Dai laboratori di McAfee è stato lanciato l’allarme: nel primo quadrimestre di quest’anno, il numero dei rootkit in circolazione è aumentato addirittura del 700% rispetto al medesimo periodo del 2005. La ricerca condotta dall’azienda relativamente alle metodologie utilizzate dai componenti malware per nascondersi sul sistema infetto, ha riguardato anche le tecnologie adottate da alcune aziende a protezione dei propri supporti (si pensi al componente utilizzato da Sony BMG come sistema antipirateria su alcuni suoi CD e che ha di recente fatto molto scalpore; ved. queste news) e software potenzialmente indesiderati come gli “adware”.
Sebbene le tecniche per nascondere le attività di componenti malware fossero impiegate sin dal 1986, il numero delle minacce e la loro complessità ha avuto una drammatica accelerazione nel corso dell’ultimo triennio. Il problema, poi, interessa, senza esclusioni, sia l’utente finale sia il mondo business.
Ciò che è ancor più pericoloso è la nascita di una sorta di “movimento opensource” tra gli sviluppatori di rootkit e malware in generale: stanno proliferando sul web aree all’interno delle quali programmatori malintenzionati possono trovare codice “pronto per l’uso” sfruttabile per mettere a punto rapidamente componenti maligni di ogni genere.
McAfee prevede che non si registrerà alcuna riduzione negli attacchi da rootkit fintanto che non verrà rilasciato il nuovo Windows Vista, ancora all’orizzonte. L’azienda fa notare, inoltre, come il sistema operativo Microsoft sia quello maggiormente bersagliato in primo luogo per la sua ampia diffusione e poi per il fatto che “sotto il cofano”, Windows nasconde una pletora di API non documentate che diventano un obiettivo interessante per chi sviluppa rootkit.
Contemporaneamente compaiono sul web dure accuse nei confronti di uno dei più famosi software antispyware oggi disponibili in Rete ossia Ad-Aware di Lavasoft. Secondo Roy Batty di rootkit.com, il software infonderebbe nell’utente un “falso senso di sicurezza” risultando di fatto possibili numerosi attacchi nei confronti di questo programma.
Batty, con una lunga analisi tecnica, confuta gran parte delle affermazioni pubblicate da Lavasoft sul suo sito web. In particolare viene fatto notare come Ad-Aware non si “autodifenda” adeguatamente dall’azione di rootkit e malware: le definizioni utilizzate dal programma ed aggiornabili via Internet sono compresse in formato Zip e protette semplicemente con una password. Secondo Batty un malware può intercettare la procedura di aggiornamento delle definizioni ed apportare modifiche in modo da passare del tutto inosservato alle scansioni del sistema compiute con Ad-Aware.
L’articolo di Roy Batty tende a ridimensionare anche l’utilità della tecnologia CSI (Code Sequence Identification) che Lavasoft descrive come in grado di rilevare e riconoscere anche le varianti, non ancora classificate, di spyware e malware di vario genere. Si attendono le reazioni di Lavasoft, direttamente chiamata in causa.