Rootkits de cuarta generación

RootkitcodeMicrosoft Inc. forma parte de la conspiración mundial, del contubernio, del Número de la Bestia y de toda suerte de manejos relacionados con ese comodín mediático que denominamos el Eje del Mal, otorgándole después el significado que mejor convenga. Pero no por sus oscuras manipulaciones para limitar la competrencia empresarial, porque de eso nadie se ve libre ni justificado para lanzar la primera piedra. Todos, salvo Linus Torvalds, han sido cocineros antes que monjes. Y algunos incluso madamas de burdel. No, lo que convierte a los sistemas operativos de Microsoft en un heile Welt burgués apoyado sobre cimientos tenebrosos es la conjunción de dos hechos que constituyen el signo de los tiempos: primero, casi todo el mundo tiene Windows 2000, XP o Vista instalado en su ordenador, y lo utiliza para casi todo: el ocio, el trabajo, los negocios, las relaciones interpersonales y la seguridad nacional. Segundo, los sistemas poseen unas determinadas características de diseño y funcionamiento (hasta cierto punto inevitables) que los hacen vulnerables al ataque de los rootkits.

¿Hemos leído bien? ¿Nos está diciendo que los virus no son la principal lacra del universo Windows? Pues eso, ni más ni menos. Los virus, la publicidad no deseada y el spam se combaten mal que bien con la prudencia del usuario y software especializado. Pero para comprender lo que significa la amenaza de los rootkits, imagine que su ordenador le miente ocultando archivos o falseando la cifra sobre espacio disponible en el disco duro, que le espía y le roba sus datos, que cuando usted no mira realiza tareas de fondo a las órdenes de una red delictiva o de una agencia gubernamental. Imagínese que no hay modo de detectarlo, salvo llamando a la experta en software maligno Joanna Rutkowska, de la empresa Invisible Things. Entonces sí que comenzará a preocuparse.

Los primeros rootkits fueron diseñados a finales de los 80 del siglo pasado para sistemas Unix, y consistían en versiones modificadas de comandos típicos como ‘ls’ o ‘ps’, que al ser ejecutados ocultaban los archivos y procesos del pirata. Para protegerse de ellos los administradores solían comparar los programas instalados con listas de hashes o utilizar comandos ‘limpios’ desde diskettes o CD-ROMs. Hacia el cambio de milenio comenzaron a extenderse los denominados rootkits de segunda generación, en los que se modificaba el flujo de ejecución a base de alterar las estructuras de datos del kernel, más difíciles de detectar, ya que el sistema engañaba al usuario aun estando limpios los comandos.

Los rootkits de tercera generación, mucho más recientes, son capaces de alterar las estructuras de datos del kernel de modo dinámico, modificando la memoria a través del objeto //PhysicalMemoryDevice. Finalmente existe una cuarta generación de software malicioso, descubierto en 2006, que explota las características hardware de virtualización de los nuevos procesadores de AMD, funcionando en modo hipervisor por debajo del propio sistema operativo. Asi, un rootkit como blue pill, diseñado por Joanna Rutkowska para MS-Vista, podría atrapar una instancia en ejecución del sistema operativo en una máquina virtual, actuando como hipervisor y obteniendo un control absoluto de la máquina. La única defensa practicable contra este tipo de rootkits consiste en desactivar en la BIOS las extensiones de virtualización.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: