Der Patch heiligt die Mittel
Die Ächtung von Rootkits hat sich als allgemeiner Konsens weit über die Security-Gemeinde hinaus durchgesetzt. Technisch lässt sie sich jedoch nicht begründen.
Rootkits sind böse! Diese Ächtung hat sich als allgemeiner Konsens weit über die Security-Gemeinde hinaus durchgesetzt. Damit fällt es leicht, Autoren von Rootkits wie Hacker Defender als Bösewichte zu brandmarken und Sony-BMGs Kopierschutz zu verdammen. Konzeptstudien wie das FU Rootkit stellt man gleich mit in die schwarze Ecke. Schließlich leisten sie den kriminellen Wurmautoren Vorschub, wie man an den ersten RBot-Samples mit Rootkit-Funktionen aus FU ja leicht sehen konnte.
Technisch lässt sich diese Sippenhaft jedoch nicht begründen. Denn viele der Rootkit-Techniken haben durchaus nützliche Anwendungen. Wer sich beispielsweise den provisorischen WMF-Patch von Ilfak Guilfanov genauer ansieht, wird feststellen, dass er im Prinzip genauso arbeitet wie Hacker Defender: Er klinkt sich in Bibliotheksaufrufe ein und ändert dabei das Verhalten der Originalfunktionen des Betriebssystems. Ich hab es nicht ausprobiert, bin mir aber ziemlich sicher, dass sich mit ein paar Änderungen aus dem Patch ein veritables Rootkit basteln ließe.
Viren-Scanner installieren oft Filtertreiber, um ihre Arbeit zu verrichten - eine Technik, die sich auch Sonys Kopierschutz zunutze macht. Selbst eines der kommenden Security-Highlights, Microsofts Hot Patching, beruht auf einer klassischen Rootkit-Technik. Um Fehler in Systembibliotheken auszubessern, ohne das System neu starten zu müssen, überschreibt es die ersten Bytes einer Systemfunktion mit einem Sprung auf den eigenen Code.
Wie man es auch dreht und wendet: Software ist ein Werkzeug, das sich zunächst einer moralischen Bewertung entzieht. Für die trotzdem notwendige Unterscheidung zwischen legitimer Software und Malware bleibt letztlich nur ein Kriterium: das Einverständnis des Anwenders. Wer Software mit speziellen Funktionen installiert, ohne die ausdrückliche Zustimmung desjenigen einzuholen, der für ein System verantwortlich ist, hat sich auf die Seite der Bösen geschlagen.
Im Umkehrschluss bedeutet das natürlich auch, dass man Sony-BMG streng genommen nichts mehr vorzuwerfen hätte, wenn sie vor der Installation auf die Zusatzfunktionen hinweisen würden. Mist, das :-(
Siehe dazu auch:
- Windows Rootkits 2005 auf heise Security
(ju)
