Rootkit a Norton SystemWorks segédprogramban
Fri, 2006.01.13 - 02:17 — müzso
[News.com/eWeek/HWSW] A Symantec kijavította a Norton SystemWorks szoftver egyik hibáját, amely lehetőséget adott rosszindulatú felhasználók számára, hogy a számítógépeken ártó szándékú programokat rejtsenek el.
A SystemWorks egyik komponense, a Norton Protected Recycle Bin úgy tárolta a fájlokat, hogy azokhoz még a Windows operációs rendszer és a víruskeresők sem tudtak hozzáférni. A vállalat szerint a szolgáltatás segítségével visszaállíthatók a véletlenül letörölt állományok. "Ez a támadó számára olyan helyet biztosíthat, ahol elrejtheti rosszindulatú kódjait" -- ismerte be a Symantec. Bár a biztonsági cég egyelőre nem értesült a SystemWorks hibáját kihasználó támadásról, most mégis kiadott egy javítást.
A vállalat közleménye szerint a kártékony programokat készítő rosszindulatú felhasználók által használt technikák miatt újra kellett gondolni, vajon a rejtett könyvtár előny vagy inkább hátrány-e. A javítás telepítése után a Protected Recycle Bin által létrehozott NProtect könyvtár már látható lesz a Windowsban és a víruskereső programok is elérhetik a benne található fájlokat. A frissítés a Symantec LiveUpdate segítségével máris elérhető.
Ez a helyes viselkedés: elismerik, hogy hibáztak és azonnal kiadják a javítást is. Bárcsak minden cég így viselkedne a baklövései napvilágra kerülése esetén.
A SystemWorks hibáját az F-Secure biztonsági cég és az a Mark Russinovich fedezte fel, aki korábban a Sony rootkiten alapuló másolásvédelmi eljárását is "lebuktatta". A rootkitek jellemzője, hogy képesek elrejteni saját magukat, más rosszindulatú kódokat, illetve a létezésükre utaló bármilyen nyomot, így miután feltelepülnek egy számítógépre, sem a felhasználó, sem a biztonsági szoftverek nem képesek észlelni.
Russinovich az eWeeknek elmondta, aggodalomra ad okot, hogy egyre több cég használ rootkiteket. "Ha rootkitekhez hasonló technikákat használsz, még ha a legjobb szándékkal is, a felhasználó többé nem ura a gépnek. Ezután lehetetlen dolog a biztonságot fenntartani, hiszen az ellenőrzés nincs teljes mértékben a tulajdonos kezében" -- véli Russinovich. A szakértő szerint az is veszélyes lehet, ha a kereskedelmi alkalmazások rootkitjei megváltoztatják a Windows viselkedését, vagy esetleg megzavarják egymás működését.
Biztonsági szempontból a legnagyobb fenyegetést azonban az jelenti, ha a rosszindulatú felhasználók a rootkitek segítségével ártó szándékú programokat -- billentyűzetfigyelőket, trójaikat, vírusokat -- rejtenek el a számítógépeken.
Nagyra becsülöm Mark Russinovich tudását és munkáját.
A weboldalán számtalan roppant hasznos segédprogram és írás található, amik nagy segítséget nyújtanak Windows-abajgatáshoz és a Windows belső működésének megértéséhez. Korábban csak Windows-guruként tartottam számon, de úgy tűnik, hogy az utóbbi időben a tudását biztonságtechnikai vizsgálatokhoz is felhasználja.
Az Intel kutatói eközben egy hardveres védelmen dolgoznak, amely megakadályozhatja többek között azt is, hogy a rootkit technológiát használó károkozók kifejtsék kellemetlen hatásukat. Az Intel Communications Technology Lab-ban kifejlesztett System Integrity Services módszer az operációs rendszer és az alkalmazások memória-használati szokásainak megfigyelésén és elemzésén alapul. A memóriaműveletek alapján észlelhető, egy támadó vagy alkalmazás mikor próbálja meg átvenni az irányítást a gép felett.
Travis Schlüssler, az Intel Communications Lab biztonsági munkatársa szerint ha a Sytem Integrity Services ilyen kísérletet észlel, figyelmeztetést küldhet a felhasználónak. A kutatók egy kernel debugger segítségével sikerrel tesztelték a megoldást, bár egyelőre nem tudni, hogy a technológiából lesz-e konkrét termék például egy különálló biztonsági chip formájában, vagy akár az Intel alaplapi chipkészletekbe vagy processzorokba építve.
Hasonló heurisztikákon alapuló megoldásokkal már több antivírus-/biztonsági-cég is megjelent a piacon. Érdekes ötlet ezeket hardveres szinten megvalósítani ... bár kissé szkeptikus vagyok, hiszen itt már komplex szoftveres problémát próbálnak meg hardverben kezelni.
A SystemWorks egyik komponense, a Norton Protected Recycle Bin úgy tárolta a fájlokat, hogy azokhoz még a Windows operációs rendszer és a víruskeresők sem tudtak hozzáférni. A vállalat szerint a szolgáltatás segítségével visszaállíthatók a véletlenül letörölt állományok. "Ez a támadó számára olyan helyet biztosíthat, ahol elrejtheti rosszindulatú kódjait" -- ismerte be a Symantec. Bár a biztonsági cég egyelőre nem értesült a SystemWorks hibáját kihasználó támadásról, most mégis kiadott egy javítást.
A vállalat közleménye szerint a kártékony programokat készítő rosszindulatú felhasználók által használt technikák miatt újra kellett gondolni, vajon a rejtett könyvtár előny vagy inkább hátrány-e. A javítás telepítése után a Protected Recycle Bin által létrehozott NProtect könyvtár már látható lesz a Windowsban és a víruskereső programok is elérhetik a benne található fájlokat. A frissítés a Symantec LiveUpdate segítségével máris elérhető.
Ez a helyes viselkedés: elismerik, hogy hibáztak és azonnal kiadják a javítást is. Bárcsak minden cég így viselkedne a baklövései napvilágra kerülése esetén.
A SystemWorks hibáját az F-Secure biztonsági cég és az a Mark Russinovich fedezte fel, aki korábban a Sony rootkiten alapuló másolásvédelmi eljárását is "lebuktatta". A rootkitek jellemzője, hogy képesek elrejteni saját magukat, más rosszindulatú kódokat, illetve a létezésükre utaló bármilyen nyomot, így miután feltelepülnek egy számítógépre, sem a felhasználó, sem a biztonsági szoftverek nem képesek észlelni.
Russinovich az eWeeknek elmondta, aggodalomra ad okot, hogy egyre több cég használ rootkiteket. "Ha rootkitekhez hasonló technikákat használsz, még ha a legjobb szándékkal is, a felhasználó többé nem ura a gépnek. Ezután lehetetlen dolog a biztonságot fenntartani, hiszen az ellenőrzés nincs teljes mértékben a tulajdonos kezében" -- véli Russinovich. A szakértő szerint az is veszélyes lehet, ha a kereskedelmi alkalmazások rootkitjei megváltoztatják a Windows viselkedését, vagy esetleg megzavarják egymás működését.
Biztonsági szempontból a legnagyobb fenyegetést azonban az jelenti, ha a rosszindulatú felhasználók a rootkitek segítségével ártó szándékú programokat -- billentyűzetfigyelőket, trójaikat, vírusokat -- rejtenek el a számítógépeken.
Nagyra becsülöm Mark Russinovich tudását és munkáját.
A weboldalán számtalan roppant hasznos segédprogram és írás található, amik nagy segítséget nyújtanak Windows-abajgatáshoz és a Windows belső működésének megértéséhez. Korábban csak Windows-guruként tartottam számon, de úgy tűnik, hogy az utóbbi időben a tudását biztonságtechnikai vizsgálatokhoz is felhasználja.Az Intel kutatói eközben egy hardveres védelmen dolgoznak, amely megakadályozhatja többek között azt is, hogy a rootkit technológiát használó károkozók kifejtsék kellemetlen hatásukat. Az Intel Communications Technology Lab-ban kifejlesztett System Integrity Services módszer az operációs rendszer és az alkalmazások memória-használati szokásainak megfigyelésén és elemzésén alapul. A memóriaműveletek alapján észlelhető, egy támadó vagy alkalmazás mikor próbálja meg átvenni az irányítást a gép felett.
Travis Schlüssler, az Intel Communications Lab biztonsági munkatársa szerint ha a Sytem Integrity Services ilyen kísérletet észlel, figyelmeztetést küldhet a felhasználónak. A kutatók egy kernel debugger segítségével sikerrel tesztelték a megoldást, bár egyelőre nem tudni, hogy a technológiából lesz-e konkrét termék például egy különálló biztonsági chip formájában, vagy akár az Intel alaplapi chipkészletekbe vagy processzorokba építve.
Hasonló heurisztikákon alapuló megoldásokkal már több antivírus-/biztonsági-cég is megjelent a piacon. Érdekes ötlet ezeket hardveres szinten megvalósítani ... bár kissé szkeptikus vagyok, hiszen itt már komplex szoftveres problémát próbálnak meg hardverben kezelni.
All of my own contents here (if not noted otherwise) are licensed under the
Creative Commons Attribution-NonCommercial-ShareAlike 4.0 License. My posts reflect my personal opinion and shall not be associated with any of my employers.
Creative Commons Attribution-NonCommercial-ShareAlike 4.0 License. My posts reflect my personal opinion and shall not be associated with any of my employers.
Recent comments
1 year 42 weeks ago
3 years 11 weeks ago
3 years 11 weeks ago
3 years 13 weeks ago
3 years 14 weeks ago
3 years 21 weeks ago
3 years 21 weeks ago
3 years 21 weeks ago
3 years 21 weeks ago
3 years 22 weeks ago