BluePill, la pillola blu

TH: Il rootkit di "livello kernel" è quello che riceve più attenzioni dai media. Questo tipo di malware compromette direttamente il kernel del sistema operativo e, visto che non c'è nulla con un accesso più alto, non c'è modo di "guardare giù" e cercare il virus. Con un rootkit per kernel, quindi, un antivirus può facilmente essere eluso senza che nessuno se ne accorga.

Joanna: Esatto, il vantaggio dei rootkit a livello kernel, rispetto a quelli a livello utente, è diventato palese dopo che i vari antivirus hanno cominciato ad introdurre moduli che agisicono a livello kernel, che permettono le cosidette funzioni antirootkit.

Avere due elementi (un rootkit e un antivirus) con gli stessi privilegi (livello 0) non implica che entrambi vincano, a lungo termine. In effetti, la verità è che c'è sempre un pareggio, a lungo termine: per il malware è sufficiente sopravvivere qualche settimana, o anche solo qualche giorno, per raggiungere i suoi obiettivi.

TH: Si credeva che il rootkit per kernel fosse il metodo di attacco con il maggior potenziale di invisibilità e danneggiamenti …

Joanna: No, non lo è mai stato. Sin dai primi tempi in cui questi rootkit sono comparsi gli utenti hanno trovato risposte adeguate, vale a dire programmi in grado d'identificare i malware conosciuti.

Alan: Con un rootkit per kernel, è come tornare all'epoca del DOS. Puoi trovare un anti-rootkit fantastico, ma poi può saltare fuori un rootkit migliore, in versione n+1, capace di vincere lo scontro, e la cosa potrebbe andare avanti all'infinito. Un sistema operativo ben progettato, invece, obbliga i cattivi ad agire a livello utente, e l'amministratore può giocare il ruolo della guardia, a livello kernel. Così si ha sempre il coltello dalla parte del manico, di fronte al software pericoloso, e l'unico modo per andare oltre, e sfruttare un qualche bug per arrivare al Ring 0.

Joanna: Sì.