Cos'è rootkit?

Un rootkit è un tipo di software malevolo progettato per ottenere l'accesso di root o privilegi amministrativi a un computer o a una rete, rimanendo al contempo nascosto all'utente e ad altri software di sistema. In altre parole, un rootkit permette a un aggressore di controllare completamente il sistema compromesso, senza che l'utente se ne accorga.

I rootkit sono difficili da rilevare e rimuovere, in quanto operano a un livello basso nel sistema, spesso alterando il sistema operativo stesso. Questo rende le tecniche di scansione tradizionali meno efficaci.

Esistono diversi tipi di rootkit, classificati in base al livello del sistema che infettano:

  • Rootkit a livello utente (User-mode rootkits): Si installano nella cartella di avvio o sostituiscono i file di sistema eseguibili, per cui vengono eseguiti dopo ogni avvio del sistema. Sono i più facili da rilevare e rimuovere rispetto agli altri tipi. Maggiori dettagli su <a href="https://it.wikiwhat.page/kavramlar/Rootkit%20a%20livello%20utente">Rootkit a livello utente</a>.
  • Rootkit a livello kernel (Kernel-mode rootkits): Sono i più pericolosi perché operano direttamente nel kernel del sistema operativo. Possono intercettare chiamate di sistema, modificare i dati del kernel e nascondere processi, file e registry keys. Questo li rende estremamente difficili da rilevare. Maggiori dettagli su <a href="https://it.wikiwhat.page/kavramlar/Rootkit%20a%20livello%20kernel">Rootkit a livello kernel</a>.
  • Rootkit a livello di boot (Bootkits): Infettano il Master Boot Record (MBR) o il Volume Boot Record (VBR), prendendo il controllo del processo di avvio del sistema operativo. Questo consente al rootkit di essere attivo prima ancora che il sistema operativo sia completamente caricato. Maggiori dettagli su <a href="https://it.wikiwhat.page/kavramlar/Rootkit%20a%20livello%20di%20boot">Rootkit a livello di boot</a>.
  • Rootkit hardware o firmware: Si installano nel firmware di dispositivi hardware, come schede di rete, BIOS o hard disk. Sono estremamente difficili da rilevare e rimuovere perché operano al di fuori del sistema operativo. Maggiori dettagli su <a href="https://it.wikiwhat.page/kavramlar/Rootkit%20hardware%20o%20firmware">Rootkit hardware o firmware</a>.
  • Rootkit virtualizzati: Sfruttano le tecnologie di virtualizzazione per nascondersi e manipolare il sistema operativo ospite. Maggiori dettagli su <a href="https://it.wikiwhat.page/kavramlar/Rootkit%20virtualizzati">Rootkit virtualizzati</a>.

Come vengono installati i rootkit?

  • Sfruttamento di vulnerabilità: I rootkit possono essere installati sfruttando vulnerabilità nel sistema operativo o in applicazioni software.
  • Ingegneria sociale: Gli utenti possono essere indotti ad installare involontariamente un rootkit, ad esempio cliccando su link malevoli o aprendo allegati infetti.
  • Infezione tramite altro malware: Un rootkit può essere installato come parte di un attacco malware più ampio.

Come proteggersi dai rootkit?

  • Mantenere il software aggiornato: Installare regolarmente gli aggiornamenti di sicurezza per il sistema operativo e le applicazioni.
  • Utilizzare un software antivirus e anti-malware affidabile: Un buon software di sicurezza può rilevare e rimuovere alcuni rootkit.
  • Essere cauti con i link e gli allegati: Evitare di cliccare su link sospetti o aprire allegati provenienti da fonti sconosciute.
  • Utilizzare un firewall: Un firewall può bloccare l'accesso non autorizzato al sistema.
  • Utilizzare strumenti di rilevamento rootkit: Esistono strumenti specifici progettati per rilevare la presenza di rootkit.

Importante: La rimozione di un rootkit è un processo complesso e potenzialmente pericoloso. In molti casi, la formattazione e la reinstallazione del sistema operativo sono la soluzione più sicura.