F-Secure: Nur wenige gutartige Anwendungen setzen Rootkit-Techniken ein

Vor dem Hintergrund eines versteckten Ordners in Symantecs Programms SystemWorks hat sich der Symantec-Konkurrent F-Secure zu Wort gemeldet. Im Blog der F-Secure Security Labs geben die Sicherheitsspezialisten zu Protokoll, dass Ihnen nur wenige gutartige Anwendungen untergekommen sind – weniger als ein Dutzend –, die Rootkit-artiges Cloaking einsetzen, die also Daten oder Anwendungsteile vor dem Anwender zu verstecken versuchen. Dabei meinen sie ausdrücklich nicht vom Betriebssystem bereitgestellte Funktionen wie das "hidden "-Dateiattribut, sondern darüber hinausgehende Maßnahmen. Bei den meisten handele es sich auch um "sehr seltene Tools". Um welche Programme es sich handelt, listet der Beitrag allerdings nicht auf.

Cloaking ist insofern auch bei gutartigen Anwendungen kritisch, da bösartige Programme wie Trojaner es für ihre Zwecke nutzen könnten. Aus diesem Grund will Symantec eine entsprechende Funktion aus seinem Produkt entfernen. Bei den von F-Secure begutachteten Programmen besteht laut dem Blog-Beitrag wenig Gefahr. Die Anwendungen seien allesamt so sicher konzipiert, dass Angreifer sie kaum ausnutzen können. Nichtsdestotrotz halten sie Cloaking bei gutartigen Anwendungen für eine grundsätzlich falsche Herangehensweise.

Einen Einblick in Rootkit-Technik gibt der Artikel Windows Rootkits 2005 von James Butler und Sherri Sparks auf heise security. Die Legitimation von Rootkits in gutartigen Anwendungen hinterfragt Jürgen Schmidts Kommentar. (jo)