Los rootkits pueden denominarse la forma más sofisticada técnicamente de código malicioso (malware) y una de las más difíciles de descubrir y eliminar. De todos los tipos de malware, probablemente los virus y gusanos reciben la mayor publicidad porque generalmente están muy extendidos. Se sabe que muchas personas se han visto afectadas por un virus o un gusano, pero esto definitivamente no significa que los virus y gusanos sean la variedad de malware más destructiva. Existen tipos de malware más peligrosos, ya que, por regla general, funcionan en modo sigiloso, son difíciles de detectar y eliminar y pueden pasar desapercibidos durante largos períodos de tiempo, obteniendo acceso en silencio, robando datos y modificando los archivos en la máquina de la víctima. .
Un ejemplo de un enemigo tan sigiloso son los rootkits, una colección de herramientas que pueden reemplazar o cambiar programas ejecutables, o incluso el núcleo del sistema operativo en sí, para obtener acceso de nivel de administrador al sistema, que se puede usar para instalar spyware, keyloggers y otras herramientas maliciosas. Esencialmente, un rootkit permite a un atacante obtener acceso completo sobre la máquina de la víctima (y posiblemente a toda la red a la que pertenece la máquina). Uno de los usos conocidos de un rootkit que causó pérdidas / daños significativos fue el robo del código fuente del motor de juego Valve's Half-Life 2: Source.
Los rootkits no son algo nuevo: han existido durante años y se sabe que han afectado a varios sistemas operativos (Windows, UNIX, Linux, Solaris, etc.). Si no fuera por uno o dos incidentes masivos de incidentes de rootkit (consulte la sección de Ejemplos famosos), que atrajeron la atención pública hacia ellos, podrían haber escapado nuevamente de la conciencia, excepto por un pequeño círculo de profesionales de la seguridad. A partir de hoy, los rootkits no han desatado todo su potencial destructivo ya que no están tan extendidos como otras formas de malware. Sin embargo, esto puede ser de poca comodidad.
Mecanismos de rootkit expuestos
Al igual que los troyanos, virus y gusanos, los rootkits se instalan explotando fallas en la seguridad de la red y el sistema operativo, a menudo sin interacción del usuario. Aunque hay rootkits que pueden venir como un archivo adjunto de correo electrónico o en un paquete con programas de software legítimos, son inofensivos hasta que el usuario abra el archivo adjunto o instale el programa. Pero a diferencia de las formas menos sofisticadas de malware, los rootkits se infiltran muy profundamente en el sistema operativo y hacen esfuerzos especiales para disfrazar su presencia, por ejemplo, modificando los archivos del sistema.
Básicamente, hay dos tipos de rootkits: rootkits a nivel de kernel y rootkits a nivel de aplicación. Los rootkits a nivel de kernel agregan código o modifican el kernel del sistema operativo. Esto se logra mediante la instalación de un controlador de dispositivo o un módulo cargable, que altera las llamadas del sistema para ocultar la presencia de un atacante. Por lo tanto, si busca en sus archivos de registro, no verá actividad sospechosa en el sistema. Los rootkits de nivel de aplicación son menos sofisticados y, en general, son más fáciles de detectar porque modifican los ejecutables de las aplicaciones, en lugar del sistema operativo en sí. Dado que Windows 2000 informa cada cambio de un archivo ejecutable al usuario, hace que sea más difícil para el atacante pasar desapercibido.
Por qué los rootkits representan un riesgo
Los rootkits pueden actuar como una puerta trasera y generalmente no están solos en su misión: a menudo van acompañados de spyware, troyanos o virus. Los objetivos de un rootkit pueden variar desde la simple alegría maliciosa de penetrar en la computadora de otra persona (y ocultar los rastros de presencia extranjera), hasta construir un sistema completo para obtener ilegalmente datos confidenciales (números de tarjetas de crédito o código fuente como en el caso de Half -Vida 2).
En general, los rootkits de nivel de aplicación son menos peligrosos y más fáciles de detectar. Pero si el programa que está utilizando para realizar un seguimiento de sus finanzas se "repara" por un rootkit, entonces la pérdida monetaria podría ser significativa, es decir, un atacante puede usar los datos de su tarjeta de crédito para comprar un par de artículos y si no lo hace ' Si observa una actividad sospechosa en el saldo de su tarjeta de crédito a su debido tiempo, es muy probable que nunca vuelva a ver el dinero.
En comparación con los rootkits de nivel de kernel, los rootkits de nivel de aplicación se ven dulces e inofensivos. ¿Por qué? Porque en teoría, un rootkit a nivel de kernel abre todas las puertas a un sistema. Una vez que se abren las puertas, otras formas de malware pueden entrar en el sistema. Tener una infección de rootkit a nivel de kernel y no poder detectarla y eliminarla fácilmente (o en absoluto, como veremos a continuación) significa que otra persona puede tener el control total sobre su computadora y puede usarla de la forma que desee. por ejemplo, para iniciar un ataque en otras máquinas, dando la impresión de que el ataque se origina en su computadora y no en otro lugar.
Detección y eliminación de rootkits
No es que otros tipos de malware sean fáciles de detectar y eliminar, pero los rootkits a nivel de kernel son un desastre particular. En cierto sentido, es un Catch 22: si tiene un rootkit, es probable que los archivos del sistema que necesita el software anti-rootkit se modifiquen y, por lo tanto, no se puede confiar en los resultados de la comprobación. Además, si se está ejecutando un rootkit, puede modificar con éxito la lista de archivos o la lista de procesos en ejecución en los que se basan los programas antivirus, proporcionando así datos falsos. Además, un rootkit en ejecución puede simplemente descargar procesos de programas antivirus de la memoria, haciendo que la aplicación se cierre o finalice inesperadamente. Sin embargo, al hacerlo, muestra indirectamente su presencia, por lo que uno puede sospechar cuando algo sale mal, especialmente con el software que mantiene la seguridad del sistema.
Una forma recomendada para detectar la presencia de un rootkit es arrancar desde un medio alternativo, que se sabe que está limpio (es decir, un CD-ROM de respaldo o de rescate) y verificar el sistema sospechoso. La ventaja de este método es que el rootkit no se ejecutará (por lo tanto, no podrá ocultarse) y los archivos del sistema no se manipularán activamente.
Hay formas de detectar y (intentar) eliminar rootkits. Una forma es tener huellas digitales MD5 limpias de los archivos originales del sistema para comparar las huellas digitales actuales de los archivos del sistema. Este método no es muy confiable, pero es mejor que nada. El uso de un depurador de kernel es más confiable, pero requiere un conocimiento profundo del sistema operativo. Incluso la mayoría de los administradores de sistemas rara vez recurren a él, especialmente cuando hay buenos programas gratuitos para la detección de rootkits, como RootkitRevealer de Marc Russinovich. Si va a su sitio, encontrará instrucciones detalladas sobre cómo usar el programa.
Si detecta un rootkit en su computadora, el siguiente paso es deshacerse de él (es más fácil decirlo que hacerlo). Con algunos rootkits, la eliminación no es una opción, ¡a menos que también desee eliminar todo el sistema operativo! La solución más obvia: eliminar archivos infectados (siempre que sepa cuáles están exactamente ocultos) es absolutamente inaplicable cuando se trata de archivos vitales del sistema. Si elimina estos archivos, es probable que nunca más pueda iniciar Windows nuevamente. Puede probar un par de aplicaciones de eliminación de rootkits, como UnHackMe o F-Secure BlackLight Beta, pero no cuente con ellas demasiado para poder eliminar la plaga de manera segura.
Puede parecer una terapia de choque, pero la única forma comprobada de eliminar un rootkit es formateando el disco duro y reinstalando el sistema operativo nuevamente (¡desde un medio de instalación limpio, por supuesto!). Si tienes una pista de dónde obtuviste el rootkit (¿estaba incluido en otro programa o alguien te lo envió por correo electrónico?), ¡Ni siquiera pienses en ejecutar o instalar la fuente de infección nuevamente!
Ejemplos famosos de rootkits
Los rootkits han estado en uso sigiloso durante años, pero solo hasta el año pasado cuando aparecieron en los titulares de las noticias. El caso de Sony-BMG con su tecnología Digital Right Management (DRM) que protegió la copia no autorizada de CD mediante la instalación de un rootkit en la máquina del usuario provocó fuertes críticas. Hubo demandas y una investigación criminal. Sony-BMG tuvo que retirar sus CD de las tiendas y reemplazar las copias compradas por otras limpias, según el acuerdo del caso. Sony-BMG fue acusado de ocultar en secreto los archivos del sistema en un intento de ocultar la presencia del programa de protección de copia que también solía enviar datos privados al sitio de Sony. Si el usuario desinstaló el programa, la unidad de CD dejó de funcionar. De hecho, este programa de protección de derechos de autor violó todos los derechos de privacidad, empleó técnicas ilegales que son típicas para este tipo de malware y, sobre todo, dejó la computadora de la víctima vulnerable a varias cepas de ataque. Era típico de una gran corporación, como Sony-BMG, ir por el camino arrogante primero al afirmar que si la mayoría de la gente no sabía qué era un rootkit y por qué les importaría tener uno. Bueno, si no hubiera habido tipos como Mark Roussinovich, quien fue el primero en tocar el timbre sobre el rootkit de Sony, el truco podría haber funcionado y millones de computadoras se habrían infectado, una ofensa bastante global en la supuesta defensa del intelectual de una empresa. ¡propiedad!
Similar al caso de Sony, pero cuando no era necesario estar conectado a Internet, es el caso de Norton SystemWorks. Es cierto que ambos casos no se pueden comparar desde un punto de vista ético o técnico porque, si bien el rootkit de Norton (o la tecnología similar al rootkit) modifica los archivos del sistema de Windows para acomodar la Papelera de reciclaje protegida de Norton, Norton difícilmente puede ser acusado de intenciones maliciosas para restringir derechos del usuario o para beneficiarse del rootkit, como es el caso de Sony. El propósito del encubrimiento era esconder de todos (usuarios, administradores, etc.) y de todo (otros programas, el propio Windows) un directorio de respaldo de archivos que los usuarios han eliminado, y que luego se puede restaurar desde este directorio de respaldo. La función de la Papelera de reciclaje protegida era agregar una red de seguridad más contra los dedos rápidos que primero eliminan y luego piensan si han eliminado los archivos correctos, proporcionando una forma adicional de restaurar los archivos que se han eliminado de la Papelera de reciclaje ( o que han pasado por alto la Papelera de reciclaje).
Estos dos ejemplos no son los casos más severos de actividad de rootkits, pero vale la pena mencionarlos porque al llamar la atención sobre estos casos particulares, el interés público se sintió atraído por los rootkits en su conjunto. Con suerte, ahora más personas no solo saben qué es un rootkit, sino que se preocupan si tienen uno, ¡y pueden detectarlo y eliminarlo!
