Ataques desse porte causaram prejuízos imensos a diferentes corporações, além de tornarem domínios por vezes vistos como impenetráveis em alvos fáceis à Rootkits. Com base nestes fatos, não ouve outra forma a não ser conhecer o código do mesmo a ponto de saber a função de cada linha descrita no Rootkit.
Contudo, o que não se esperava é que empresas adotassem os Rootkits como meio de defesa, o que provocou imensa instabilidade no mercado de sistemas operacionais, já que o sistema não podia ser preparado para defender-se ou ao menos identificar um possível Malware. Pior ainda era não saber descrever se o software poderia ser considerado um Malware, haja vista que, nesse caso, o Rootkit poderia ate ser benéfico.
Não foi o caso do Rootkit produzido pela multinacional Sony BMG. A mesma objetivava produzir um código que impedisse a cópia pirata ou reprodução indevida dos seus CDs. O fato ficou conhecido internacionalmente e o que o levou a conquistar o nono lugar no site www.softwarelivreparana.org.br, que classifica os 10 maiores escândalos da Web:
O Dia das Bruxas de 2005 foi especialmente assustador para a Sony BMG Music. Na data, o técnico da Microsoft Mark Eussinovich colocou um post curioso em seu blog relatando que enquanto fazia uma varredura em seu HD, havia descoberto um rootkit - ferramenta utilizada por hackers para mascarar a presença de malware - advindo de um CD da gravadora.
O escândalo tornou-se uma bola de neve conforme outros blogueiros entravam na onda e a grande mídia explorava a história. Primeiro, a Sony negou que seu software de proteção anti-cópia havia transformado meio milhão de PCs em um parque de diversões para hackers. Depois, lançou uma "correção" que, obviamente, não funcionou. Por fim, cedeu à pressão publica e propôs aos usuários desinstalar o kit e substituir os CDs - mas era tarde e a reputação da empresa já estava tão mal ou pior do que os discos-rígidos dos usuários.
(Em:
http://www.softwarelivreparana.org.br/modules/news/article.php?storyid=1491)
O problema de repercussão mundial por sua vez não inibiu a outras organizações, as quais dedicaram profissionais com total exclusividade para estudar os Rootkits, mais uma vez o estudo foi até sua implantação como meio de devesa, ocasionando opiniões diversas sobre o assunto, já que desta vez empresas voltadas a área de segurança estavam aderindo aos códigos considerados maliciosos:
O mesmo especialista de segurança que, durante o final do ano passado, trouxe a público o uso de rootkits pela gravadora Sony BMG em seus CDs de música critica agora as empresas de segurança Symantec e Kaspersky por produzirem softwares que utilizam a mesma técnica escusa.
Mark Russinovich, arquiteto chefe de softwares na Winternals, diz que os métodos empregados pelo Norton SystemWorks, da Symantec, e Kaspersky Antivírus são idênticos aos de rootkits, um termo usualmente reservado a técnicas utilizadas por softwares maliciosos para impedir a sua detecção em um computador infectado.
(Em:
http://www.baboo.com.br/absolutenm/templates/content.asp?...)
Uma imagem negativa originou-se depois das ultimas noticiais, levantando duvidas sobre a verdadeira utilidade dos Rootkits e sobre seus criadores, por sua vez softwares com códigos totalmente analisados por programadores especializados na área de segurança da informação foram descritos como benéficos e classificados como seguros e Anti-Rootkit.
Criadores destes softwares foram incentivados a continuarem o trabalho levando posteriormente a área de segurança da informação a recuperar sua estabilidade. O ambiente
Linux foi o primeiro a ser protegido. Neste caso, o software projetado foi o chkrootkit. Ele é implementado em ambientes Linux/Unix objetivando através das suas descrições sobre os comandos identificar pelas estruturas condicionais se o sistema esta ou não comprometido, o chkrootkit foi tão bem aceito que em pouco tempo uma Home Page foi construída e através dela muitos profissionais que utilizavam sistemas compatíveis puderam identificar a presença do Rootkit no kernel.
Sua construção se desencadeou por volta de 1997 a qual já dispunha de métodos de investigação forenses para investigação no kernel. Um exemplo a ser citado é a produção do script que avalia possíveis modificações no comando su, presente em todos os ambientes Linux/Unix:
chk_su () {
STATUS=${NOT_INFECTED}
SU_INFECTED_LABEL="satori|vejeta"
CMD=`loc su su $pth`
if [ "${EXPERT}" = "t" ]; then
expertmode_output "${strings} -a ${CMD}"
return 5
fi
if ${strings} -a ${CMD} | ${egrep} \
"${SU_INFECTED_LABEL}" > /dev/null 2>&1
then
STATUS=${INFECTED}
fi
return ${STATUS}
}
(Em:
http://www.chkrootkit.org/papers/chkrootkit-ssi2001.pdf)
O script, segundo a produtora do Anti-rootkit, é muito funcional, porém pode sofrer problemas com relações às distribuições que diferem umas das outras. Neste código teste de cadeias modificadas por Rootkits é realizado, a
www.chkrootikit.org ainda explica sobre outros comandos que passam por verificação e auditoria, no entanto todos com o intuito de se identificar mudanças na função original e desta forma procurando-se identificar a presença de um possível malware. Ressalta-se ainda a criação de um repositório on-line com informações sobre Rootkits. Estes, serão usados pelo chkrootkit para melhorar ainda mais suas técnicas auditoras implantadas no kernel dos sistemas operacionais.
Atualmente, diversas empresas como Microsoft, Kaspersky, Symantec, McAfae entre outras, possuem mecanismos eficientes contra Rootkits, todavia isso não torna os Rootkits menos eficientes. Situações pertinentes a infiltrações dos Rootkits no kernel ainda são comuns, e algumas vezes elas por levarem o nome de Spyware, usuários pensam ser um simples vírus, isso contribui ainda mais para manifestações dos malwares, já que não há muita preocupação com relações a desktops.
Pesquisas avançadas sobre mecanismos de infecção de desktops estão sendo elaboradas:
A pesquisadora de segurança Joanna Rutkowska, conhecida por desfazer os mecanismos de segurança do Windows, promete demonstrar novas possibilidades de hackers invadirem o sistema operacional Windows Vista.
O treinamento promete demonstrar novos rootkits desenvolvidos para o Vista, além de debater sobre maneiras de derrubar sistemas e técnicas que a Microsoft provavelmente preferiria que o mundo não conhecesse.
(Em:
http://idgnow.uol.com.br/seguranca/2007/04/30/idgnoticia.2007-04-30.1275130763/)
Outras declarações observadas no site apontam também para Rootkits modernos, os quais se utilizam de recursos muito avançados provenientes de técnicas associadas ao uso de memória combinado com hardware.