di Lucio Viganò

Da tempo ormai questa rubrica del giornale, originariamente nata per esaminare il va-riopinto mondo della moderna tecnologia, si è dovuta spesso soffermare su argomenti che riguardano lo scottante tema della sicurezza informatica; questo perché le continue minacce cui è sottoposto un sistema, dal semplice computer casalingo ai sofisticati server aziendali, rivestono una tale importanza da richiedere una grande attenzione ed un notevole impegno per informare ed aggiornare chi, non essendo particolarmente appassionato, non segue costantemente l’evoluzione di questa branca della tecnologia.
Dopo aver visto da vicino, nello scorso numero di Insieme, la preoccupante diffusio-ne delle botnet, con milioni di computer zombie finiti nelle mani dei criminali informatici, oggi esaminiamo una tipologia particolare di malware, i rootkit. Particolare perché questi programmi non sarebbero di per sé dannosi in assoluto, ma possono divenire molto pericolosi se finiscono nelle mani sbagliate. Un rootkit infatti non è un virus, né un trojan e neppure assomiglia lontanamente al malware che abbiamo visto ed esaminato durante questo lungo excursus sulle infezioni informatiche. Un rootkit è un programma che sfrutta le tecniche di occultamento all’interno del sistema ospite per conseguire i più disparati scopi, spesso del tutto leciti. Alcuni dei migliori antivirus, ad esempio, utilizzano i rootkit per contrastare efficacemente tutte le possibili minacce. Essendo infatti occultati a bassissimo livello nel cuore del sistema operativo, essi sono utilizzati dai programmi antivirus proprio perché riescono a controllare il sistema senza pericolo di essere visti e quindi neutralizzati dai virus, sempre più aggressivi, eventualmente penetrati nel computer.
Le tecniche di occultamento dei rootkit sono spesso usate anche da quei programmi, come ad esempio i sistemi operativi, che supportano la condivisione tra più fruitori dello stesso ambiente di lavoro o di svago, consentendo ad ognuno di creare i propri files e le proprie cartelle, invisibili agli altri utenti della postazione. I rootkit sono stati, sino a pochi anni fa, perfetti sconosciuti per la quasi totalità degli internauti e materia di studio e di conoscenza solamente per gli addetti ai lavori; ancora oggi, infatti, se si chiede ad un campione di utilizzatori di computer, appartenenti a diversi strati sociali e con diverse conoscenze informatiche, che cosa sia un rootkit, nella stragran-de maggioranza dei casi si otterrà una risposta negativa, mentre per contro tutti conoscono a vario livello i virus o ne hanno almeno sentito parlare.
I lettori più attenti, tuttavia, ricorderanno senz’altro un episodio accaduto circa tre anni fa, che ha occupato per breve tempo le cronache dei quotidiani ma ancor più le riviste di settore. Era il 2005 quando una grossa multinazionale dell’home entertainment fu trascinata con grande scalpore in tribunale, per aver venduto un CD musicale contente un rootkit che si installava sul computer quando si tentava di riprodurre il contenuto musicale con quel sistema. Il software aveva il compito di control-lare e limitare il numero di possibili copie del CD, in ossequio al principio di tutela della proprietà intellettuale dell’opera.
L’accusa mossa alla casa discografica è stata non tanto di aver tentato la difesa del di-ritto d’autore, principio sacrosanto di cui nessuno ha mai messo in dubbio la legittimità, quanto di aver perpetrato il proprio disegno all’insaputa dell’utente, installando sul pc del malcapitato un rootkit capace di modificare in modo permanente il sistema operativo della macchina, anche se questo non avrebbe comportato danni o malfunzionamenti, ma si sarebbe limitato a svolgere il compito per cui era stato progettato.
Secondo l’accusa, la multinazionale avrebbe dovuto indicare a chiare lettere sulla confezione la presenza del software anticopia e la sua capacità di intrusione e ma-scheramento; l’accettazione della clausola da parte dell’acquirente avrebbe dovuto pertanto essere esplicita, ma la cosa avrebbe sicuramente provocato un crollo delle vendite dell’album, cosa che deve aver fatto impallidire i responsabili di marketing dell’azienda, spingendola a tentare il colpaccio.
È andata male, però. Condannata dal tribunale, la casa discografica è stata costretta a fare pubblica ammenda, ad interrompere la produzione dei CD sotto accusa ed a ritirare dal commercio quelli già immessi nei circuiti di vendita; ha dovuto inoltre dif-fondere una patch per consentire la rimozione del rootkit da quei sistemi in cui si era abusivamente installato.
Un danno d‘immagine colossale ed una perdita economica secca per la multinazionale.
Questo episodio ha però portato alla ribalta il fenomeno, aumentando la popolarità di queste tecniche di occultamento fino ad allora quasi sconosciute. Qualcuno però sostiene, forse a ragione, che l’episodio narrato abbia portato nuova linfa al variegato mondo della criminalità informatica; sempre in cerca di nuove strategie di attacco capaci di eludere anche i più blasonati antivirus, i cyber criminali sembra abbiano molto gradito la possibilità di adattare le tecniche di occultamento tipiche del rootkit ai propri malvagi scopi; ecco allora che improvvisamente abbiamo visto questo tipo di sof-tware assurgere a nuovo paradigma per un ulteriore e ben più temibile filone di minacce informatiche, diffuse utilizzando le tecniche viste sopra. Si prende cioè un rootkit adeguatamente progettato o adattato, lo si installa nel sistema operativo della vittima designata e sfruttando le sue capacità di occultamento si infila un virus, un trojan o qualunque altro malware, che grazie alle capacità elusive del rootkit diviene totalmente invisibile anche all’antivirus più aggiornato e sofisticato, cosicché esso può svolgere il proprio lavoro indisturbato.
L’evoluzione è stata veloce ed immediata, tanto che per questa nuova minaccia è sta-to coniato un neologismo, ghostware, software fantasma, ad indicarne la peculiarità rispetto ad altri tipi di malware informatici conosciuti. Anche in questo caso, il compito di contrastarne l’avanzata è demandato all’onnipresente antivirus, anche se per ora il compito si rivela piuttosto arduo: è più difficile, infatti, combattere ciò che non si vede; alcuni produttori di sistemi antivirus si sono specializzati nella messa a punto di tool di rivelazione e rimozione di ghostware che, proprio per i motivi visti sopra, non sempre riescono ad ottenere risultati soddisfacenti.
Solo il tempo ci dirà se sarà possibile sconfiggere o perlomeno tenere sotto controllo questa nuova minaccia, riconducendola nel campo, ormai sovraffollato, di virus, trojan, spyware, keylogger e dialer vari di cui abbiamo fatto la sgradita conoscenza attraverso queste pagine della rivista; per ora, rimettiamoci ancora una volta ai sempre attuali canoni di prudenza e buon senso nell’utilizzo di internet e dell’informatica in genere.