Rootkit: Definition und Streit - Rootkits Pro und Kontra
In der Security-Gemeinde flammt zwischenzeitlich eine heftige Auseinandersetzung auf, ob Software Rootkit-Technik eingesetzt werden darf. In der Folge der Auseinandersetzungen um den XCP-Kopierschutz von Sony BMG werden immer mehr solche Applikationen bekannt, die Rootkit-ähnliche Techniken einsetzen, um eben Informationen vor dem Anwender zu verbergen.
So hatte z. B. Symantec bei SystemWorks ein Verzeichnis mit Sicherheitskopien vor dem Zugriff über Systemfunktionen versteckt. Ähnlich wie bei Sony-BMG konnten aber eben auch hier Schädlinge dieses Loch ausnutzen, um Antiviren-Software auszutricksen, sodass Symantec diese Funktion aus Sicherheitsgründen dann wieder entfernt hat.
Weniger eindeutig, dennoch diese Technik bestätigend, ist der Fall beim neuesten Beschuldigten, dem AV-Hersteller Kaspersky. Dieser blendet spezielle ADS-Streams mit Prüfsummen aus, ohne dass nach bisherigem Kenntnissstand damit ein konkretes Sicherheitsproblem entstünde. Deshalb beharrt Kaspersky nicht nur darauf, dass der Einsatz dieser Technik legitim sei, sondern auch, dass es falsch sei, sie als Rootkit zu bezeichnen. Aber was ist sie dann?
Daran zeigt sich nun, dass sich die Kontrahenten nicht einmal auf eine gemeinsame Definition des Begriffs Rootkit einigen können, jeder kocht wieder sein Süppchen. Viele Experten verwenden ihn weitgehend wertfrei und heben darauf ab, dass ein Rootkit Informationen vor anderen Programmen und dem Betriebssystem versteckt. Verstecken heißt nicht immer durch Dritte ausnutzbar, oder doch? Andere beziehen die (böswillige) Absicht beziehungsweise ein mit der Software verbundenes Sicherheitsrisiko in die Definition mit ein. Angesichts des negativen Beiklangs des Begriffs in der Öffentlichkeit, die damit Einbrüche in Computer und Schadsoftware assoziiert, wollen Software-Hersteller ihre Produkte natürlich nicht unbedingt mit diesem Ettiket brandmarken lassen und weisen Vorwürfe, sie würden Rootkit-Techniken einsetzen, somit weit von sich.
Aber auch darüber, was Software darf, besteht überhaupt keine Einigkeit. Der renommierte Windows-Experte Mark Russinovich vertritt die Ansicht, dass es überhaupt keinen legitimen Grund für den Einsatz von Rootkit-Techniken gebe. Wann immer ein Software-Entwickler glaube, dass ein Rootkit notwendiger Bestandteil seiner Architektur sei, solle er seine Architektur ändern. Derartige Tarnkappen würden die Administration und Wartung eines Systems erschweren oder gar unmöglich machen.
Eine Gegenposition vertritt unter anderem Sicherheitsexperte Greg Hoglund, Autor des ersten Windows-Rootkits. Um beispielsweise einen manipulationssicheren Container in Software zu realisieren, komme man um den Einsatz von Rootkit-Techniken nicht umhin, da dies die stärkste verfügbare Technik zum Schutz von Software sei, argumentiert er. Auch Eugene Kaspersky hält es für grundsätzlich legitim, beispielsweise Dateien zu verstecken, da ohnehin niemand alles wisse, was sich auf seinem System befindet. Verstecken hat aber etwas anrüchiges. Offen ansprechen scheint tabu, warum? Ist diese Software sicher, so kann sie auch nicht ausgenutzt und somit offen benannt werden, oder?
Dass sich in der Tat auch die IT-Welt nicht so einfach in Schwarz und Weiß aufteilen lässt, illustriert der inoffizielle WMF-Patch. Er klinkt sich ins System ein, um spezielle API-Aufrufe abzufangen und zu filtern – genau wie es auch viele Rootkits tun. Streng genommen müssten auch Sicherheitserweiterungen für Linux wie Systrace oder AppArmor unter Russinovichs Rootkit-Verdikt fallen.
Die Techniken moderner Rootkits stellt der erste Teil einer Artikelserie zu Windows Rootkits 2005 auf heise Security vor.
Rootkits: Legitim? Illegal? Fleisch oder Fisch...?
Quelle: http://www.heise.de