‘Symantec en Kaspersky gebruiken rootkits’

De ontdekker van de rootkit van Sony, Mark Russinovich, beschuldigt nu ook beveiligingsbedrijven Symantec en Kaspersky van het gebruik van soortgelijke software.<br />

De ontdekker van de rootkit van Sony, Mark Russinovich, beschuldigt nu ook beveiligingsbedrijven Symantec en Kaspersky van het gebruik van soortgelijke software.

De technieken die Norton Systemworks en Kaspersky Anti-Virus gebruiken, zijn gelijk aan de werkwijze van rootkits. Een rootkit is kwaadaardige software die zich nestelt in het systeem en zichzelf onzichtbaar maakt voor de gebruiker. "Het gebruik van zulke techniek is niet goed te praten", aldus Russinovich. "Als de fabrikant denkt dat zijn software een rootkit nodig heeft, dan moet hij terug naar de tekentafel om de software opnieuw te ontwerpen." Symantec en Kaspersky geven toe dat zij software hebben verkocht die bepaalde informatie onzichtbaar maakt, maar zij vinden de term rootkit te ver gaan. De software van de twee bedrijven is namelijk niet kwaadaardig en hoort daarom niet thuis in de rootkit-categorie, aldus de beveiligingsbedrijven. Russinovich is het daar niet mee eens. Hij definieert de term rootkit aan de hand van het gedrag van de software en niet aan de intenties van de maker van die software. Inmiddels heeft Symantec een patch online gezet die de onzichtbare delen weer zichtbaar maakt. Kaspersky overweegt een soortgelijke maatregel. Er is een groot verschil met de xcp-rootkit van Sony die eind 2005 meermaals in het nieuws kwam. De rootkit van Sony verbergt actieve software. De rootkits van Symantec en Kaspersky verhullen data. Norton Systemworks van Symantec verbergt een map met backup-bestanden. Om te voorkomen dat gebruikers deze map per ongeluk verwijderen, gebruikt Symantec sinds 1990 deze techniek in zijn Systemworks-pakket. Symantec heeft de patch online gezet om te voorkomen dat hackers de techniek misbruiken om hun eigen kwaadaardige software te verhullen. De kans dat dat lukt is volgens Symantec erg klein, aangezien de meeste beveiligingssoftware direct reageert op kwaadaardige software. Vincent Weafer van Symantec: "De intentie van deze functionaliteit was goed. We moeten ons nu afvragen wat het potentiële gevaar is. Ook al is het maar een kleine kans op misbruik: we moeten deze functionaliteit verwijderen." Kaspersky maakt minder lang gebruik van de rootkit-techniek. Sinds de introductie van Kaspersky Anti-Virus 5 wordt de rootkit gebruikt om checksum-informatie te verbergen. Aan de hand van deze informatie controleert de software welke bestanden er gescand zijn en welke nog gecontroleerd moeten worden. Volgens het beveiligingsbedrijf is de techniek niet te misbruiken door derden. David Emm van Kaspersky: "Het is onmogelijk voor een hacker om misbruik te maken van de techniek en het systeem schade toe te brengen."

Russinovich beaamt dat de rootkits van Symantec en Kaspersky niet zo gevaarlijk zijn als die van Sony, maar vindt het gevaarlijk dat de drie grote bedrijven zich van zulke technieken bedienen. Russinovich: "Je wil niet dat de it-afdeling niet weet wat er op een systeem staat."