Rootkits
¿Qué son los Rootkits?
Rootkit es un conjunto de herramientas usadas
frecuentemente por los intrusos informáticos o crackers que consiguen
acceder ilícitamente a un sistema informático. Estas herramientas sirven
para esconder los procesos y archivos que permiten al intruso mantener
el acceso al sistema, a menudo con fines maliciosos. Hay rootkits
para una amplia variedad de sistemas operativos, como Linux, Solaris o
Microsoft Windows. Por ejemplo, el rootkit puede esconder una aplicación
que lance una consola cada vez que el atacante se conecte al sistema a
través de un determinado puerto. Los rootkits del kernel o núcleo pueden
contener funcionalidades similares.
Un backdoor
puede permitir también que los procesos lanzados por un usuario sin
privilegios de administrador ejecuten algunas funcionalidades reservadas
únicamente al superusuario. Todo tipo de herramientas útiles para
obtener información de forma ilícita pueden ser ocultadas mediante rootkits.
¿Cuales son sus objetivos?
Tratan de encubrir a otros procesos que están llevando a cabo
acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una
puerta trasera para llevar a cabo tareas de espionaje, el rootkit
ocultará los puertos abiertos que delaten la comunicación; o si hay un
sistema para enviar spam, ocultará la actividad del sistema de correo.
Los rootkits, al estar diseñados para pasar desapercibidos, no pueden
ser detectados. Si un usuario intenta analizar el sistema para ver qué
procesos están ejecutándose, el rootkit mostrará información falsa,
mostrando todos los procesos excepto él mismo y los que está ocultando.
O si se intenta ver un listado de los ficheros de un sistema, el
rootkit hará que se muestre esa información pero ocultando la existencia
del propio fichero del rootkit y de los procesos que esconde.
Cuando el antivirus
hagan una llamada al sistema operativo para comprobar qué ficheros hay,
o cuando intente averiguar qué procesos están en ejecución, el rootkit
falseará los datos y el antivirus no podrá recibir la información
correcta para llevar a cabo la desinfección del sistema.
¿Cómo prevenirnos?
Es necesario un sistema que vigile no únicamente la actividad de los
archivos en el disco, sino que vaya más allá. En lugar de analizar los
archivos byte a byte, debe vigilarse lo que hacen al ejecutarse.
Un rootkit necesita llevar a cabo algunas tareas que se podrían
considerar “típicas”, como adquirir derechos de root, modificar llamadas
básicas al sistema operativo, falsear sistemas de reporte de datos del
sistema… Todas estas tareas, una a una, entrañan poco peligro. Pero
todas ellas, juntas y en el mismo momento, llevadas a cabo por el mismo
programa, proporcionan información clara de que algo extraño está
pasando en la computadora. Si las soluciones antivirus fracasan
definitivamente a la hora de detectar un rootkit, las nuevas tecnologías
de detección de amenazas por comportamiento tienen su mejor prueba de
eficacia en la detección y bloqueo de rootkits. Estas tecnologías no
basan su funcionamiento en condicionantes previamente aprendidos sobre
patrones cerrados de identificación de amenazas. Su éxito se basa en la
investigación inteligente y automática de la situación de un proceso en
una computadora.
Cuando una serie de acciones se llevan a cabo sobre el sistema y
todas ellas (o, al menos, alguna) pueden suponer un riesgo para la
integridad de la información o el correcto funcionamiento de la máquina,
se evalúan una serie de factores que sirven para calificar la
peligrosidad de esa tarea. Por ejemplo, que un proceso quiera tomar
derechos de administración en un sistema puede ser más o menos habitual.
Y tiene un cierto riesgo, sin duda, pero no hay que alertar por ello.
Un simple instalador para un juego puede necesitar tener derechos de
administrador para poder llevar a cabo las modificaciones necesarias y
poder ejecutarse correctamente.
O por ejemplo, es posible que un determinado proceso deba permanecer
oculto, ya que no existe posibilidad de interacción, o que un
determinado proceso abra un puerto en concreto para comunicarse, o que
registre pulsaciones de teclas. Pero todas esas características juntas
hacen que el proceso se pueda considerar como una amenaza y sea
necesario un análisis en profundidad para poder autorizar la ejecución
de manera segura.
Una vez infectado, ¿qué hacer?
A pesar de lo que viene diciéndose, los rootkits pueden eliminarse
(aunque no tan fácilmente). Estos programas se autoprotegen
escondiéndose y evitando que ningún otro proceso (como un antivirus) pueda detectarlos. Pero para que ese proceso pueda ocultarse, debe estar en funcionamiento y activado en memoria.
La mejor manera de evitar que el proceso entre en acción, es evitar
el arranque del sistema operativo en el disco en el que se encuentra el
rootkit, utilizando un disco diferente al del sistema infectado; como
puede ser un CD. Así, si el rootkit es conocido, podrá eliminarse.
Sin embargo, si el rootkit no es conocido (es decir, que ha sido
desarrollado específicamente para un sistema en concreto), cualquier
antivirus fracasará. En este caso, el problema informático es casi el
menos importante: hay una persona que, intencionadamente, quiere hacer
daño a su empresa y se ha molestado en entrar en el sistema para
perjudicarle.
Existen varias herramientas Anti-Rootkits totalmente gratuitas que puede descargar directamente desde Infospyware para comprobar su sistema en busca de estos.