O Tempo Agora

Arquivo do blog

Pesquisador:

Google+ Badge

quarta-feira, 10 de dezembro de 2008

TÉCNICAS DE ROOTKIT



TÉCNICAS DE ROOTKIT
O que são e como funcionam
Por Luís Fernando da Silva Bittencourt


Muitas pessoas conhecem os riscos da navegação pela internet, ou de simplesmente deixar um computador conectado várias horas por dia. Vírus, trojan, cavalos-de-tróia, spyware, malware já foram incorporados ao nosso vocabulário e as nossas preocupações do dia a dia. Os rootkits são a evolução destas ameaças, pois uma pessoa desavisada pode ter um ou vários arquivos desta natureza em seus equipamentos e não saber.
Rootkits são um tipo de vírus surgido nos últimos anos. A principal intenção dele é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus. Isto é possível por que estas aplicações têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu resultado. Por exemplo, quando o Windows faz um pedido para a leitura ou abertura de um arquivo (seja a mando do antivírus ou pelo próprio usuário), o vírus intercepta os dados que são requisitados (intercepção via API, Application Programming Interface) e faz uma filtragem dessa informação, deixando passar apenas o código não infectado. Desta forma, o antivírus ou qualquer outra ferramenta fica impossibilitado de encontrar o arquivo malicioso.
API é um conjunto de rotinas e padrões estabelecidos por um software para a utilização das suas funcionalidades por programas aplicativos -- isto é: programas que não querem envolver-se em detalhes da implementação do software, mas apenas usar seus serviços.
Normalmente são instalados na máquina hospedeira juntamente com pacotes de softwares baixados da internet, incluídos no código fonte de programas aparentemente inofensivos como jogos, editores de imagens e texto; ou pelas vulnerabilidades existentes nos sistemas operacionais desatualizados.
O rootkit não ataca necessariamente o computador, mas pode monitorar suas atividades. Com ele, o hacker pode acessar informações pessoais, monitorar ações do usuário da máquina, modificar programas ou realizar outras funções sem ser detectado.
Possuem esse nome por serem, inicialmente, “kits” de programas para a plataforma Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como “root” é o usuário com o controle total do computador nas plataformas, inicialmente só Unix, hoje proliferado em várias plataformas, originou-se o nome “rootkit” para denominar estes conjuntos de aplicativos.
Conforme definição achada na Wikipédia: "Definição: Código ou conjunto de códigos usados após ou durante uma invasão a fim de ocultar as ações do invasor no computador da vítima ou rede atacada. Os novos Rootkits envolvem a miscelânea do executável 'Rootkit + Exploits...' Os rootkits mais básicos fazem o seu serviço de um modo "curto e grosso", ou seja a ferramenta é utilizada por crackers para manter códigos maliciosos ocultos no sistema operacional e se proteger no anonimato, já que as possibilidades de um net-usuário experiente + sitema seguro, são quase nulas... Já os ROOTKITS mais elaborados alteram arquivos, têm opções iguais ao comando normal, e até enganam verificadores de arquivos para que eles não possam ser detectados pelo seu código CRC (código que verifica a validade de um arquivo). Mesmo sabendo que o conhecimento está se expandindo por todos os lados na internet, ainda há quem não se preocupe com a segurança digital."
Vale lembrar que enquanto um rootkit pode ser instalado em um computador por meio de um vírus ou trojan, o programa em si não é considerado um malware. Como eliminar um rootkit? Mesmo que o usuário descubra que algum programa deste tipo está instalado no seu computador, é aconselhável contatar um técnico especializado tendo em vista as características de se ocultar em arquivos de uso do sistema operacional, se camuflando ou até mesmo substituindo o que desaconselharia qualquer tentativa de remoção manual do sistema, sob pena de inutilização do próprio sistema operacional. Como alternativa, já é possível encontrar produtos e ferramentas que removem rootkits dos computadores. Atualmente é possível localizar ferramentas na própria internet para a remoção de rootkits, como por exemplo neste link, entretanto vale lembrar que o melhor mesmo é a reinstalação do sistema.

Nenhum comentário: