Los rootkits han estado presentes durante mas de 10 aos.

Un rootkits es una caja de herramientas que consta de programas pequeos y utiles que permiten que un atacante mantenga el acceso root o administrador, que es el usuario mas importante sobre una computadora. En otras palabras un rootkits es un juego de programas y clave que admite una presencia permanente o consistente y no detectable sobre una computadora. La palabra clave es no detectable, la mayor parte de la tecnologa y los trucos empleados por un rootkit son diseados para esconder la clave y los datos sobre un sistema. Por ejemplo, muchos rootkits pueden esconder archivos y directorios. Otra caracterstica de un rootkit son generalmente para el acceso remoto y espionaje, ejm para olfatear paquetes de la red, cuando se combinan estas caractersticas se abren inmensas brechas en la seguridad. Pero los rootkits no son intrnsecamente malos, es importante tener en cuenta que es solo una tecnologa, hay muchos programas comerciales legitimos que proveen administracin remota , algunos de estos programas pueden ser usados de forma invisible. Un rootkits no es un virus Un virus es un programa que se auto propaga, por contraste un rootkits no hacecopias de si mismo. Un rootkit esta bajo el control absoluto del atacante humano mientras que un virus no. Este permite a un atacante se quede con el control completo, ya que un virus es ruidoso y sin control. Objetivos de un rootkits Es objetivo principla no es necesariamente acceder al directorio raz del sistema anfitrin, si bien pueden incluir programas diseados para obtener ese tipo de acceso administrativo, su objetivo es habilitar al intruso para mantener y aprovechar un punto dbil no detectado en el sistema. Objetivos secundarios pueden ser Ocultar los trastros de entrada de una persona intrusa en ordenador. Ocultar la presencia de procesos o aplicaciones maliciosas. Cubrir las actividades dainas como si fueran realizada por programas legitimos. Ocultar la presencia de exploits, backdors. Recolectar la informacin a la que la persona intrusa no podra tener acceso o acceso total de otra manera. Utilizar al sistema comprometido como intermediario para llevar a cabo otras intrusiones y/o ataques maliciosos.

Por que existen los rootkits? Son una invencin relativamente reciente. Las personas quieren ver o controlar lo que la otras personas estn haciendo. Con la dependncia inmensa en los istemas y el inmenso procesamiento de datos que se hace a diario, las computadoras son los nuevos objetivos. Los rootkits son utiles si queremos mantener el acceso para un sistema, si todo lo que necesitamos hacer es robar algo y partir, no hay razn de dejar un rootkits, dejar uno abre al riego para la deteccin, si usted toba algo y limpia el sistema usted no puede dejar rastro de su operacin. Los rootkits proveen dos funciones principales: comando y control remoto, y escucha oculta de software(sniffer) Comando y control remoto Puede incluir el control sobre archivos, causando los reinicios o las pantallas azules y accediendo al Shell de los comandos. Sniffer Un software escucha en la red, esto implica olfatear paquetes, interceptar las pulsciones de teclado y leer el correo electrnico. Un atacante puede usar estas tcnicas para capturar contraseas y decifrar archivos, o incluso claves criptogrficas. Usos legitimos de rootkits Por ejm pueden ser usados por los organismos de la ley para recolectar pruebas, estoes aplicable a cualquier crimen en que una computadora es usada, como la intrusin de sistemas, crear o distribuir pornografa a menores, piratera de software o musica. Tambin para librar guerras. Las naciones y sus ejrcitos dependen de los sistemas de computacin en exeso, si estas computadoras fallan, el ciclod e decisin y las operaciones del enemigo pueden ser afectados. Los beneficios de usar una computadora en vez de un ataque convencional incluyen: Cuesta menos dinero, guarda soldados del peligro, causa poco dao colaterala la poblacin civil. Como trabajan los rootkits? Trabajan usando un concepto simple llamado modificacin. En general el software es diseado para hacer desiciones especificas basadas en datos muy especficos. Un rootkit ubica y modifica el software para que tome desiciones incorrectas. Rootkits modo usuario Es decir un rootkit podra alterar muchos programas que los usuarios y los administradores ejecutan, por que manipulan los elementos a nivel de usuario en el sistema operativo.

Rootkits modo usuario en unix Los rootkits fueron creados originalmente para los sistemas unix. Los ambientes de UNIX estn muy bien adapados a los ataques de rootkit, dad su confianza hacia la cuenta root. Con una cuenta tipo root, un atacante puede configurar de nuevo el S:O, sobreescribir archivos, cambiar logs. Adems los administradores de UNIX confian bastante en los programas de lnea de comando para determinar el estado de sus sistemas. Con el acceso root, un atacante tiene todos los permisos requeridos para subsistuir estos programas de lnea de comando, alterando el sistema para satisfacer sus necesidades. Rootkits modo usuario en Windows Modifican el software critico del sistema operativo para permitir que un atacante acceda y se oculte en la maquina, se utilizan en algunas herramientas sobre Windows , pero no hay muchos tan sofisticados como en UNIX. Hay varias razones de este fenmeno: Pusieron su objetivo en el ncleo mas que en el modo usuario. Es un sistema operativo cerrado asi que requiere mas trabajo Windows no esta tan bien documentado como unix Rootkits del nucleo Utiliza medios mucho mas sofisticados. El sistema operativo es un nucleo de software que provee servicios a otros programas en la computadora. Muchos sistemas operativos procesan tareas mltiples, permitiendo que programas mltiples sean operativos simultneamente. La mayora de rottkits del nucleo sincluyen las siguientes caractersticas: Ocultacin de archivos del directorio Ocultacin de procesos Ocultacin de puertos en la red Reedireccion en la ejecucin. Interceptacin de dispositivos y control. Tecnologas ofensivas para los rootskits HIPS Sistema de prevencin intrusin avanzado en host

Para un rootkit la amenaza mas grande es la tecnologa HIPS, un HIPS puede detectar un rootkit a veces cuando se instala, y tambin puede interceptarlo cuando se comunica con la red. Cuando un atacante quiera usar un rootkit contra un sistema protegido por HIPS tiene dos elecciones : evitar los HIPS o escoger otro objetivo mas fcil.