Streit um Rootkit-Techniken

In der Security-Gemeinde flammt eine Auseinandersetzung auf, ob Software Rootkit-Techniken einsetzen darf. Im Gefolge der Auseinandersetzungen um den XCP-Kopierschutz von Sony BMG werden immer mehr Applikationen bekannt, die Rootkit-ähnliche Techniken einsetzen, um Informationen vor dem Anwender zu verbergen. So hatte Symantec bei SystemWorks ein Verzeichnis mit Sicherheitskopien vor dem Zugriff über Systemfunktionen versteckt. Ähnlich wie bei Sony-BMG konnten auch hier Schädlinge dieses Loch ausnutzen, um Antiviren-Software auszutricksen, sodass Symantec diese Funktion aus Sicherheitsgründen entfernt hat.

Weniger eindeutig ist der Fall beim neuesten Beschuldigten, dem AV-Hersteller Kaspersky. Dieser blendet spezielle ADS-Streams mit Prüfsummen aus, ohne dass nach bisherigem Kenntnissstand damit ein konkretes Sicherheitsproblem entstünde. Deshalb beharrt Kaspersky nicht nur darauf, dass der Einsatz dieser Technik legitim sei, sondern auch, dass es falsch sei, sie als Rootkit zu bezeichnen.

Daran zeigt sich schon, dass sich die Kontrahenten nicht einmal auf eine gemeinsame Definition des Begriffs Rootkit einigen können. Viele Experten verwenden ihn weitgehend wertfrei und heben darauf ab, dass ein Rootkit Informationen vor anderen Programmen und dem Betriebssystem versteckt. Andere beziehen die (böswillige) Absicht beziehungsweise ein mit der Software verbundenes Sicherheitsrisiko in die Definition mit ein. Angesichts des negativen Beiklangs des Begriffs in der Öffentlichkeit, die damit Einbrüche in Computer und Schadsoftware assoziiert, wollen Software-Hersteller ihre Produkte natürlich nicht mit diesem Etikett brandmarken lassen und weisen Vorwürfe, sie würden Rootkit-Techniken einsetzen, weit von sich.

Aber auch darüber, was Software darf, besteht keine Einigkeit. Der renommierte Windows-Experte Mark Russinovich vertritt die Ansicht, dass es überhaupt keinen legitimen Grund für den Einsatz von Rootkit-Techniken gebe. Wann immer ein Software-Entwickler glaube, dass ein Rootkit notwendiger Bestandteil seiner Architektur sei, solle er seine Architektur ändern. Derartige Tarnkappen würden die Administration und Wartung eines Systems erschweren oder gar unmöglich machen.

Eine Gegenposition vertritt unter anderem Sicherheitsexperte Greg Hoglund, Autor des ersten Windows-Rootkits. Um beispielsweise einen manipulationssicheren Container in Software zu realisieren, komme man um den Einsatz von Rootkit-Techniken nicht umhin, da dies die stärkste verfügbare Technik zum Schutz von Software sei, argumentiert er. Auch Eugene Kaspersky hält es für grundsätzlich legitim, beispielsweise Dateien zu verstecken, da ohnehin niemand alles wisse, was sich auf seinem System befindet.

Dass sich in der Tat auch die IT-Welt nicht so einfach in Schwarz und Weiß aufteilen lässt, illustriert der inoffizielle WMF-Patch. Er klinkt sich ins System ein, um spezielle API-Aufrufe abzufangen und zu filtern – genau wie es auch viele Rootkits tun. Streng genommen müssten auch Sicherheitserweiterungen für Linux wie Systrace oder AppArmor unter Russinovichs Rootkit-Verdikt fallen.

Die Techniken moderner Rootkits stellt der erste Teil einer Artikelserie zu Windows Rootkits 2005 auf heise Security vor. Die Frage, ob es legitime Einsatzgebiete für Rootkit-Techniken gibt, diskutiert auch der aktuelle Kommentar: Der Patch heiligt die Mittel. (ju)