cnt

Streit um Rootkits


Artikel erschienen in Swiss IT Magazine 2006/02

     

Sicherheitsexperten und Software-Hersteller streiten sich um die Frage, was ein Rootkit ist und ob Software Rootkit-ähnliche Technologie verwenden darf oder nicht. Dabei kommt schon der Definition des Rootkits eine grosse Bedeutung zu. Das eine Lager ist der Ansicht, dass jegliche Software, die Informationen vor anderen Programmen und dem Betriebssystem versteckt, ein Rootkit ist. Währenddessen taxiert die andere Gruppe derartige Software erst dann als Rootkit, wenn das Verstecken von Informationen böswillig erfolgt oder Sicherheitslücken im System öffnet.
Dass dies auch Auswirkungen auf «gutartige» Software hat, illustriert das Beispiel Symantec System Works. System Works schützte ein Verzeichnis mit Sicherheitskopien vor dem Zugriff über Systemfunktionen – ein eigentlich harmloser Vorgang. Allerdings konnte diese Schutzfunktion auch von Malware missbraucht werden, so dass Symantec sich inzwischen gezwungen sah, die Funktion zu deaktivieren.
Aber auch bei der Frage, was Software darf, besteht keine Einigkeit. Windows-Experte Mark Russinovich stellt sich auf den Standpunkt, dass es überhaupt keinen Grund für den Einsatz von Rootkit-Technologie gibt. Andere Sicherheitsexperten wie «Rootkit-Erfinder» Greg Hoglund sehen die Verfahren dagegen als unerlässlichen Bestandteil zur Entwicklung sicherer Container an. Auch der inoffizielle WMF-Patch, der gefährliche API-Aufrufe filtert, würde in diese Kategorie gehören.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER