19 - El Rootkit del caso Sony - 05/11/2005


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Para aquellos que no hayan oído nada, el tema se resume así:

Un especialista de Seguridad ha descubierto que Sony instala un software (rootkit) automáticamente, y sin aviso previo, cada vez que un consumidor de música legal inserta un CD de esta empresa en su lectora.

Por otro lado, muchos de nosotros nos estábamos preguntando: ¿Qué demonios es un rootkit y por qué tanto revuelo en este caso?

Para contestar al menos la primera parte de esta pregunta he traducido una parte de un artículo publicado hoy en securityfocus. Los autores son James Butler y Sherri Sparks

Definición de rootkit

Un rootkit es un programa o conjunto de programas que un intruso usa para esconder su presencia en un sistema y le permite acceder en el futuro para manipular este sistema. Para completar su objetivo, un rootkit altera el flujo de ejecución del sistema operativo o manipula un conjuntos de datos del sistema para evitar la auditoria.

Un rootkit no es un exploit, es lo que el atacante usa después del exploit inicial. En algunos aspectos, un rootkit es más interesante que un exploit, incluso que uno 0-day. Algunos de nosotros somos reticentes a creer en el hecho de que más vulnerabilidades continuaran siendo descubiertas. La Seguridad Informática es sobre todo manejo del riesgo. Un exploit 0-day es una bala, pero un rootkit puede decir mucho del atacante, como cuál era su motivación para disparar.

Windows es diseñado con seguridad y estabilidad en mente. El núcleo (kernel) debe ser protegido de las aplicaciones de usuario, pero estas aplicaciones requieren cierta funcionalidad desde el kernel. Para proveer esto Windows implementa dos modos de ejecución: modo usuario y modo kernel. Windows hoy solo soporta esos dos modos, aunque las CPU Intel y AMD soportan cuatro modos de privilegios o anillos en sus chips para proteger el codigo y datos del sistema de sobreescrituras maliciosas o inadvertidas por parte de código de menor privilegio.

El artículo continúa y es por demás interesante. Recomiendo su lectura completa.

Mientras, a mí se me ocurre: ¿Por qué un consumidor debe tener tantas molestias por haber adquirido un producto original?

Buenos Aires, 05 de noviembre de 2005

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto