Nieuwe rootkits ook onzichtbaar voor 'ram-lezers'
Gepubliceerd: Dinsdag 6 maart 2007
Auteur: Niels de Rijk
Nieuwe, meer geavanceerde rootkits weten zich zodanig te verhullen dat ze compleet onvindbaar zijn, óók voor de meest betrouwbare detectiemethoden.
Beveiligingsexpert Joanna Rutkowska stelt dat er rootkits in omloop zijn die 'op geen enkele manier' kunnen worden ontdekt. De rootkits kunnen een machine laten vastlopen wanneer gebruikers proberen het geheugen te lezen, of misleiden gebruikers met valse informatie.
Detectiesystemen die een 'image' maken van het ram, zoals Tribble, Copilot en de Ram Capture Tool kunnen de rootkits daarom niet vinden, aldus Rutkowska.
"We leven in de 21ste eeuw, maar blijkbaar zijn we nog steeds niet in staat om op een betrouwbare manier computergeheugen uit te lezen", zo concludeert de onderzoekster op de Black Hat-conferentie in Arlington (Virginia). "Misschien moeten we het ontwerp van onze computers herzien."
Het is niet de eerste keer dat Rutkowska een discussie start over een precair beveiligingsprobleem. Zo gaf ze eerder aan niet gelukkig te zijn met de user account control in Windows Vista, omdat gebruikers verplicht zijn om voor het uitvoeren van een bestand hun rechten 'op te tillen', ook als ze dat niet willen.
Verder worden 'integrity level breaches' toegestaan, hetgeen betekent dat een proces met een lage integriteit een object mag creëren dat gebruikt wordt door een proces met een hogere integriteit.
Het eerste probleem is onoverkomelijk, geeft Rutkowska toe. Maar het tweede is volgens haar simpelweg 'een bug in uac'.
Bron: Techworld
