Un rootkit es un conjunto de herramientas utilizadas por intrusos para ocultar su presencia en un sistema comprometido. Permiten esconder procesos, archivos y mantener el acceso al sistema de forma encubierta. Existen rootkits para varios sistemas operativos como Linux, Windows y Solaris. Su objetivo principal es ocultar programas y procesos maliciosos para que el intruso pueda controlar el sistema de forma remota sin ser detectado.

1. ROOTKITS Es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Por ejemplo, el rootkits puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares. La finalidad es esconderse a si mismo y esconder otros programas, procesos, archivos, directorios, claves de registros, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible.

2. DETECCIÓN A menudo puede ser detectado por la firma o heurística basada en programas antivirus, por lo menos hasta que estén dirigidos por un usuario y es capaz de tratar de ocultarse. Existen limitaciones inherentes a cualquier programa que intenta detectar rootkits mientras que el programa se está ejecutando en el sistema sospechoso. Los rootkits son suites de programas que modifican muchas de las herramientas de sistema de núcleo y las bibliotecas de la que dependen todos los programas del sistema. El problema fundamental de detección de rootkit es que si el sistema operativo si está ejecutando o ha sido subvertida, no se puede confiar, ni incluso para encontrar modificaciones no autorizadas a sí misma a sus componentes. En otras palabras, acciones tales como solicitar una lista de todos los procesos en ejecución, o una lista de todos los archivos en un directorio, no puede confiar en que se comportan según lo previsto por los diseñadores originales. Los detectores de rootkit se ejecuta en los sistemas de trabajo,

3. USO DE LOS ROOTKITS Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado. Suelen incluir backdoors (puertas traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kanel o núcleo pueden contener funcionalidades similares. Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits.

4. TIPOS BÁSICOS Los rootkits se pueden clasificar en dos grupos: Los que van integrados en el núcleo y los que funcionan a nivel de aplicación. Los que actúan desde el kernel añaden o modifican una parte del código de dicho núcleo para ocultar el backdoor. Normalmente este procedimiento se complementa añadiendo nuevo código al kernel, ya sea mediante un controlador (driver) o un módulo, como los módulos del kernel de Linux o los dispositivos del sistema de Windows. Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada.

5. UNA VEZ INFECTADO, ¿QUÉ HACER ? A pesar de lo que viene diciéndose, los rootkits pueden eliminarse (aunque no tan fácilmente). Estos programas se autoprotegen escondiéndose y evitando que ningún otro proceso (como un antivirus) pueda detectarlos. Pero para que ese proceso pueda ocultarse, debe estar en funcionamiento y activado en memoria. La mejor manera de evitar que el proceso entre en acción, es evitar el arranque del sistema operativo en el disco en el que se encuentra el rootkit, utilizando un disco diferente al del sistema infectado; como puede ser un CD. Así, si el rootkit es conocido, podrá eliminarse. Sin embargo, si el rootkit no es conocido (es decir, que ha sido desarrollado específicamente para un sistema en concreto), cualquier antivirus fracasará. En este caso, el problema informático es casi el menos importante: hay una persona que, intencionadamente, quiere hacer daño a su empresa y se ha molestado en entrar en el sistema para perjudicarle. Existen varias herramientas Anti-Rootkits totalmente gratuitas que puede descargar directamente desde Infospyware para comprobar su sistema en busca de estos.

6. HISTORIA El término rootkit o un kit de raíz se refería originalmente a un modificado de forma maliciosa conjunto de herramientas administrativas de Unix el sistema operativo que el acceso de root concedia al intruso para mantener dicho acceso de root en el sistema para ocultar esas actividades al administrador del sistema legítimo. El rootkit antiguo que se conoce fue escrito aproximadamente en 1990 por Lane Davis y Steven Dake. Un rootkit no puede elevar los privilegios de un atacante antes de que sea instalado en el sistema de destino. La instalación requiere el que intruso debe tener acceso de root o administrador, que puede lograrse con el acceso físico o explotar una vulnerabilidad de seguridad.