Um invasor, ao realizar uma invasão, pode utilizar mecanismos para esconder e assegurar a sua presença no computador comprometido. O conjunto de programas que fornece estes mecanismos é conhecido como rootkit.

É muito importante ficar claro que o nome rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para mantê-lo. Isto significa que o invasor, após instalar o rootkit, terá acesso privilegiado ao computador previamente comprometido, sem precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador.

8.1. Que funcionalidades um rootkit pode conter?

Um rootkit pode fornecer programas com as mais diversas funcionalidades. Dentre eles, podem ser citados:

• programas para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretórios, processos, conexões de rede, etc;
• backdoors (vide seção 4), para assegurar o acesso futuro do invasor ao computador comprometido (presentes na maioria dos rootkits);
• programas para remoção de evidências em arquivos de logs;
• sniffers⁸, para capturar informações na rede onde o computador está localizado, como por exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer método de criptografia;
• scanners⁹, para mapear potenciais vulnerabilidades em outros computadores;
• outros tipos de malware, como cavalos de tróia, keyloggers, ferramentas de ataque de negação de serviço, etc.

8.2. Como posso saber se um rootkit foi instalado em um computador?

Existem programas capazes de detectar a presença de um grande número de rootkits, mas isto não quer dizer que são capazes de detectar todos os disponíveis (principalmente os mais recentes). Alguns destes programas são gratuitos e podem ser obtidos pela Internet (antes de obter um programa para a detecção de rootkits pela Internet, verifique sua procedência e certifique-se que o fabricante é confiável).

Como os rootkits são projetados para ficarem ocultos, ou seja, não serem detectados pelo responsável ou pelos usuários de um computador, sua identificação é, na maioria das vezes, uma tarefa bem difícil. Deste modo, o melhor é procurar evitar que um rootkit seja instalado em seu computador (vide seção 8.3).

8.3. Como posso proteger um computador dos rootkits?

Apesar de existirem programas específicos para a detecção de rootkits, a melhor forma de se proteger é manter o sistema operacional e os softwares instalados em seu computador sempre atualizados e com todas as correções de segurança (patches) disponíveis aplicadas, para evitar que possuam vulnerabilidades.

Desta forma, você pode evitar que um atacante consiga invadir seu computador, através da exploração de alguma vulnerabilidade, e instalar um rootkit após o comprometimento.