Rootkit expert: Doe niet zo moeilijk over rootkits
De afgelopen maanden is er veel te doen geweest over rootkits. Zeker nadat Kaspersky en Symantec rootkit-achtige technieken in hun software gebruikten vielen experts over elkaar heen en wilden weten wat de definitie van een rootkit is. Wat is een rootkit, wat is het niet, wanneer is een rootkit slecht en wanneer niet. Volgens rootkit expert Greg Hoglund is het een discussie tussen mensen die nog nooit een rootkit in hun leven geprogrammeerd hebben. De definitie is namelijk eenvoudig:
Een rootkit is een tool ontworpen om zichzelf en andere processen, data en/of activiteit op het systeem te verbergen
Rootkits zijn helemaal niet complex, aldus Hoglund. Het enige wat het lastig maakt is het constante geneuzel van de security industrie. Als virusbestrijders rootkits willen gebruiken omdat het hun produkten beter maakt, laat ze dan lekker. Bestrijd vuur met vuur, zo gaat Hoglund verder.
Hij is het dan ook niet eens met mensen die menen dat deze aanpak ervoor zorgt dat systeembeheerders niet meer weten wat er op het systeem gebeurt. Als beheerder heb je altijd de mogelijkheid om software te verwijderen. Daar komt bij dat ontwikkelaars tot een zekere hoogte aanpassingen aan het systeem moeten maken om hun software te laten werken. We zijn geen slaaf van de machine, zelfs als de software die we installeren de machine tot slaaf maakt.
en/of activiteit op het systeem te verbergen"
Zoals elke goede 'expert' (kuch, rochel, kuch) spreekt ie zichzelf in hetzelfde
document minstens 1 keer tegen:
"Als beheerder heb je altijd de mogelijkheid om software te verwijderen."
Hoe weet je nu dat je iets kunt verwijderen, als het tooltje ervoor zorgt dat je
het niet ziet, nu juist de CORE van een rootkit? Een 'goedaardige' rootkit is
net zo'n onzin als een 'klein beetje zwanger'. Net zo'n geneuzel als met
Video Registration Unmarked Surveillance (VROS)... Als JIJ met 170km/h
over snelweg vlamt in het midden van de nacht zonder overige verkeer, ben
jij je rijbewijs kwijt, en die 'supermannen' die achter je aan rijden met
DEZELFDE of HOGERE snelheid, in een auto zonder zwaailichten en
sirenes, DAT is wel 'veilig' ?
met dit soort DOMME uitspraken het slachtoffer worden van
een crimineel via een legaal geinstalleerde rootkit.
Als je iets te verbergen hebt klopt er iets niet. Toch?
Vraag maar aan de pliesie.
processen, data en/of activiteit op het systeem te verbergen
Dat is ook direct het probleem. De computer is van de
gebruiker, en die gebruiker heeft het recht te weten wat er
op zijn systeem gebeurd.
Als je iets te verstoppen hebt, heb je niets op mijn PC te
zoeken.
Hoe weet je nu dat je iets kunt verwijderen, als het tooltje
ervoor
zorgt dat je het niet ziet, nu juist de CORE van een rootkit?
Een goede systeembeheerder weet welke software hij
installeert. Dat hoort ook nog eens gedocumenteerd te zijn,
zodat je niet afhankelijk bent van een process listing om te
zien wat er draait. Natuurlijk kan je dan alles er af halen
wat je er op heb gezet.
Een nette virusscanner die (delen van) zichzelf verbergt,
heeft nog altijd een "uninstall" icoontje hoor!
duidelijk niet erg bekend met het fenomeen. Het commentaar
is irrationeel.
Een rootkit die gemaakt is voor security gebruikt rootkit
achtige technieken *niet* om onzichtbaar te zijn, maar zodat
het dieper in het systeem is en vandaaruit andere rootkits
kunnen weren. Een bijkomstigheid is dat het zo diep (laag)
in het systeem zit dat het niet eens meer een normaal proces
is, en dus diep in de kernel zit. Daar waar het geen proces
meer is, kan het ook niet worden weergegeven in de windows
task manager.
Wanneer je antivirus software installeert dan moet je de
software maker vertrouwen. Je moet dan ook vertrouwen dat
als je de software verwijdert, dat het zich ook helemaal
verwijdert.
Zelf ben ik geen windows gebruiker. Ik verbaas mij erover
dat antivirus niet al sinds jaar en dag gebruik maakt van
root-kit achtige technieken. Het is de beste manier om
malware aan te pakken.
Ik wil nog even zeggen dat Greg Hoglund geen amateur is, in
tegenstelling tot degeen die deze opmerking maakte.
Wanneer je antivirus software installeert dan moet je de
software maker vertrouwen. Je moet dan ook vertrouwen dat
als je de software verwijdert, dat het zich ook helemaal
verwijdert.
-onzichtbaar voor mij- dingen op mijn PC doet, hoe kan ik
dat dan ooit controleren ? Een commercieel bedrijf zomaar
vertrouwen heb ik inmiddels wel afgeleerd.
Wanneer je antivirus software installeert dan moet je de
software maker vertrouwen. Je moet dan ook vertrouwen dat
als je de software verwijdert, dat het zich ook helemaal
verwijdert.
-onzichtbaar voor mij- dingen op mijn PC doet, hoe kan ik
dat dan ooit controleren ? Een commercieel bedrijf zomaar
vertrouwen heb ik inmiddels wel afgeleerd.
Als je software installeerd van een commercieel bedrijf dan
zou ik er toch maar op vertrouwen dat het geen gekke dingen
op je PC doet.. Je hebt misschien wel gelijk dat je ze niet
kunt vertrouwen, maar doe dat dan ook niet, en installeer
het in de eerste plaats al niet.
Wat voor baat zou een virusscanner eraan hebben om zich te
verbergen in het systeem? Ten slotte hoeft ie het niet te
doen om te voorkomen dat de gebruiker het deinstalleert...
want de gebruiker heeft reeds gekozen om de software te
installeren. Dus ik snap niet wat het probleem is.
Als je software installeerd van een commercieel bedrijf dan
zou ik er toch maar op vertrouwen dat het geen gekke dingen
op je PC doet.. Je hebt misschien wel gelijk dat je ze niet
kunt vertrouwen, maar doe dat dan ook niet, en installeer
het in de eerste plaats al niet.
Wat voor baat zou een virusscanner eraan hebben om zich te
verbergen in het systeem? Ten slotte hoeft ie het niet te
doen om te voorkomen dat de gebruiker het deinstalleert...
want de gebruiker heeft reeds gekozen om de software te
installeren. Dus ik snap niet wat het probleem is.
Commerciele bedrijven hebben wel eens heel andere belangen ...
Het probleem zit hem erin dat ik wil kunnen zien wat mijn
computer bezig houd, en een stuk software heeft zich niet te
verbergen (zie ook de neven effecten van de sony rootkit die
toch nare gevolgen hadden).
En als een commecieel bedrijf er vanuit gaat dat het met
mijn computer kan doen wat hij wil, en dit wil verbergen,
dan is dit een teken dat het onbetrouwbaar is, en dus zal de
deinstallatie naar mijn mening ook niet te vertrouwen zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
