In der Security-Gemeinde findet eine Auseinandersetzung statt, ob Software Rootkit-Techniken einsetzen darf. Aufgrund der Diskussionen um den XCP-Kopierschutz von Sony BMG werden immer mehr Applikationen bekannt, die Rootkit-ähnliche Techniken einsetzen. So hatte Symantec bei SystemWorks ein Verzeichnis mit Sicherheitskopien vor dem Zugriff über Systemfunktionen versteckt. Genau wie bei Sony-BMG konnten auch hier Schädlinge dieses Loch ausnutzen, um Antiviren-Software auszutricksen. Symantec hat diese Funktion aus Sicherheitsgründen entfernt.

Weniger eindeutig ist der Fall beim AV-Hersteller Kaspersky. Dieser blendet spezielle ADS-Streams mit Prüfsummen aus, ohne dass nach bisherigem Kenntnissstand damit ein konkretes Sicherheitsproblem entstünde. Deshalb beharrt Kaspersky nicht nur darauf, dass der Einsatz dieser Technik legitim sei, sondern auch, dass es falsch sei, sie als Rootkit zu bezeichnen.

Daran zeigt sich schon, dass der Begriff Rootkit nicht eindeutig definiert verwendet wird. Viele Experten verwenden ihn weitgehend wertfrei, dass ein Rootkit Informationen vor anderen Programmen und dem Betriebssystem versteckt. Andere beziehen die böswillige Absicht und ein mit der Software verbundenes Sicherheitsrisiko in die Definition mit ein. Angesichts des negativen Beiklangs des Begriffs in der Öffentlichkeit, wollen Software-Hersteller ihre Produkte natürlich nicht mit diesem Etikett brandmarken lassen.

Der renommierte Windows-Experte Mark Russinovich vertritt die Ansicht, dass es überhaupt keinen legitimen Grund für Rootkit-Techniken gebe. Solche Tarnkappen würden die Administration und Wartung eines Systems erschweren oder unmöglich machen.

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE