Logo Tom's Hardware

Storia sintetica del malware, continua

Intervista esclusiva a Joanna Rutkowska, massima esperta di sicurezza informatica.

Avatar di Tom's Hardware

a cura di Tom's Hardware

Storia sintetica del malware, continua

TH: Certo, ma se si ha un antivirus installato e attivo permanentemente, caricare il virus dopo l'antivirus lo renderebbe visibile. L'approccio da settore boot permette di prendere il controllo del sistema prima che intervengano i sistemi di protezione, giusto?

Joanna: Giusto.

TH: Bene, andiamo avanti allora. Windows ME e altri sistemi operativi basati su DOS contavano sulle capacità del BIOS per gestire l'accesso al disco, ma Windows NT ha cambiato questa consuetudine.

Joanna: Non bisogna confondere il DOS con Windows 95/98/ME. I sistemi Windows avevano una modalità protetta, e c'era la nozione di protezione della memoria. Sono anche piuttosto sicura del fatto che i sistemi Win95 non usassero i BIOS interrupt, ma piuttosto drivers per gestire PIO/MMIO, come i sistemi moderni.

TH: Credevamo che, una volta avviato Windows NT, la modalità protetta e i driver relativi potessero saltare il BIOS, fermo restando che un virus sul settore di avvio potrebbe comunque fare dei danni, come formattare il disco rigido prima dell'avvio di Windows. Con questa protezione, anche con un BIOS compromesso da un virus per il settore boot, la modalità protetta assume un'importanza maggiore e permette di superare i pericoli del BIOS?

Joanna: Non esattamente. È stato dimostrato diverse volte (per esempio dal BootRoot di Eeye) che è possibile per un malware avviato dal settore di avvio di superare le protezione del sistema operativo, e colpire l'avvio di Windows.

TH: Forse dovremmo rivedere il testo finale, e pubblicare qualcosa nel quale sembriamo più competenti. Contiamo sulla tua confidenzialità, per questo?

Joanna: Potete contarci.

TH:La maggior parte dei nostri contenuti sono prodotti all'interno della nostra redazione, ma interviste come questa ci permettono di esplorare aspetti del mondo tecnologico che altrimenti resterebbero marginali, e di imparare sempre cose nuove. Passiamo quindi velocemente ai giorni nostri: i rootkit oggi si considerano all'ordine del giorno, e sono un tipo di programma per permette di attivare funzioni a livello amministrativo. Un rookit a livello utente, invece, influenza un singolo programma, come per esempio Internet Explorer o Flash, e un'antivirus è in grado di riconoscerlo e fermarlo.

Joanna: Più precisamente, i rootkit utente sono malware che operano in Ring 3 (modalità utente). Non è limitato ad una singola applicazione, e in molti casi potrebbe colpire tutti i processi utente, come faceva il famoso Hacker Defender, e anche i processi di sistema. Un processo di sistema infatti può essere, ed è in molti casi, un processo utente, ed è quindi più vulnerabile.

Leggi altri articoli