I Rootkits

di
Megalinux
il
46 risposte
M
Megalinux
Pochi posts
Iscritto da
lug, 2016
Messaggi:
24

I Rootkits

Qualcuno di voi ha mai sviluppato un Rootkit per Linux o per Windows?

46 Risposte

  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21551

    Re: I Rootkits

    A che pro questa domanda??

    Ci chiedi se abbiamo scritto malware per Linux o Windows ?
  • M
    Megalinux
    Pochi posts
    Iscritto da
    lug, 2016
    Messaggi:
    24

    Re: I Rootkits

    Guarda che i rootkits non devono essere visti soltanto in modo negativo......ma possono servire per "monitorare" delle situazioni particolari o entrare in un sistema "hackerato" per rivendicare la leggittimità della proprietà.
    Volevo solo sapere, se qualcuno aveva scritto qualcosa del genere!
  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21551

    Re: I Rootkits

    Un rootkit è tipicamente malevolo. Per monitorare i sistemi non serve "nascondere" codice in nessun modo, ma si usano gli strumenti messi appositamente a disposizione. Quella di usare un rootkit per entrare nei sistemi per rivendicarne la proprietà è una stupidaggine.
  • M
    Megalinux
    Pochi posts
    Iscritto da
    lug, 2016
    Messaggi:
    24

    Re: I Rootkits

    Forse non mi sono spiegato bene. Non sempre si possono utilizzare gli "strumenti messi a disposizione"....soprattutto se è il tuo diretto superiore che te lo chiede! Poi, per quanto concerne la legittima proprietà, in realtà tale situazione avviene quando:
    1) Qualche criminale informatico ha "hackerato" il server mail di cui sei amministratore e ha ottenuto i privilegi del superutente (root) in un ambiente GNU/LInux. Sembra, che tale situazione sia impossibile da risolvere se non con un bel backup, ma....
    2) Precedentemente sul "tuo" server mail hai installato un rootkit (che per definizione resta nascosto e apre una backdoor) che a bordo contiene un bel keylogger....
    3) A questo punto entri dalla backdoor con un utente non root (che hai configurato prec...), visualizzi il file che ha registrato il keylogger sviluppato sul rootkit, leggi la pwd di root digitata dal criminale e finalmente il sistema è tuo....HAI SALVATO IL MONDO!

    Così va bene?
  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21551

    Re: I Rootkits

    Tutte stupidaggini nel mondo reale. Fai un restore da un backup valido, cosa che tutti i settori IT a livello enterprise fanno.

    Non si installa roba come rootkit su server di produzione, nessun "diretto superiore" chiederebbe una cosa così stupida. Chiederebbe un serio piano di backup.

    Questo argomento, ti ripeto (e come scrivi tu stesso nelle tue due paginette di introduzione di base all'argomento nel tuo sito, anche riguardo alla normativa italiana), è roba MOLTO delicata e l'ho segnalato ai moderatori di questo forum.
  • M
    Megalinux
    Pochi posts
    Iscritto da
    lug, 2016
    Messaggi:
    24

    Re: I Rootkits

    In effetti come ho scritto io, un piano di backup è sempre l'ideale, ma se tutti i tuoi backup sono stati compromessi? Cosa faresti?
  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21551

    Re: I Rootkits

    Allora reinstalli la macchina, evenienza quasi impossibile ma che potrebbe verificarsi. Si è sempre pronti in ambienti di produzione seri a queste evenienze, te lo assicuro, dato che ci lavoro. Cosa che sicuramente tu non fai.

    Ripeto... evita di chiedere nei forum chi scrive rootkit ... sono domande da ragazzini aspritanti "acher"...
  • M
    Megalinux
    Pochi posts
    Iscritto da
    lug, 2016
    Messaggi:
    24

    Re: I Rootkits

    Fermati! Anch'io lavoro in un ambiente enterprise, e quello di reinstallare la "macchina" o fare affidamento ai soli backup è una grande "fesseria". Come ho detto e ripetuto saper scriver un rootkit non significa diventare "Hacker" oppure ragazzini, ma significa risolvere in un altro modo un problema!
    Utilizzare Sistemi Virtualizzati con Piani di Backup (che anch'io uso quotidianamente) è fondamentale, ma non può sostituire una conoscenza approfondita del problema...! Come tu ben sai gli Hacker sono assolutamente diversi dai criminali informatici (e questo lo cito anche nel mio sito...nelle due paginette).
  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21551

    Re: I Rootkits

    I rootkit sono praticamente appannaggio dei criminali .... non vedo come una società possa "rischiare" di introdurre rootkit che, se scoperti, possono essere un "boomerang" per la stessa società e per gli interessi economici e politici in gioco.
  • M
    Megalinux
    Pochi posts
    Iscritto da
    lug, 2016
    Messaggi:
    24

    Re: I Rootkits

    Ti stai sbagliando! Anche se il termine indica uno strumento "malevolo" utilizzato normalmente dai criminale, in realtà non è altro che un kit di programmi che esegue dei compiti, ed è proprio questo che ti deve far riflettere.....
    Un rootkit (ad esempio):
    1) nasconde dei processi o dei files
    2) con uno sniffer "monitora" la Rete
    3) con un keylogger rileva qualunque cosa sia scritta nel sistema

    Ora, sviluppare un rootkit non è così semplice e presuppone uno "skil"l elevato, non bastano 1 giorno, 10 giorni, ma potrebbero essere necessari diversi mesi. Lo scopo per cui questi strumenti (i rootkits) vengono utilizzati sono molti, ma non necessariamente solo dai criminali!. Poi, nessuno mi impedisce di installarne uno nei "miei" server per potermi muovere diversamente da te (Backup - reinstallazione ) in caso di "perdita" dell'utente root.

    E' possibile che la soluzione di tutto sia sempre un Backup o un sistema Virtualizzato?
  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21551

    Re: I Rootkits

    Questo è un tuo punto di vista. Secondo me chi si sbaglia sei tu. So cosa sono e come si usano i rootkit e ti assicuro che nulla ne giustifica l'uso da parte di un amministratore in un sistema di produzione.

    Non ha alcun senso installare un keylogger in un sistema di produzione e uno sniffer lo installi anche senza alcun rootkit, tanto meno hai la necessità di nascondere files/processi nelle normali attività.

    Se la tua è pura curiosità, esistono esempi in rete di sorgenti più o meno conosciuti, ma non pretendere che qualcuno qui ti dica di averne scritto qualcuno per meglio gestire i propri sistemi di produzione ... è pura fantascienza, quasi una provocazione ...
  • M
    Megalinux
    Pochi posts
    Iscritto da
    lug, 2016
    Messaggi:
    24

    Re: I Rootkits

    Infatti, I.D.S. ne uso qualcuno anche senza l'uso di un rootkit!! Cmq, la mia intenzione non è quella di installare un rootkit a tutti i costi in un sistema di produzione. Ovviamente, quando parlo di installare un rootkit, non bisogna farlo di nascosto (tale azione potrebbe essere perseguita penalmente..) ma tutto in chiaro in accordo con l'azienda/ente con cui si lavora e/o collabora (mi rendo conto che potrebbe essere frainteso il tutto). Inoltre, sapere com'è fatto un rootkit e provare a svilupparlo significa riuscire a contenerlo nel caso sia necessario! Ma non devi dimenticare anche la parte divertente: quanto difficile potrebbe essere creare un rootkits? Per me è una sfida, poi magari per qualcun'altro non è nulla!

    Come dici tu potrebbe essere solo fantascienza, fino a quando non ti accorgi che non lo è, e il solo mezzo per uscirne è utilizzare il buon vecchio backup!
    "Utilizzo subito il Backup, ho risolto! Dopo, con un po di calma capisco cos'è successo, ma ora devo utilizzare immediatamente il backup.....me lo chiedono a gran voce....l'azienda non può restare ferma nemmeno per un nanosecondo! Accidenti, dopo alcuni giorni mi sono accorto che il backup è infetto....e ora ...tutti i miei backup sono compromessi......forse dovevo fermarmi un attimo e capire come agire e non impulsivamente ripristinare un puro e semplice backup!". E' così che va a finire?
  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21551

    Re: I Rootkits

    in accordo con l'azienda/ente con cui si lavora e/o collabora
    Non so per chi lavori tu, ma davvero mi dici che ti farebbero fare una cosa del genere?

    Andiamo ... installare una backdoor con (potenzialmente) diritti su tutto sarebbe un azzardo e sicuramente sconsigliato da tutti ... e come dare torto?

    Per quanto riguarda la parte "divertente", altre volte sono stati chiesti virus, keylogger e altro per studio o divertimento e i thread sono stati, giustamente, chiusi. Non regge.

    Per la storiella dei backup, andiamo ... mettere mani ad un sistema compromesso da un rootkit con un payload magari poco conosciuto, lo fai a mano?? Non farmi ridere ... usi un backup o reinstalli ...

    E direi che con questo, per me, la questione è chiusa ... quando il moderatore vorrà dire la sua ...
  • M
    Megalinux
    Pochi posts
    Iscritto da
    lug, 2016
    Messaggi:
    24

    Re: I Rootkits

    La frase "usi un backup" in un sistema di produzione è sicuramente la scelta migliore, reinstalli assolutamente no!. Quello che cerco di far capire da un bel po in questa discussione, e magari è soltanto un mio punto di vista, è che la soluzione a portata di mano (es: il backup) non sempre è la scelta migliore (anche se più volte l'ho scritto nell'articolo). Ci sono diversi modi di affrontare un problema (problem solving) e alcune volte bisogna:

    1) Saper riconoscere il problema
    2) Gestire più soluzioni

    Probabilmente, se in uno dei tuoi sistemi fosse presente un rootkit utilizzeresti subito la soluzione del backup con il vantaggio di non interrompere nessuna attività produttiva (e questo è corretto anzi ottimo), ma con la remota possibilità di installare un backup compromesso. Bene, il backup è compromesso........bisogna reinstallare il sistema, aggiornare i software e via dicendo.....(ora devi interrompere le attività produttive per un po di tempo...).

    Io agirei così:
    1) Scollegamento dalla Rete Internet della macchina infetta (con probabile perdita della continuità dell'attività produttiva)
    2) Accesso alla macchina con backdoor e ripristino utente di root se necessario
    3) Controllo dei file di logs (che il mio rootkit ha scritto....e ha nascosto). Verifica dei files compromessi e finalmente se possibile soluzione del problema. E' ovvio che tutto si traduce in termini di tempo....ma è necessario, poiché, se il backup risulta compromesso il tempo per la soluzione potrebbe moltiplicarsi in modo irragionevole.

    E' ovvio che in alcuni casi la tua soluzione è più veloce, mentre in altri la mia è migliore..........come dice tu, è una mia e una tua scelta adottare la soluzione migliore nel momento migliore.
Devi accedere o registrarti per scrivere nel forum
46 risposte