(c) nikolai okhitin, fotolia.com
Rootkit-Blockade
 nikolai okhitin, fotolia.com', 400,268) "(c) nikolai okhitin, fotolia.com")
Kernel mit Hooksafe vor Rootkits schützen
Die vier Forscher haben ein spezielles virtuelles System entworfen und implementiert. Es wehrt Rootkits ab, die sich kernelnahe Anfragen und Daten zwecks Manipulation schnappen. Dazu sammelt es systemweit bestimmte Funktionsaufrufe und Message-Daten zusammen, spiegelt sie als "Schattenkopie" an einem zentralen Ort und schützt sie hardwareseitig vor Schreibzugriff. Probehalber ließ das Team mehrere echte Rootkits auf ihr Kind namens Hooksafe los. Außerdem maß es die Systemauslastung des Gastsystems. Im Ergebnis bescheinigen sie ihrem Abwehr-Experiment hohe Wirksamkeit bei einer Verlangsamung des Systems von nur etwa sechs Prozent.
Gelungene Abwehr beobachteten sie zum Beispiel bei Adore-ng und Phalanx. Xuxian Jiang, Mitglied des Forscherteams, gibt sich zuversichtlich, dass später wahrscheinlich auch der Sourcecode öffentlich erhältlich sein werde. Bei einzelnen vergangenen Projekten sind die Forscher ebenso verfahren, wie auf seiner Publikationsseite ersichtlich ist.
Im Wesentlichen benennen die Erfinder derzeit zwei Schwächen ihres Systems: Erstens stützt es sich auf so genannte Hook-Profile, die aus dynamischer Analyse der Hook-Zugriffe gewonnen werden. Dieses Analyse-Verfahren ist jedoch nicht perfekt. Ihm können Zugriffe entgehen, sodass ungeschützte Lücken entstehen. Als mögliche Lösung kommt für die Forscher entweder eine verbesserte dynamische Analyse oder ein komplementäres Verfahren mit statischer Analyse in Frage. Zweitens kann Hooksafe sowieso nur Zugriffe registrieren, die es bereits kennt: Es ist nur die lange Hand des Admins, der die zu schützenden Hooks vorher definiert. Hier nehmen die Verfasser an, in Zukunft mit Projekten wie Hookfinder zusammenzuarbeiten oder ihr eigenes Vorgängerprojekt Hookmap einzubeziehen (PDF, 200 KByte).
Peng Ning, Zhi Wang und Xuxian Jiang von der State University sowie Weidong Cui von Microsoft arbeiten seit September 2008 an Hooksafe und planen die Arbeit in Richtung Betriebessystemkern-Sicherheit noch fortzusetzen. Ihr zehnseitiger Forschungsbericht zu Hooksafe (PDF, 130 KByte) entstand anlässlich der derzeit in Chicago stattfindenen Jahreskonferenz der Arbeitsgruppe Security, Audit and Control (SIGSAC) unter dem Dach der Association for Computing Machinery (ACM). Das ist der Informatikverband mit weltweit rund 100.000 Mitgliedern aus Wirtschaft, Forschung und öffentlich-rechtlichem Raum, der jährlich den "Informatiker-Nobelpreis", den A. M. Turing Award verleiht.
Einem Freund empfehlen
