Mellékleteink: HUP | Gamekapocs
Keres

Rootkit a Norton SystemWorks segédprogramban

Bodnár Ádám, 2006. január 12. 09:41
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

[News.com/eWeek/HWSW] A Symantec kijavította a Norton SystemWorks szoftver egyik hibáját, amely lehetőséget adott rosszindulatú felhasználók számára, hogy a számítógépeken ártó szándékú programokat rejtsenek el.

[News.com/eWeek/HWSW] A Symantec kijavította a Norton SystemWorks szoftver egyik hibáját, amely lehetőséget adott rosszindulatú felhasználók számára, hogy a számítógépeken ártó szándékú programokat rejtsenek el.

Már van javítás

A SystemWorks egyik komponense, a Norton Protected Recycle Bin úgy tárolta a fájlokat, hogy azokhoz még a Windows operációs rendszer és a víruskeresők sem tudtak hozzáférni. A vállalat szerint a szolgáltatás segítségével visszaállíthatók a véletlenül letörölt állományok. "Ez a támadó számára olyan helyet biztosíthat, ahol elrejtheti rosszindulatú kódjait" -- ismerte be a Symantec. Bár a biztonsági cég egyelőre nem értesült a SystemWorks hibáját kihasználó támadásról, most mégis kiadott egy javítást.

A vállalat közleménye szerint a kártékony programokat készítő rosszindulatú felhasználók által használt technikák miatt újra kellett gondolni, vajon a rejtett könyvtár előny vagy inkább hátrány-e. A javítás telepítése után a Protected Recycle Bin által létrehozott NProtect könyvtár már látható lesz a Windowsban és a víruskereső programok is elérhetik a benne található fájlokat. A frissítés a Symantec LiveUpdate segítségével máris elérhető.

Russinovich újra akcióban

A SystemWorks hibáját az F-Secure biztonsági cég és az a Mark Russinovich fedezte fel, aki korábban a Sony rootkiten alapuló másolásvédelmi eljárását is "lebuktatta". A rootkitek jellemzője, hogy képesek elrejteni saját magukat, más rosszindulatú kódokat, illetve a létezésükre utaló bármilyen nyomot, így miután feltelepülnek egy számítógépre, sem a felhasználó, sem a biztonsági szoftverek nem képesek észlelni.

Russinovich az eWeeknek elmondta, aggodalomra ad okot, hogy egyre több cég használ rootkiteket. "Ha rootkitekhez hasonló technikákat használsz, még ha a legjobb szándékkal is, a felhasználó többé nem ura a gépnek. Ezután lehetetlen dolog a biztonságot fenntartani, hiszen az ellenőrzés nincs teljes mértékben a tulajdonos kezében" -- véli Russinovich. A szakértő szerint az is veszélyes lehet, ha a kereskedelmi alkalmazások rootkitjei megváltoztatják a Windows viselkedését, vagy esetleg megzavarják egymás működését.

Biztonsági szempontból a legnagyobb fenyegetést azonban az jelenti, ha a rosszindulatú felhasználók a rootkitek segítségével ártó szándékú programokat -- billentyűzetfigyelőket, trójaikat, vírusokat -- rejtenek el a számítógépeken.

Hardveres védelem a rootkitek ellen

Az Intel kutatói eközben egy hardveres védelmen dolgoznak, amely megakadályozhatja többek között azt is, hogy a rootkit technológiát használó károkozók kifejtsék kellemetlen hatásukat. Az Intel Communications Technology Lab-ban kifejlesztett System Integrity Services módszer az operációs rendszer és az alkalmazások memória-használati szokásainak megfigyelésén és elemzésén alapul. A memóriaműveletek alapján észlelhető, egy támadó vagy alkalmazás mikor próbálja meg átvenni az irányítást a gép felett.

Travis Schlüssler, az Intel Communications Lab biztonsági munkatársa szerint ha a Sytem Integrity Services ilyen kísérletet észlel, figyelmeztetést küldhet a felhasználónak. A kutatók egy kernel debugger segítségével sikerrel tesztelték a megoldást, bár egyelőre nem tudni, hogy a technológiából lesz-e konkrét termék például egy különálló biztonsági chip formájában, vagy akár az Intel alaplapi chipkészletekbe vagy processzorokba építve.