11 marzo 2006

Ghostware ovvero del fantasmino malevolo

Ecco finalmente il "famoso" articolo promesso: si parlerà di fantasmi....

Preparazione:andate in libreria (chi ha le braccine corte mi sa che riuscirà a trovarlo anche in biblioteca ma sarebbe un vero delitto non possederne una copia!!!) , comprate un fantastico libro di Henry James dal titolo
"Giro di vite" (titolo originale per gli anglofili "Turn of the Screw") od uno a scelta vostra del grandissimo maestro Edgar Allan Poe (anche se non parla sempre di fantasmi, non importa, l'atmosfera "de paura" verrà comunque creata), abbassate le luci, mettete le lenzuola su poltrone e mobili, impolverate un po' la mobilia (non la mobilia che intende Simona Ventura o quella della splendida Randy e che sovente et fortunamente esibiscono ....) ed avrete l'atmosfera adatta per l'argomento.


Il ghostware (per gli accaniti fan del linguismo è la variazione semantica di due parole:ghost e software...a voler esser proprio pinoli è l'unione di un sostantivo vero e proprio -ghost- ed il suffisso - -ware - di un altro sostantivo - software -) indica quindi semplicemente un software
fantasma
. Il loro vero punto di forza è, come con tutti i bravi fantasmi, grazie a particolari tecniche di programmazione; essere invisibili all'utente, alle applicazioni ed all'intero sistema operativo. Questo significa che nessun antivirus, nessun programma antispyware e nessun strumento antimalware saranno in grado di rilevarli.


Questi programmini tanto cari prendono il nome di rootkit e nonostante sian presenti da una decina d'anni, son tornati alla ribalta solo ultimamente grazie allo scandalo della Sony Bmg
(chiariremo meglio l'argomento verso la fine di questo post...)

Inizialmente eran presenti solo nel mondo Unix ed eran utilizzati da parte di pirati informatici per mascherare attacchi alla rete, nascondendo tramite questa tecnica alcune backdoor

Nel 1999 l'articolo "A *REAL* NT Rootkit, patching the NT Kernel " di Greg Hodlund pubblicato su Phrack segna l'avvento del rootkit nel mondo Windows.


Cos'è un rootkit? E' un insieme di tecniche di occultamento che consentono di mascherare la presenza di processi e programmi all'interno di un sistema.


Per chiarire ancora meglio cito parte dell'articolo di html.it che spiega in dettaglio come funziona:

" Una volta installato un programma ghostware verrà in genere lanciato all'avvio del sistema attraverso una chiave di registro invisibile. A questo punto potrà intercettare i tasti digitati sulla tastiera per carpire informazioni riservate(keylogger), mettersi in ascolto sulla rete per accettare istruzioni dall'esterno (backdoor), sniffare il traffico di rete, sferrare attacchi DoS su internet e quanto di peggio si possa immaginare. Nessun taskmanager potrà individuarlo e nessun comando netstat potrà rivelare le connessioni create sulla rete. "

Tutto chiaro? no? Okkei .... traduco...


" Per rendere possibile la loro invisibilità i rootkit agiscono a livello profondo installandosi come parte integrante del sistema operativo stesso....
....Il rootkit quindi agisce da filtro tra il nostro Windows e i programmi applicativi, eliminando dalla risposta fornita dal sistema tutte le informazioni sui file che esso intende nascondere. Una cosa analoga avviene per tutti gli altri oggetti che si intendono occultare. "


Beh...più chiaro di così Vado...
il post si spiega da solo...finito... Ciao,Ciao ....


Je scherz....su....Volevo solo farvi un paio di esempi di informatichese
(per altri esempi in tutto relax o uno più serio....)


Okkei...per chiarire facciam la parafrasi ed il commento:

" Una volta installato un programma ghostware verrà in genere lanciato all'avvio del sistema attraverso una chiave di registro invisibile."

Qui il nostro caro ghostwarino, per cominciar in bellezza, essendo fantasmillo, invece che farsi notar per il noioso et notturno strider di catene, inserendo una chiave di registro (occhio che non si tratta della chiave della scrivania dove sta il registro della prof che citavam prima...no,no...), dicesi registro di Windows una sorta di database, o più semplicemente un archivio che racchiude tutte le informazioni vitali (periferiche hardware in uso, al software installato, preferenze scelte dai vari utenti, impostazioni del sistema ed altro ancora) del nostro caro scatolotto rumoreggiante; per mezzo di questa chiave di registro invisibile fa sì che che il programma "parta" ad ogni avvio del computer


" A questo punto potrà intercettare i tasti digitati sulla tastiera per carpire informazioni riservate (keylogger) "


Qui fantasmin fantasmillo, non turba gli abitanti del suo castello con rumori improvvisi, immagini schifide alla ghostbuster, o men in black; ma grazie ad un keylogger, cioè un programma o uno scatolotto che si può collegare tra il cavo della tastiera ed il computer (non gioisca chi ha la tastiera senza fili...lo scatolotto può essere inserito anche all'interno della tastiera ).
Può,quindi,intercettare tutto ciò che viene scritto: salvar allegramente(o spedire ad un sito web) nomi utente,password, indirizzi email, numeri di carte di credito e chi più ne ha più ne metta...


" mettersi in ascolto sulla rete per accettare istruzioni dall'esterno (backdoor) "


Qui fantasmin della fantasmera "origlia" le nostre comunicazioni, attende istruzioni esterne: ad esempio poter accedere al nostro computer...


" sniffare il traffico di rete "


No, no tranquilli....il nostro ectoplasmino non è entrato nel tunnel....con sniffare s'intende un'ascolto passivo delle comunicazioni effettuate sulla nostra rete, non è sempre sintomo di un'attacco in corso: può essere effettuato anche per controllare che la rete funzioni correttamente...


"sferrare attacchi DoS su internet "

Il nostro amico, in questo caso, non è impazzito e non si crede Napoleone o il generale Custer e va in scioltezza ad attaccare chiunque incontri: l'attacco dos, è semplicemente l'acronimo di denial of service (letteralmente: negazione del servizio) cioè ad esempio, si inonda (letteralmente...) un determinato sito web di richieste (tentativi di connessione) questo è chiamato l'attacco di tipo syn flood. Si può anche utilizzare una connessione più modesta (il modem casalingo) e attraverso una rete esterna mal configurata si moltiplica la velocità dei dati, fino a raggiungere il bersaglio attraverso una rete ad alta velocità (adsl o, meglio ancora, la fibra ottica): questo è l'attacco smurf


Bene passiamo ora alla seconda parafrasi che chiarirà ancora meglio l'operato di fantasmin:


" Per rendere possibile la loro invisibilità i rootkit agiscono a livello profondo installandosi come parte integrante del sistema operativo stesso....
....Il rootkit quindi agisce da filtro tra il nostro Windows e i programmi applicativi, eliminando dalla risposta fornita dal sistema tutte le informazioni sui file che esso intende nascondere. Una cosa analoga avviene per tutti gli altri oggetti che si intendono occultare. "


Questa definizione mi pare ancora migliore: si installano come se fossero parte integrante di windows e mascherano le informazioni che li riguardano.


Bene...Chiarito (spero...) il significato di rootkit passiamo a spiegare lo scandalo Sony e i Drm:


Mark Russinovich, un programmatore di Sysinternals scopre e rende noto tramite il suo blog che alcuni cd della Sony contengono un malware del tipo Digital Right Management(DRM), che quando viene installato si comporta esattamente come il nostro caro fantasmin rootkit:
si rende invisibile quando viene eseguito (il task manager di windows non lo identifica) ed apre una backdoor sul computer che lo ospita.
Più precisamente: nei cd musicali Sony viene inserito un player per ascoltare il cd stesso, quando viene installato, contemporaneamente s'installa anche un sistema drm chiamato Extended Copy Protection (XCP) (in teoria,secondo la testolina dei nostri cari giapponesini Sony o Son(ati), direi io...; sarebbe un sistema per tutelare i diritti d'autore - ecco da dove proviene il termine digital rights management- ed evitare le copie non autorizzate) che si può classificare tranquillamente come un vero e proprio rootkit: maschera il percorso d'installazione (le cartelle dove s'installa), le chiavi di registro ed i processi che lo riguardano, diventando completamente invisibile (ad esempio ad esplora risorse di Windows)


Oltre ad essere invisibile (o meglio non individuabile dai normali sistemi di protezione) non fornisce nessun programma per la disinstallazione. Russinovich è riuscito ad individuarlo ed a rimuoverlo soltanto grazie a programmi specifici quali: Rootkit revealer o BlackLight, un debugger, il disassembler Ida pro, Regmon e Filemon oltre ad un accurato lavoro sul registro di windows.


Ma non è tutto: un paio di interessanti articoli di punto informatico di qualche tempo fa (citati in fondo a questo post) rivelano altre interessanti, nonchè inquietanti scoperte .


Motivo d'inquietamento number 1 :

Un docente di Princeton, Alex Halderman scrive di un nuovo drm sempre di Sony (utilizzato anche da altre case discografiche): Mediamax diverso dal precedente xcp visto che agisce anche come spyware. Questo bel spioncino giapponese "phones home" (si collega con il server di Sony) ogni volta che si ascolta un cd protetto ed installa 12 mb di software (senza nemmen proporre uno straccio di licenza preventiva) ed ovviamente non include nulla per la sua rimozione..quello che però risulta inquietante è che questi software sono in circolazione da anni mentre lo scandalo che riguardava xcp risale solamente a pochi mesi fa...
Altra cosa molto grave è che, sia in questo caso (mediamax) che nell'altro (xcp), i nostri bei japanini hanno sfornato delle patch di correzione, che come biscottini della fortuna contenevano una gran bella sorpresina:le prime patch erano pericolose e si è dovuto ricorrere ad una seconda.


Inquietamento number 2:

Il collega di Halderman, Felten, spiega nel proprio blog che il caso di Sony sicuramente non sarà l'unico vista la natura del drm: i lettori cd odierni infatti gestiscono la musica in formato cdda (compact disc digital audio), un formato condiviso ovviamente da qualsiasi computer,quindi, citando Felten:

" Se la musica è inserita sul disco in un formato che qualsiasi software deve poter leggere l'unico modo per impedire ai programmi di leggerlo è installare del software sul computer dell'utente e di far sì che interferisca attivamente con i tentativi di accedere al disco, ad esempio corrompendo il flusso di dati che viene dal disco. Questa la chiamiamo protezione attiva"

Ovviamente l'utente, che così tordo non è, non vuole certamente installare tal genere di software che non fa altro che ridurre la sua libertà... di conseguenza:

" Questo significa - spiega Felten - che se si vuole realizzare un sistema DRM per i CD basato sulla protezione attiva, ci sono due questioni da risolvere:

1. Devi far sì che l'utente installi il software, anche se non vuole
2. Una volta che è installato devi impedire che venga disinstallato, anche se l'utente lo vuole disinstallare "

Ecco, quindi, come si è comportata la Sony: esattamente come i produttori di spyware:


" Avendo intrapreso la strada della protezione dalla copia dei CD - chiosa Felten - l'industria della musica non dovrebbe sorprendersi di essere arrivata allo spyware. Perché è là che porta quella strada "

Oooooh!!!!! ...finito....finalmente....Veramente lungo (letteralmente... ed anche per il tempo di stesura) e faticoso questo post....

Il prossimo tratterà di:

Quel gran bel pezzo d'hacker di Google !!!!

Aloha a tutti....




Fonti: Sicurezza html.it , Punto informatico, Punto informatico (Mediamax)