Pular para o conteúdo principal

TÉCNICAS DE ROOTKIT



TÉCNICAS DE ROOTKIT
O que são e como funcionam
Por Luís Fernando da Silva Bittencourt


Muitas pessoas conhecem os riscos da navegação pela internet, ou de simplesmente deixar um computador conectado várias horas por dia. Vírus, trojan, cavalos-de-tróia, spyware, malware já foram incorporados ao nosso vocabulário e as nossas preocupações do dia a dia. Os rootkits são a evolução destas ameaças, pois uma pessoa desavisada pode ter um ou vários arquivos desta natureza em seus equipamentos e não saber.
Rootkits são um tipo de vírus surgido nos últimos anos. A principal intenção dele é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus. Isto é possível por que estas aplicações têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu resultado. Por exemplo, quando o Windows faz um pedido para a leitura ou abertura de um arquivo (seja a mando do antivírus ou pelo próprio usuário), o vírus intercepta os dados que são requisitados (intercepção via API, Application Programming Interface) e faz uma filtragem dessa informação, deixando passar apenas o código não infectado. Desta forma, o antivírus ou qualquer outra ferramenta fica impossibilitado de encontrar o arquivo malicioso.
API é um conjunto de rotinas e padrões estabelecidos por um software para a utilização das suas funcionalidades por programas aplicativos -- isto é: programas que não querem envolver-se em detalhes da implementação do software, mas apenas usar seus serviços.
Normalmente são instalados na máquina hospedeira juntamente com pacotes de softwares baixados da internet, incluídos no código fonte de programas aparentemente inofensivos como jogos, editores de imagens e texto; ou pelas vulnerabilidades existentes nos sistemas operacionais desatualizados.
O rootkit não ataca necessariamente o computador, mas pode monitorar suas atividades. Com ele, o hacker pode acessar informações pessoais, monitorar ações do usuário da máquina, modificar programas ou realizar outras funções sem ser detectado.
Possuem esse nome por serem, inicialmente, “kits” de programas para a plataforma Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor. Como “root” é o usuário com o controle total do computador nas plataformas, inicialmente só Unix, hoje proliferado em várias plataformas, originou-se o nome “rootkit” para denominar estes conjuntos de aplicativos.
Conforme definição achada na Wikipédia: "Definição: Código ou conjunto de códigos usados após ou durante uma invasão a fim de ocultar as ações do invasor no computador da vítima ou rede atacada. Os novos Rootkits envolvem a miscelânea do executável 'Rootkit + Exploits...' Os rootkits mais básicos fazem o seu serviço de um modo "curto e grosso", ou seja a ferramenta é utilizada por crackers para manter códigos maliciosos ocultos no sistema operacional e se proteger no anonimato, já que as possibilidades de um net-usuário experiente + sitema seguro, são quase nulas... Já os ROOTKITS mais elaborados alteram arquivos, têm opções iguais ao comando normal, e até enganam verificadores de arquivos para que eles não possam ser detectados pelo seu código CRC (código que verifica a validade de um arquivo). Mesmo sabendo que o conhecimento está se expandindo por todos os lados na internet, ainda há quem não se preocupe com a segurança digital."
Vale lembrar que enquanto um rootkit pode ser instalado em um computador por meio de um vírus ou trojan, o programa em si não é considerado um malware. Como eliminar um rootkit? Mesmo que o usuário descubra que algum programa deste tipo está instalado no seu computador, é aconselhável contatar um técnico especializado tendo em vista as características de se ocultar em arquivos de uso do sistema operacional, se camuflando ou até mesmo substituindo o que desaconselharia qualquer tentativa de remoção manual do sistema, sob pena de inutilização do próprio sistema operacional. Como alternativa, já é possível encontrar produtos e ferramentas que removem rootkits dos computadores. Atualmente é possível localizar ferramentas na própria internet para a remoção de rootkits, como por exemplo neste link, entretanto vale lembrar que o melhor mesmo é a reinstalação do sistema.

Comentários

Postagens mais visitadas deste blog

ARTIGO: VINCULAR FOTOS NO MS ACCESS

por Luís Fernando da Silva Bittencourt

Estes dias estava em um fórum na web e notei a grande dificuldade dos usuários mais inexperientes quanto à vinculação de imagens no MS ACCESS. O recurso de vinculação de imagens serve para não sobrecarregar a base de dados com objetos OLE, pois neste aplicativo as imagens podem ser inseridas diretamente na base de dados, aceitando imagens no formato bmp. Entretanto, “o peso” gerado, dependendo da função da base de dados criada com o Access, logo esgotará a possibilidade de novos cadastros, haja vista existir uma limitação de 4Gb de registros.

Então, ao invés de se inserir uma foto no formato bmp diretamente na base de dados, fica muito mais lógico guardar apenas o caminho desta imagem, fazendo com que o nosso sistema busque a imagem respectiva e a apresente em um formulário de consulta ou relatório.

Para tanto, devemos inicialmente criar na respectiva tabela (objeto do MS Access responsável pela guarda das informações, sendo esta a base de dados pro…

Blogs sobre segurança em português

Hoje, visitando o blog do consultor de segurança da informação Sandro Süffert, achei de muito bom tom a relação que ele postou de blogs em lingua portuguesa que tratam sobre segurança da informação e resposta a incidentes/forense, ficando lisongeado pelo fato do Arquivos Máximus ter sido citado. Tendo em vista a facilidade que tal relação pode gerar à comunidade, concentrando num mesmo espaço ricas fontes de informação, abrangendo várias áreas do espectro criminalístico, vou reproduzir a referida relação, bem como deixar o link no menu lateral "Destaques do Blog", visando facilitar o acesso futuro. Segue a citada relação: Luis Bittencourt - http://arquivosmaximus.blogspot.com
Nelson Brito - http://fnstenv.blogspot.com CrkPortugal - http://www.crkportugal.net (Portugal) Marcelo Souza - http://marcelosouza.com PseudoRandom - http://blog.sapao.net Forense Coputacional - http://forcomp.blogspot.com Think Security First - http://wagnerelias.com Pedro Quintanilha - http://pedroquintanilha…

BUSCA ELETRÔNICA - 2

Durante minhas aulas de Busca Eletrônica para os alunos do Curso de Formação Profissional de Nível Superior de Inspetor / Escrivão de Polícia Civil do Estado do Rio Grande do Sul/RS, foi questionado em aula onde poderiam buscar mais informações sobre os OPERADORES DE BUSCA utilizados pelas ferramentas de pesquisa do GOOGLE, além dos passados em aula. Assim, visando aumentar os conhecimentos sobre o assunto, pode ser acessado aqui uma cartilha com maiores informações.