In un precedente articolo abbiamo affrontato il problema 'Rootkit', ho cercato di farvi conoscere cosa sono e come agiscono, il tutto con estrema semplicità, evitando terminologie tecniche raffinate e puntando esclusivamente a dialogare con gli utenti meno esperti, informazioni chiare e dirette alla più grande fascia di utenti che popola il mondo internet.

Dobbiamo tener presente una cosa molto significativa, i rootkit pur essendo una minaccia grave per i sistemi informatici non devono assolutamente essere vissuti come una piaga incurabile, dobbiamo solo alzare il livello di guardia, dotare il nostro sistema delle opportune difese e navigare in tranquillità, è impensabile fare diversamente, cioè una saturazione del sistema di software ed applicazioni di difesa, e continuare a vivere la nostra navigazione come un pericolo costante.

Ora vediamo come è possibile proteggersi da questa nuova insidia, in maniera semplice ma secondo me molto efficace. E' indubbio che la sicurezza del sistema và costruita, nessuno vi darà mai il software 'magico' che vi renderà immuni, pertanto il primo passo è quello di tenere il nostro sistema operativo aggiornato e patchtato, cioè facciamo gli aggiornamenti che il produttore del sistema operativo mette a disposizione, ed installiamo le varie patch che vengono emesse, stessa procedura per quanto riguarda il browers di navigazione che usiamo.

Inoltre è indispensabile la presenza di un antivirus in real time (è una particolare procedura che ci avvisa prima di aprire un file se è infetto), di un firewall e di un antispyware.La scelta di questi applicativi è molto soggettiva consigliare o affermare che uno sia meglio di un altro è estremamente difficile, scegliete quello che vi trovate meglio, quello che vi sembra più intuitivo perché questo vi permetterà di effettuarne una configurazione ottimale, l'importante è che li teniate aggiornati ed effettuiate scansioni regolari.

Finora non abbiamo detto niente di nuovo, la rete è piena di questi consigli, ma mi sembrava necessario ricordarlo prima di proseguire, ora facciamo una premessa sui rootkit.Questa minaccia non può essere eseguita semplicemente visitando un sito web, ma deve essere veicolata, cioè deve avere un mezzo che gli permetta di insediarsi nel sistema, abbiamo visto che un rootkit si nasconde, diventa invisibile ma però deve essere lanciato, vediamo insieme cos'è un file invisibile e come agisce, poi sarà più facile trarre delle conclusioni.

Apriamo esplora risorse, selezioniamo il disco di sistema e creiamo una nuova cartella File > Nuovo > Cartella



e diamogli il nome di 'Prova'ora apriamo il Notepad di Windows e creiamo un nuovo file, scriviamo una frase qualsiasi tipo 'Oggi mi sono iscritto al forum di Swzone', salviamo il file con un nome a piacimento [pippo.txt] e chiudiamo il file, sempre da esplora risorse portiamoci nella cartella Prova e clicchiamo col destro del mouse sul file pippo.txt, scegliamo 'Proprietà' e noteremo che l'estensione è .txt con una dimensione di 40 Kb.



Ora andiamo al Prompt del dos Start > Programmi > Accessori > Prompt comandi. Ci troveremo nella schermata nera del dos, a questo punto portiamoci nella cartella che abbiamo creato digitando questi comandi cd\ Prova e premiamo Invio



poi digitiamo quanto segue type c:\windows\system32\calc.exe > pippo.txt:rootkit.exe



con questo comando abbiamo 'appeso' uno streams di nome rootkit.exe nel file pippo.txt, in sostanza abbiamo nascosto un file .exe nel file pippo txt, andiamo ora a controllare il nostro file pippo.txt, sempre con esplora risorse clik col destro del mouse sul file > Proprietà e noteremo che il file è sempre di 40 Kb. per cui nulla è cambiato ma ritorniamo ora al dos, e portiamoci nella cartella Prova Start > Programmi > Accessori > Prompt comandi e digitiamo cd\Prova e premiamo invio di seguito digitiamo questo comando Start c:\Prova\pippo.txt:rootkit.exe premiamo invio e ..



è comparsa la calcolatrice di windows.

In sostanza il file rootkit.exe lancia il file calc.exe, con semplici comandi dos abbiamo costruito un piccolo rootkit, se al posto di calc.exe avessimo messo un trojan o un altro malware ci saremmo infettati. Qual è il senso di tutto questo?Che si possono usare semplici file txt per mascherare veri e propri eseguibili? No, il senso è che abbiamo dovuto lanciarlo noi.

Inoltre abbiamo visto che si possono nascondere file eseguibili all'interno di altri ma hanno bisogno di un consenso, di un comando da parte dell'utente, quello che abbiamo fatto è un ADS (Alternate Data Streams), cosa facciamo allora di fronte a cose del genere?.Non possiamo sempre vivere con l'assillo che in ogni file che scarichiamo ci sia annidato un malware o un rootkit, ma possiamo arginare il problema in questo modo.Creiamo una partizione in FAT 32 e portiamo il nostro file [pippo.txt] e il file nascosto [rootkit.exe] verrà cancellato.Allora possiamo dedurre che se configuriamo il nostro browers che i file che scarichiamo vengano depositati in una partizione in FAT 32 eventuali insidie nascoste vengono eliminate, il tutto senza installare software aggiuntivi e senza tanti affanni

E' bastato un piccolo espediente per risolvere il problema dei file nascosti, esistono anche altre tecniche di mascheramento dei file, usando software appropriati, ma questo esula dal campo rootkit e rientra nel settore dell'Hacking, che noi non tratteremo, per adesso abbiamo chiarito un punto che è estremamente importante 'queste insidie per annidarsi nel nostro sistema le dobbiamo eseguire', questo è il concetto fondamentale e su questo mi sento di affermare che la prima e vera linea di difesa siamo noi stessi, se evitiamo di usare il pc in maniera superficiale, dotiamo il sistema di poche ma ben fatte protezioni, aggiorniamo il sistema operativo, il browers e i software di difesa, già con queste precauzioni abbiamo raggiunto un discreto livello di sicurezza e protezione.

Passiamo ora al nostro browers, la configurazione è fondamentale, è da tanto tempo che vedo log di Hijackthis con una marea di servizi ed applicazioni avviate al boot del sistema, moltissime toolbar e tanti altri accorgimenti che sicuramente abbelliscono il nostro browers, ma contestualmente creano molti problemi a livello sicurezza.Disabilitare certe funzioni è indispensabile per la sicurezza, anche se questo và a scapito dell'aspetto grafico, ma ActiveX, applet java, e java script vanno disabilitati, possiamo eseguire questa operazione direttamente nel browers, ma limiteremmo la visione a tutti i siti che visitiamo, mentre possiamo invece eseguire delle restrizioni concedendo l'esecuzione degli oggetti appena citati ai soli siti sicuri.Per questa operazione possiamo operare in 2 modi, tramite il firewall, e modificando il file Hosts.

Nel firewall possiamo concedere l'esecuzione di oggetti pericolosi ai siti ritenuti sicuri, per fare questo è necessario conoscere bene il firewall che abbiamo installato, proprio per questo ho consigliato di scegliere quello che ritenete più intuitivo e magari reperite una guida in rete. Questa è una operazione da eseguire con cura, controllate e leggete attentamente gli avvisi che vi rimanda il vostro firewall, e una volta raggiunta la configurazione ottimale, avremmo aggiunto un altro mattone nel muro di sicurezza che ci stiamo apprestando a costruire.

Vediamo ora il file hosts, in Windows XP lo troviamo seguendo questo percorso c:\windows\system32\drivers\etc

all'interno troveremo il file hosts e noteremo che non ha nessuna estensione, se lo apriamo con notepad vedremmo una cosa del genere



Tutto quello preceduto dal simbolo # sono commenti, in fondo vediamo una dicitura senza il simbolo # di questo tipo 127.0.0.1 quello è il nostro Pc.

Possiamo paragonare il file hosts ad una rubrica di indirizzi, quando ci connettiamo in internet il nostro computer consente l'accesso ad un determinato sito tramite un indirizzo numerico chiamato IP, molto semplicemente ogni volta che vogliamo connetterci ad un sito il nostro Pc cercherà il relativo indirizzo IP nel file hosts e se non lo trova allora lo ricerca nella rete internet. Possiamo modificare il file hosts per impedire che certi siti 'pericolosi' siano raggiunti semplicemente aggiungendone il relativo indirizzo IP, in questo caso il nostro browers trovando l'indirizzo IP nel nostro file hosts non raggiungerà il vero sito ma crederà di averlo raggiunto indirizzandoci al nostro computer.

Così abbiamo 'ingannato' il nostro browers che crederà di aver raggiunto il sito ricercato ma ci ha indirizzati al nostro Pc, possiamo trovare un file hosts contenente un elenco di siti da evitare a questo indirizzo, ma ne possiamo trovare altri facendo una ricerca su Google, è inoltre possibile ricevere file con doppia estensione, cioè ci può apparire un file innocuo come può essere un file con estensione .doc mentre in realtà cela un altro file, anche in questo caso siamo sempre noi a dare il consenso.Possiamo accertarci della vera estensione del file da esplora risorse

Strumenti > Opzioni cartella > Visualizzazione e togliere il segno di spunta alla voce 'Nascondi le estensioni per i tipi di file conosciuti', in questo modo siamo in grado di riconoscere eventuali file che hanno una doppia estensione e inoltre una buona regola da seguire è quella di eseguire una scansione sul file prima di aprirlo col nostro antivirusPossiamo affermare che per avere un discreto grado di sicurezza la prima e più efficace difesa contro ogni tipo di insidia è senza dubbio la prevenzione, pertanto la protezione di un sistema si basa su pochi e ben definiti concetti:

Aggiornamento del sistema operativo, del browers e installazione delle relative patch che vengono emesse ad arginare le falle scoperte, tenere un antivirus, un firewall e un antispyware aggiornati e seguire i consigli sopraccitati, inoltre essere prudenti, non dare mai niente per sicuro e controllare ogni cosa che eseguiamo

Siamo arrivati alla fine dell'articolo, spero di aver illustrato il problema in maniera chiara ma soprattutto semplice e comprensibile e l'intento era quello di sdrammatizzare questa nuova minaccia senza creare allarmismi, il messaggio che voglio trasmettere è quello di ... fare molta attenzione!