In der Security-Gemeinde findet eine Auseinandersetzung statt,
ob Software Rootkit-Techniken einsetzen darf. Aufgrund der Diskussionen
um den XCP-Kopierschutz von Sony BMG werden immer mehr Applikationen
bekannt, die Rootkit-ähnliche Techniken einsetzen. So hatte
Symantec bei SystemWorks ein Verzeichnis mit Sicherheitskopien vor
dem Zugriff über Systemfunktionen versteckt. Genau wie bei
Sony-BMG konnten auch hier Schädlinge dieses Loch ausnutzen,
um Antiviren-Software auszutricksen. Symantec hat diese Funktion
aus Sicherheitsgründen entfernt.
Weniger eindeutig ist der Fall beim AV-Hersteller Kaspersky. Dieser
blendet spezielle ADS-Streams mit Prüfsummen aus, ohne dass
nach bisherigem Kenntnissstand damit ein konkretes Sicherheitsproblem
entstünde. Deshalb beharrt Kaspersky
nicht nur darauf, dass der Einsatz dieser Technik legitim sei, sondern
auch, dass es falsch sei, sie als Rootkit zu bezeichnen.
Daran zeigt sich schon, dass der Begriff Rootkit nicht eindeutig
definiert verwendet wird. Viele Experten verwenden ihn weitgehend
wertfrei, dass ein Rootkit Informationen vor anderen Programmen
und dem Betriebssystem versteckt. Andere beziehen die böswillige
Absicht und ein mit der Software verbundenes Sicherheitsrisiko in
die Definition mit ein. Angesichts des negativen Beiklangs des Begriffs
in der Öffentlichkeit, wollen Software-Hersteller ihre Produkte
natürlich nicht mit diesem Etikett brandmarken lassen.
Der renommierte Windows-Experte Mark Russinovich vertritt die Ansicht,
dass es überhaupt keinen legitimen Grund für Rootkit-Techniken
gebe. Solche Tarnkappen würden die Administration und Wartung
eines Systems erschweren oder unmöglich machen.
(rb, hannover)
(siehe auch
Heise News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|