Il rootkit che si nasconde grazie alla CPU.

Dalla Redazione ZN.

Sfruttando una caratteristica dei processori che risale ai 386, i prossimi rootkit saranno molto difficili da rilevare.

[ZEUS News, 13-05-2008.

Alla Black Hat security conference di Las Vegas, il prossimo agosto, verr presentato un rootkit che dar parecchio filo da torcere ai produttori di software anti-malware. Ideato dalla Clear Hat Consulting, gira in una parte protetta della memoria; una parte che pu essere bloccata e resa invisibile al sistema operativo.

Questo rootkit sfrutta il System Management Mode, una modalit introdotta da Intel con il processore 386SL; qui un software speciale (un firmware, un debugger... o un rootkit) ha privilegi elevati e il sistema operativo non pu farci niente. Questa modalit  stata introdotta per consentire ai produttori di hardware di rilasciare i bugfix usando il software. Di fronte a ci, le iniziative di Sony che anni fa hanno permesso al grande pubblico di conoscere che cosa sia un rootkit paiono quasi innocue. Riuscire a spostare un rootkit al di fuori del sistema operativo lo rende pi difficile da scovare, cos che possa continuare indisturbato il proprio lavoro.

Secondo Sherri Sparks, che ha collaborato a creare questa minaccia, "I rootkit stanno muovendosi sempre di pi verso l'hardware. Pi in profondit si va nel sistema, pi potere si ha e pi  difficile essere trovati". D'altra parte, secondo gli stessi creatori non ci sar da temere un attacco su vasta scala: "Non prevedo una minaccia molto diffusa, perch [il Smm rootkit]  molto dipendente dall'hardware", dice ancora Sparks. Il codice deve dunque essere scritto espressamente per il sistema posto sotto attacco:  questo uno degli svantaggi di essere slegati dal sistema operativo. Non sar nemmeno veramente invisibile, anche se scovarlo non sar semplice: "Non sto dicendo che sia non rilevabile, ma credo che sar difficile da trovare".

Redazione ZN.

