Het bedrijf Immunity heeft deze week namelijk de Debug Register Rootkit (DR) vrijgegeven. Met de tool is het volgens het Amerikaanse bedrijf mogelijk om penetratietests uit te voeren op Linuxsystemen. De rootkit kan, door zich diep in de processor kan graven en vanuit daar de debugcomponenten kan aansturen. Omdat het zelf de door de processor gegenereerde interrupts kan aansturen, hoeft het zelf niet aan de syscall tabel te komen.

Juist in dat nabootsen van een kernel debugger schuilt het gevaar, zo schrijft The Register, omdat traditionele rootkits vaak de syscall-tabel wijzigen. "Steeds meer Linuxdistributies maken het moeilijker om de syscall-tabel te manipuleren, terwijl rootkitdetectors als chkrootkit en rkhunter hier actief op controleren", zo staat op de website te lezen. Deze worden zo dus omzeild.

Het gevaar van rootkits werd altijd uitgebalanceerd door het feit dat ze niet eenvoudig te maken zijn. Maar omdat DR onder GPLv2 valt, wordt juist dat gegeven ondermijnd, zo gaat El Reg verder. "De kloof tussen scriptkiddie en hacker is zojuist een beetje kleiner geworden", zo concludeert beveiligingsanalist Charlie Miller tegenover de website.

Maar voorlopig is de rootkit nog min of meer angelloos; op kernelniveau verbergt het zich niet actief, en de rootkit ondersteunt geen symmetrische multiprocessing. Deze componenten zouden er echter relatief eenvoudig in te bouwen zijn. Monolitische kernels met module loader zouden ook nog gevrijwaard zijn van eventuele problemen, omdat het zich via insmod laadt, zo heeft Security.nl opgepikt.

Overigens is het niet de eerste keer dat Immunity iets bouwt dat eventueel is te misbruiken door kwaadwilligen: in februari vorig jaar kwam het bedrijf met Silica, een tablet waarmee in te breken viel op draadloze netwerken. Bron: Techworld