Malware e altre minacce alla sicurezza affliggono ogni tipo di utente Windows e questo include anche i professionisti più avanzati.
Le infezioni causate da rootkit, spyware, virus e qualsiasi altro tipo immaginabile di malware sono diventate inevitabili nell’azienda e, in quanto professionista della sicurezza di Windows, devi sapere come impedire che queste minacce danneggino completamente i tuoi sistemi.
Conosci il tuo nemico
Il primo passo per combattere un’infestazione è capire e identificare quale tipo di minaccia alla sicurezza ha invaso il tuo sistema Windows. Hai gli strumenti giusti per ripulire il tuo sistema informatico? Sai come sradicare un rootkit?
Riesci a identificare un hacker che sfonda le tue difese di sicurezza abbastanza rapidamente da impedirgli di fare gravi danni? In questa guida, scopri le strategie anti-malware e acquista un antivirus con codice sconto e risparmia il fastidio di essere l’ennesima vittima di un hacker.
Cos’è un rootkit?
Un rootkit è una raccolta di strumenti (programmi) che consentono l’accesso a livello di amministratore a un computer o una rete di computer. In genere, un hacker installa un rootkit su un computer dopo aver ottenuto l’accesso a livello utente, sfruttando una vulnerabilità nota o violando una password.
Una volta installato, il rootkit consente all’autore dell’attacco di mascherare l’intrusione e ottenere l’accesso root o privilegiato al computer e, eventualmente, ad altre macchine sulla rete.
Rilevamento dei rootkit
Le tecnologie di rootkit stanno emergendo rapidamente in una varietà di luoghi, inclusi prodotti di sicurezza commerciali ed estensioni di applicazioni di terze parti apparentemente benigne. Trovare e rimuovere rootkit non è una scienza esatta.
I rootkit possono essere installati su un computer in molti modi. Nessun singolo strumento (e nessuna combinazione di strumenti) può identificare correttamente tutti i rootkit e il comportamento simile ai rootkit.
- Cerca nella memoria di sistema. Monitora tutti i punti di ingresso di un processo mentre viene avviato, tenendo traccia delle chiamate di libreria importate (dalle DLL) che possono essere collegate o reindirizzate ad altre funzioni, caricando i driver di dispositivo, ecc. Lo svantaggio di questo approccio è che è noioso, ci vuole tempo e non può tenere conto di tutte le possibili strade in cui un rootkit può essere introdotto nel sistema.
- Tieniti aggiornato sui più recenti software di protezione antivirus e malware dei principali fornitori di antivirus e sicurezza. Sysinternals e F-Secure offrono strumenti di rilevamento dei rootkit autonomi (RootkitRevealer e Blacklight, rispettivamente). Anche Microsoft ha implementato le funzionalità di rilevamento dei rootkit nel proprio strumento di rimozione del software dannoso.
- Aggiorna la tua protezione firewall. Ricorda, affinché il processo di occultamento sia efficace per un potenziale aggressore, è fondamentale che l’hacker possa rientrare in una macchina una volta che è stata compromessa. Sebbene i firewall non facciano nulla per mitigare i rischi a livello di applicazione, possono rappresentare una sfida significativa per gli aggressori quando vietano il rientro in una macchina vittima.
- Se possibile, rafforza la tua workstation o il tuo server contro gli attacchi. Questo passaggio proattivo impedisce a un utente malintenzionato di installare un rootkit in primo luogo. La National Security Agency pubblica una linea guida per rafforzare gli ambienti Windows, che è un ottimo punto di partenza per istruirti sulle azioni preventive contro le intrusioni di sistema.
Rimozione dei rootkit
I rootkit sono relativamente facili da installare sugli host delle vittime. Dopo aver caricato un rootkit, un determinato aggressore può fare di tutto, dallo sfruttare una vulnerabilità di Windows per decifrare una password o persino ottenere l’accesso fisico al sistema.
Possono persino eseguire un attacco di phishing, in cui un hacker impedisce a un utente di eseguire un file eseguibile in un allegato email o tramite un collegamento ipertestuale distribuito tramite email o messaggistica istantanea. Una volta installati, come probabilmente scoprirai, i rootkit non sono così facili da trovare o eliminare.
La minaccia rootkit non è così diffusa come virus e spyware. Dato questo fatto e la mancanza di una soluzione di prevenzione dei rootkit veramente efficace, la rimozione dei rootkit è in gran parte un processo reattivo.
Difese contro i rootkit
Per rendere veramente a prova di proiettile il processo di rilevamento e pulizia dei rootkit, assicurati di leggere sempre le attuali istruzioni per l’utente degli strumenti di scansione per vedere quali passaggi speciali è necessario eseguire prima, durante e dopo il processo di pulizia.
Quindi, dopo aver trovato ed eliminato un rootkit, riesamina il sistema dopo il riavvio per ricontrollare che sia stato completamente pulito e che il malware non sia tornato.
Le infezioni da rootkit si verificano in genere in attacchi mirati, ma dato il modo in cui le cose sono progredite con i malware nell’ultimo decennio, non sarei sorpreso di vedere questo come un problema diffuso in futuro. Come sempre, i cattivi stanno usando le loro conoscenze e abilità tecniche per stare un passo o due avanti.
Leggi anche:
Antivirus, ha ancora senso pagarli o è meglio un antivirus gratuito?
Liam Neeson difende La Minaccia Fantasma e Jar Jar Binks
Ti è piaciuto questo articolo? Dicci cosa ne pensi nei commenti qui sotto o esplora altri contenuti dal nostro menù!
Hai una storia da raccontare o un'opinione da condividere? Mandaci il tuo articolo scrivendoci a [email protected].
Vuoi unirti al nostro team e collaborare con noi? Scopri come candidarti alla pagina dedicata: collabora.
