La presenza di tecnologie di controllo a livello kernel rende più difficile l’attacco da parte dei rootkit.
Ho letto che le versioni a 64 bit di Windows 7 sono più sicure nei confronti dei malware. E’ vero? C’è qualche motivo particolare?
In effetti, Windows Vista e Windows 7 x64, fino a poco tempo fa erano difficilmente presi di mira dagli autori di rootkit (non di malware in generale), principalmente per questi motivi:
- Vista e Windows 7 x64 utilizzano un severissimo controllo sulle firme digitali e non permettono a qualunque driver di accedere alla regione di memoria utilizzata dal kernel del sistema operativo. Se un driver non dovesse apparire firmato digitalmente, Windows ne impedisce automaticamente il caricamento. Questa tecnica protegge il sistema nei confronti dei rootkit “kernel mode” dal momento che i malware di solito non dispongono di una firma digitale.
- Le versioni a 64 bit di Windows utilizzano PatchGuard (Kernel Patch Protection), un livello di difesa aggiuntivo che impedisce eventuali tentativi di modifica delle aree “sensibili” che compongono il kernel del sistema operativo.
Lo scenario però è mutato con la comparsa in Rete di TDL3, nuova variante del famoso rootkit che, per compromettere anche i sistemi a 64 bit, sfrutta l’espediente di infettare il Master Boot Record (MBR) del disco fisso.