Ein Werbespot des Anti-Virenunternehmens Symantec: Es gibt eine neue Virenart, sagt der Sprecher, Schadsoftware, die sich im System verstecken kann, Rootkits. Etwas Begeisterung schwingt durchaus mit, wenn sich IT-Sicherheitsunternehmen zu diesem Thema äußern. Schließlich werden sie mit dem Schutz vor dieser Gefahr wieder viel Geld verdienen. Per se allerdings sind Rootkits keine Schadprogramme, sie werden vielmehr von Schadprogrammen genutzt, um Anti-Viren-Software auszutricksen. Graham Cluley von Sophos erläutert, wie das funktioniert.
"Ein Rootkit nutzt Funktionen des Betriebssystems, zum Beispiel von Windows. Wenn ein Anti-Viren-Programm etwa eine bestimmte Datei anschauen möchte, dann wird der entsprechende Funktionsaufruf vom Rootkit abgefangen. Und das Programm sieht nur, was da war, bevor der Rechner infiziert wurde."
Und deshalb kann herkömmliche Anti-Viren-Software ein Rootkit nur entdecken, bevor es sich installiert hat, danach ist es quasi unsichtbar. Sicherheitssoftware, die auch vor Rootkits schützt, muss hingegen aufwändig das System beobachten und bei charakteristischen Auffälligkeiten Alarm schlagen. Das Interesse an dieser Technologie, an der Versteck-Software selbst wie auch an den Möglichkeiten, sie aufzuspüren, ist in jüngster Zeit sprunghaft angestiegen. Geradezu ein Run findet derzeit auf die Web-Site Rootkit.com statt. Sie wird vom Software-Haus HBGary betrieben. Rich Cummings ist der Cheftechniker der Firma:
"Innerhalb der letzten vier, fünf Jahre ist die Nutzung von Rootkit-Funktionalitäten durch Schadsoftware um 700 bis 800 Prozent gestiegen. Was wir bei HBGary beobachten ist, dass sich Leute aus allen Teilen der Welt für diese Technologie interessieren."
Entsprechend rasant entwickeln sich die Rootkits weiter. Ahmed Sallam, der Cheftechniker von McAfee, erwartet denn auch, dass sie bald komplizierte und nicht dokumentierte Funktionen von Betriebssystemen manipulieren werden. Dann wäre es noch schwieriger als eh schon, sie zu finden und wieder von der Platte zu putzen.
"Derzeit setzen Rootkits noch an allgemein bekannten Windowsfunktionen und -datenstrukturen an. Ich persönlich erwarte, dass ihre Entwickler sie bald tiefer ins System eingraben werden."
Eine andere Möglichkeit besteht darin, dass ein Rootkit nicht das Betriebssystem befällt, sondern das Bios. Die Verletzbarkeit der Firmware eines Rechners wird in Expertenkreisen derzeit besonders intensiv diskutiert. Es ist technisch möglich, dass sich ein Versteck-Programm dort einnistet. Allerdings weiß niemand von einem zu berichten, das das tatsächlich bereits tut. Verheerend wäre derartiges insoweit, als dass eine bewährte Suchmethode dann nicht mehr funktionieren würde. Derzeit scannen viele Anwender ihren Rechner mit Hilfe einer Life-CD, also einem Betriebssystem auf einem optischen Datenträger. Das zeigt in der Regel auch ein eventuell auf dem Rechner vorhandenes Rootkit an, weil dieses ja nur das infizierte Betriebssystem und nicht das auf der CD manipulieren kann. Hätte das Rootkit aber das Bios befallen, so könnte es die Ausgabe eines jeden Betriebssystems umbiegen, das auf dem Rechner läuft, unabhängig davon, ob von einer CD oder der Festplatte. Allerdings sind Einzelplatzrechner derzeit gar nicht das Hauptangriffsziel von Tarnkappen-Schadprogrammen. Paul Ferguson von Trend Micro:
"Hochentwickelte Rootkits finden sich meist nicht auf Home-Computern, sondern auf großen Servern von Internet-Dienstleistern. Dort haben zumindest wir sie entdeckt. Diese Rootkits generieren dynamisch bösartige Java-Scripts und betten diese in den HTML-Code aller dort gespeicherten Web-Seiten ein. Diese Web-Seiten können dann die Rechner von Surfern infizieren und so beispielsweise ein Bot-Netz aus sehr vielen PCs knüpfen."
Und infizierte Web-Seiten stellen derzeit die gefährlichste Verbreitungsmethode für Schadsoftware jedweder Art dar, für Trojaner, Viren und Würmer. Ermöglicht wird sie oft durch Rootkits.
"Ein Rootkit nutzt Funktionen des Betriebssystems, zum Beispiel von Windows. Wenn ein Anti-Viren-Programm etwa eine bestimmte Datei anschauen möchte, dann wird der entsprechende Funktionsaufruf vom Rootkit abgefangen. Und das Programm sieht nur, was da war, bevor der Rechner infiziert wurde."
Und deshalb kann herkömmliche Anti-Viren-Software ein Rootkit nur entdecken, bevor es sich installiert hat, danach ist es quasi unsichtbar. Sicherheitssoftware, die auch vor Rootkits schützt, muss hingegen aufwändig das System beobachten und bei charakteristischen Auffälligkeiten Alarm schlagen. Das Interesse an dieser Technologie, an der Versteck-Software selbst wie auch an den Möglichkeiten, sie aufzuspüren, ist in jüngster Zeit sprunghaft angestiegen. Geradezu ein Run findet derzeit auf die Web-Site Rootkit.com statt. Sie wird vom Software-Haus HBGary betrieben. Rich Cummings ist der Cheftechniker der Firma:
"Innerhalb der letzten vier, fünf Jahre ist die Nutzung von Rootkit-Funktionalitäten durch Schadsoftware um 700 bis 800 Prozent gestiegen. Was wir bei HBGary beobachten ist, dass sich Leute aus allen Teilen der Welt für diese Technologie interessieren."
Entsprechend rasant entwickeln sich die Rootkits weiter. Ahmed Sallam, der Cheftechniker von McAfee, erwartet denn auch, dass sie bald komplizierte und nicht dokumentierte Funktionen von Betriebssystemen manipulieren werden. Dann wäre es noch schwieriger als eh schon, sie zu finden und wieder von der Platte zu putzen.
"Derzeit setzen Rootkits noch an allgemein bekannten Windowsfunktionen und -datenstrukturen an. Ich persönlich erwarte, dass ihre Entwickler sie bald tiefer ins System eingraben werden."
Eine andere Möglichkeit besteht darin, dass ein Rootkit nicht das Betriebssystem befällt, sondern das Bios. Die Verletzbarkeit der Firmware eines Rechners wird in Expertenkreisen derzeit besonders intensiv diskutiert. Es ist technisch möglich, dass sich ein Versteck-Programm dort einnistet. Allerdings weiß niemand von einem zu berichten, das das tatsächlich bereits tut. Verheerend wäre derartiges insoweit, als dass eine bewährte Suchmethode dann nicht mehr funktionieren würde. Derzeit scannen viele Anwender ihren Rechner mit Hilfe einer Life-CD, also einem Betriebssystem auf einem optischen Datenträger. Das zeigt in der Regel auch ein eventuell auf dem Rechner vorhandenes Rootkit an, weil dieses ja nur das infizierte Betriebssystem und nicht das auf der CD manipulieren kann. Hätte das Rootkit aber das Bios befallen, so könnte es die Ausgabe eines jeden Betriebssystems umbiegen, das auf dem Rechner läuft, unabhängig davon, ob von einer CD oder der Festplatte. Allerdings sind Einzelplatzrechner derzeit gar nicht das Hauptangriffsziel von Tarnkappen-Schadprogrammen. Paul Ferguson von Trend Micro:
"Hochentwickelte Rootkits finden sich meist nicht auf Home-Computern, sondern auf großen Servern von Internet-Dienstleistern. Dort haben zumindest wir sie entdeckt. Diese Rootkits generieren dynamisch bösartige Java-Scripts und betten diese in den HTML-Code aller dort gespeicherten Web-Seiten ein. Diese Web-Seiten können dann die Rechner von Surfern infizieren und so beispielsweise ein Bot-Netz aus sehr vielen PCs knüpfen."
Und infizierte Web-Seiten stellen derzeit die gefährlichste Verbreitungsmethode für Schadsoftware jedweder Art dar, für Trojaner, Viren und Würmer. Ermöglicht wird sie oft durch Rootkits.