Ingenieros… ¿ lo lograremos ?

Leyéndome las revistas que están disponibles en la universidad para su consulta, me encontré con el número actual de la publicación It Architect. En él publicaban un artículo muy interesante llamado “The Truth About Rootkits” donde se analiza qué son los rootkits, qué tipos hay, qué hacen y cómo es posible defenderse de ellos.

El término rootkit tiene sus orígenes en los entornos de desarrollo Unix:

El término rootkit [...] se emplea para referirse a un conjunto de herramientas (kit) que tienen como objetivo que un atacante pueda conseguir y mantener acceso con máximos privilegios (root), intentando pasar desapercibido para los administradores del sistema.

Sin embargo, en la actualidad se ha extendido a otros sistemas operativos como puede ser Windows. El término salió a la palestra tras la inclusión por parte de Sony BMG de un rootkit en sus Cd’s para luchar contra la copia ilegal de música. Este sistema instalaba dicho programa sin el consentimiento del usuario haciéndolo imposible de quitar ya que podía inutilizar hasta la lectora de Cd’s; a su vez, limitaba el derecho de copia privada de los que lo hubieran comprado. Hace poco que ha salido la sentencia donde Sony se ve obligada a enviar a todos los clientes los mismos CD’s pero sin el polémico rootkit al mismo tiempo que una herramienta para desinstalarlo y descargas gratuitas de música a través de Internet.

El principal problema de este tipo de software es que al lograr tener los permisos de root, adquieren el control de todo el sistema pudiendo añadir o quitar programas, monitorear todo lo que sucede en el equipo, espiar las comunicaciones a través de la red o abrir puertas de acceso traseras para que un atacante se pueda infiltrar. Todo esto lo hacen escondiéndose de las herramientas de diagnóstico más comunes como el gestor de procesos de Windows o los programas de seguridad como los antivirus, antitroyanos, etc.

Es posible hace una clasificación de los rootkits según el lugar de actuación de estos:

• Rootkits user-mode : trabajan en el entorno del usuario como una aplicación más o modificando alguna aplicación ya existente
• Rootkits kernel-mode : trabajan en el entorno del núcleo del sistema operativo actuando como un driver de un dispositivo.

Ambas variantes se encargan de filtrar la información sobre el estado del sistema pedida por las herramientas de diagnóstico. Por ejemplo, si el usuario intenta ver los ficheros del directorio donde se encuentra instalado el rootkit este interceptará la llamada realizada y devolverá un resultado falso como que en ese directorio no se encuentra ningún fichero. Los rootkits del primer tipo son más fáciles de crear ya que hacen llamadas a la API del sistema operativo como si fueran otra aplicación más, por el contrario, los del segundo tipo trabajan a bajo nivel, cualquier error en la programación podría dejar fuera de servicio todo el equipo. Como siempre hay una ventaja y un incoveniente, los que trabajan en modo usuario son fáciles de detectar mientras que los que trabajan sobre el kernel son más difíciles ya no sólo de detectar, sino de eliminar.

A la hora de saber si un ordenador está infectado o no, lo mejor es analizar el sistema en busca de programas spyware, virus, troyanos, gusanos… si la presencia de estos es elevada es muy posible que el equipo se encuentre infectado ya que la mayoría de las veces los rootkits abren la puerta a este tipo de aplicaciones. La siguiente opción es emplear herramientas de diagnóstico como tu antivirus o algunas más específicas para este tipo de software como pueden ser F-Secure Blacklight o Russinovich’s RootkitRevealer. Sin embargo, estas herramientas no son infalibles ya que como he dicho, el rootkit se intenta esconder de ellas produciendo resultados falsos. Si aún así consideras que puedes estar infectado la mejor solución es la de siempre, formatear y listo

Finalmente, poner un ejemplo de lo fácil que puede ser incluir un rootkit en un sistema mediane un USB o un CD. Para ello hará falta simplemente:

• Prepara un distribución autoejecutable como la Damn Small Linux (DSL) con las correspondientes librerías dll cambiadas de Windows en una llave USB o en un CD (un sistema completo con soporte de red y sistema gráfico XWindows ocupará unos 50Mb).
• Carga la Bios para que arranque desde el USB o Cd
• Reinicia con el USB o el CD insertado
• Copia el rootkit en su sitio
• Apaga el ordenador y márchate

Tiempo total -> inferior a 5 minutos

Tal y como aparece aquí parece algo trivial, supongo que habrá que trastear un poco más pero no creo que tanto como para que una persona cualquier como yo, con ganas de investigar, lo ponga en práctica

Así que ya sabéis… vigilad vuestros ordenadores…

Más información :

• Rootkit de Sony
• Rootkit según la wikipedia
• Rootkit.com