Un problema dentro de un problema

por

Esta mañana leía un artículo sobre lo sofisticados y peligrosos que se han vuelto los rootkits, al punto de ser todo un problema detectarlos.

Mi problema, en ese momento, era otro: aprender qué era y para qué servía un rootkit.

Ingrese su root sin puntos ni guiones

Yendo a la etimología de la palabra, pensé que root podía ser una mala manera de escribir RUT, pero eso me llevó a un segundo dilema. ¿Era RUT por Rol Único Tributario? ¿Era Rut la de la historia de la Biblia?

El otro día estaba intentando leer entre líneas con ese librito, y aunque casi siempre puedo leer entre líneas, mi edición tiene las letras tan chiquitas y las líneas tan juntas, que apenas se puede hacer.

Por si acaso, Rut trata sobre una pagana que se casa con un hijo de puta. No es broma. Rut era una Moabita, a consecuencia de lo cual no es hebrea y es lo peor de lo peor, al menos a los ojos de los hebreos. Por su parte, su marido Booz es literalmente un hijo de puta, pero al menos es hebreo. Su madre era la famosa prostituta de Jericó, Rahab. Debe haber sido como la Gran Yolanda pero con túnica en vez de lentejuelas.

Pero no calzaba, definitivamente no era esa Rut, y decidí preguntarle a Wikipedia, enciclopedia libre del conocimiento libre. Osea todo al lote pero con buena voluntad. Y Wikipedia me enseñó qué es un rootkit.

En pocas palabras, es un programa, o un conjunto de programas, que sirven a la función de ocultar la intromisión en tu sistema. En otras palabras, si el hacker es el ladrón, el rootkit es su pasamontañas.

Comúnmente, lo que hace el rootkit es por un lado disimular la presencia de un virus, spyware, worm, troyano o lo que sea, mediante la usurpación de un archivo o proceso conocido. Rootkit sería por ejemplo un programa que logra disfrazar un proceso viruliento como una instancia de SVHost, que misteriosamente siempre está corriendo en windows.

Pues bien, en una entrevista para E-Week, el CEO de la compañía de antivirus finlandesa F-Prot, Mikko Hypponen, habló de cómo se ha ido complicando la detección de estos rootkits, toda vez que su sofisticación va en aumento.

Básicamente, la premisa de los rootkits tal como son actualmente concebidos se basa en dos axiomas erróneos.

1.- Los rootkits son usados por hackers terroristas que entran a sabotear máquinas y robar claves.
2.- Las compañías de adware producen programas molestos pero que no se molestan en ocultar.

Según dice Hipponen, la empresa Contextplus Inc, que produce los adware Apropos y Peopleonpage, ha desarrollado técnicas de rootkit realmente avanzadas y muy complejas de detectar.

Por una parte, lo que hacen estos software es modificar el kernel de windows, con lo cual corren como parte de la estructura del sistema. En segundo lugar, aseguran que su proceso sea corrido al inicio de la carga de windows, para tener prioridad sobre el antivirus. Y en tercer lugar, son capaces de esconder su presencia en el task manager y hasta ocultar ramas enteras en el registro de windows, amén de sus propios archivos en la carpeta windows/system32. Hecho esto, se han vuelto indetectables e invulnerables.

F-Prot usa lo que ellos llaman Black Light Technology, que no me interesa saber qué es porque esta noticia no estaba pensada para hacerles publicidad. Sin embargo según Hipponen, es una de las pocas maneras de detectar estos rootkits.

En el fondo, el rootkit no hace daño. Si habláramos de la reforma procesal penal, no sería el autor de los hechos pero sí encubridor. Con el rootkit corriendo, el usuario es incapaz de saber que Apropos está residente en memoria, capturando sus hábitos de navegación y enviándolos a Contextplus, la cual se define a sí misma como “Una empresa de one to one desktop márketing”. Curiosamente, esta definición es exacta, con la salvedad de que el márketing tradicional no implica robar información subrepticiamente. (Aunque me quedé pensando después de escribir esto).

El problema no termina ahí, porque estos softwares son como el sida: cambiantes. Aunque los antivirus empiezan a incorporar herramientas anti adware, el Apropos cambia cada vez que lo bajas. Claro, nadie lo baja a propósito, siempre es una engañifa en algún sitio porno o de cracks, que un usuario incauto acepta sin leer lo que le ofrecen (y probablemente le estén ofreciendo otra cosa nada que ver). Cuando ese usuario acepta, el antivirus vé cualquier programa menos el que está programado para detener: es el Apropos envuelto en un wrapper que nunca es igual, porque el servidor lo va mutando permanentemente.

Así las cosas, se nos viene una linda época por delante, toda vez que el espíritu de estos programadores malulos es altruísta, por lo cual el código del rootkit de Contextplus es abierto y gratuito para que otras empresas de Adware puedan incorporarlo a sus productos. Apuesto a que en realidad esto permite a Contextplus robar la información que otros robaron… y quién roba a ladrón, tiene 100 años de perdón y a lo mejor un puesto en el congreso.

Yo me salvé, uso Linux

Por si acaso, el término rootkit se acuñó en la época de Unix, en donde los hackers manejaban un set de herramientas que, camufladas en archivos comunes como passwd o finger, en realidad ocultaban programas de control remoto así que no, no estás a salvo.

Fuente: E-Week