque altro programma eseguibile sul Pc.

È importante aggiornare con regolarità il software. Questo vale sia per i programmi installati sul computer che per il sistema operativo. Eseguire con costanza gli aggiornamenti aiuta a prevenire attacchi rootkit.

Gli autori di malware cercano sempre di stare un passo avanti rispetto al settore della sicurezza informatica. Dovresti fare lo stesso anche tu, ricorrendo a programmi antivirus che sfruttano le moderne tecniche di sicurezza, come il rilevamento delle anomalie basato sull’apprendimento automatico e l’euristica comportamentale. Tali programmi antivirus possono determinare l’origine del rootkit in base al suo comportamento, rilevare il malware e impedirgli di infettare il sistema.