Nye rootkits umulige at afsløre

En helt ny type rootkits er netop præsenteret på sikkerhedskonference i USA. De nye rootkits er umulige at finde for selv de skrappeste værktøjer.

På sikkerhedskonferencen Black Hat, som afholdes i øjeblikket i USA, har forskeren Joanna Rutkowska demonstreret, hvordan såkaldte rootkits kan gemme sig for selv de mest gennemgribende undersøgelsesmetoder. Det skriver Infoworld.

Et rootkit er et stykke ondsindet software, der gør det muligt for andre ondsindede komponenter at skjule sig for antivirusprogrammer og anden sikkerhedssoftware på det inficerede system.

Det betyder, at antivirus-software ikke kan finde de ondsindede programmer, og at brugere kan benytte en kompromitteret computer i den tro, at de bliver beskyttet af antivirus og andre sikkerhedsprogrammer.

Den sikreste måde at detektere et rootkit er ved hjælp af hardware-baserede værktøjer. Men Joanna Rutkowska har på konferencen demonstreret, hvordan rootkits kan gemme sig på en sådan måde, at selv disse værktøjer kommer til kort.

Ifølge Rutkowska burde computer-producenterne overveje, om maskinernes design skal ændres på en måde, så det bliver muligt at efterforske computerens hukommelse for ondsindede programmer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Helge Svendsen

Jeg synes at huske et værktøj til bsd/nix, der gemmer en md5 checksum på de forskellige executables i systemet. Der skal ret meget kreativitet til at patche en fil uden at dens md5 sum også ændres.

Drejer dette her sig om windows eller andre platforme - jeg synes ikke jeg kan se det nogetsteds.

  • 0
  • 0
#2 Poul-Henning Kamp Blogger

Hvis du først har inficeret selve kernen på en unix maskine, så er selv checksums ikke nogen hjælp.

Fundamentalt, så er det her et problem der ikke kan løses teoretisk, man kan kun, i praksis, gøre det så svært som muligt.

Det kræver en helt anden designfilosofi en den der er markedsdrivende for tiden, både for hardware, operativsystem og software.

God læsning: "End to end arguments" og "Reflections on trusting trust".

Poul-Henning

PS: Du tænker sikkert på "tripwire"

  • 0
  • 0
#3 Karsten Nyblad

Allerede for mange år side var der en, der lave en ændring til en C compiler, så når man oversatte password checket, blev der indsat code, så et bestemt password altid blev accepteret. Næste skridt var så at ændre C compileren, så den indlagde ændringerne i sig selv, når compileren blev oversat. (Compileren var også skrevet i C og blev brugt til at oversætte sig selv.) Da først compileren var oversat, fjernede han ændringerne fra kildekode til compileren. Til slut er der altså ikke noget sted i kildekoden, at systemet var usikkert, men det bestemte passwordet blev stadig sat ind i password checket, også efter at compileren var blevet genoversat adskillige gange.

Det vil ikke tage så lang tid at ændre md5checksum, så den returnerer bestemte resultater for bestemte filer. Derefter retter man programmer, der opdaterer systemet, så de holder md5checksum opdateret når de bestemte filer bliver opdateret. Nemt? Nej, men heller ikke mere end et par måneders arbejde. Nemt at betale for en forbryderisk organisation.

  • 0
  • 0
#6 Helge Svendsen

Nej, det siger sig selv at hvis man har magt over kernel er man Gud på serveren. Eller root i hvert fald.

Tak for læsetippet, men den tror jeg trods alt jeg kan regne ud med alm. snusfornuft ;-D

Ja, det er tripwire jeg tænkte på.

  • 0
  • 0
Log ind eller Opret konto for at kommentere