I rootkit permettono generalmente l’accesso al proprio sistema ad intrusi. Inizialmente questi si guadagnano l’accesso al sistema sfruttando un qualche tipo di attacco, ed una volta installato il rootkit non avranno più la necessità di attaccare nuovamente per entrare nel sistema.
Celebre è stato il caso di Sony BMG sui pc con Microsoft Windows nel 2005.
In ambiente Gnu/Linux sono disponibili software anti-rootkit come chkrootkit e come il performante zeppoo.
Zeppoo è un ottimo progetto scritto in C per architetture x86 e kernel Linux 2.6. E’ giunto (al momento in cui scrivo) alla versione 0.3 stabile e 0.4 development.
Con Zeppoo è possibile rilevare se un rootkit è installato sul tuo sistema, di rilevare processi nascosti, moduli, syscalls, simboli corrotti ed anche connessioni nascoste.
L’ideale è installare Zeppoo subito dopo aver installato la propria distro Gnu/Linux. Va generato un cosiddetto file di fingerprint, una sorta di firma dei processi attivi, e va messo in un posto sicuro, meglio se criptato, e comunque al di fuori del proprio hd (tipicamente su un pen-drive).
In un secondo momento si potranno verificare i fingerprint dei processi attivi con quelli precedentemente rilevati e se qualcosa differisce.. è un indizio per avere dubbi sulla salute del sistema operativo!
Sul sito sono disponibili tutte le informazioni necessarie per scaricare, utilizzare ed anche contattare gli autori.
Riferimenti:
