Vorige week demonstreerde de Pools rootkit-expert Joanan Rutkowska hoe ze via een lek in de processoren van Intel een lastig te detecteren rootkit op systemen kan plaatsen, toch betekent dit niet dat de hemel naar beneden valt. Volgens de Poolse is dat namelijk al jaren geleden gebeurd, doordat gebruikers met administratorrechten inloggen, systemen monolitische kernels gebruiken en de meeste software ongetekend via HTTP is te downloaden.

"Dat zijn de voornaamste redenen waarom we onze systemen vandaag de dag niet meer kunnen vertrouwen. En die zielige pogingen om het te herstellen door adminrechten in Vista te beperken, maar nog wel die rechten vereisen om een willekeurig programma te installeren. Of mensen de illusie van beveiliging te verkopen door ze virusscanners aan te bieden die niet eens zichzelf kunnen beschermen."

De kans dat een eindgebruikers met een processor-rootkit te maken krijgt is klein, dat neemt niet weg dat het onderzoek dat Rutkowskwa uitvoert belangrijk is. "We richten ons op nieuwe technologieën, ook al worden die door nog niemand gebruikt. Die technologieën kunnen namelijk het verschil maken in hoe ver een aanvaller moet gaan, in tegenstelling tot virusscanners en patchdinsdagen."

MSN-link
Ook Marco Giuliani van PrevX wijst erop dat gebruikers de aanval in het juiste perspectief moeten zien. De meeste rootkits hoeven helemaal niet via de System Management Mode het systeem over te nemen, aangezien het besturingssysteem nog voldoende mogelijkheden biedt. "Om toetsaanslagen op te slaan hoef je helemaal niet in SMM mode te zijn, je kunt ze zelfs al opslaan als de gebruiker een account met verminderde rechten gebruikt."

De eenvoudige kernel mode rootkits zijn dan ook het ware probleem. "Ze zijn technisch niet zo interessant als SMM rootkits, maar ze zijn de echte vijand waar je elke dag mee te maken hebt." Giuliani merkt dan ook op dat SMM rootkits een kleinere dreiging vormen dan de links die je via MSN toegestuurd krijgt.