Il rootkit che si nasconde grazie alla CPU.

Dalla Redazione ZN.

Sfruttando una caratteristica dei processori che risale ai 386, i prossimi rootkit saranno molto difficili da rilevare.

[ZEUS News, 13-05-2008.

Alla Black Hat security conference di Las Vegas, il prossimo agosto, verrà presentato un rootkit che darà parecchio filo da torcere ai produttori di software anti-malware. Ideato dalla Clear Hat Consulting, gira in una parte protetta della memoria; una parte che può essere bloccata e resa invisibile al sistema operativo.

Questo rootkit sfrutta il System Management Mode, una modalità introdotta da Intel con il processore 386SL; qui un software speciale (un firmware, un debugger... o un rootkit) ha privilegi elevati e il sistema operativo non può farci niente. Questa modalità è stata introdotta per consentire ai produttori di hardware di rilasciare i bugfix usando il software. Di fronte a ciò, le iniziative di Sony che anni fa hanno permesso al grande pubblico di conoscere che cosa sia un rootkit paiono quasi innocue. Riuscire a spostare un rootkit al di fuori del sistema operativo lo rende più difficile da scovare, così che possa continuare indisturbato il proprio lavoro.

Secondo Sherri Sparks, che ha collaborato a creare questa minaccia, "I rootkit stanno muovendosi sempre di più verso l'hardware. Più in profondità si va nel sistema, più potere si ha e più è difficile essere trovati". D'altra parte, secondo gli stessi creatori non ci sarà da temere un attacco su vasta scala: "Non prevedo una minaccia molto diffusa, perché [il Smm rootkit] è molto dipendente dall'hardware", dice ancora Sparks. Il codice deve dunque essere scritto espressamente per il sistema posto sotto attacco: è questo uno degli svantaggi di essere slegati dal sistema operativo. Non sarà nemmeno veramente invisibile, anche se scovarlo non sarà semplice: "Non sto dicendo che sia non rilevabile, ma credo che sarà difficile da trovare".

Redazione ZN.