Rootkits tasten Windows aan

Een oud hackersgereedschap, de rootkit, kwam recent in de belangstelling doordat SonyBMG de techniek gebruikte om het kopiëren van muziek-cd’s tegen te gaan. De ontdekker van de Sony-rootkit, Mark Russinovich, beschuldigt nu ook beveiligingsbedrijven Kaspersky en Symantec ervan rootkits te installeren op pc’s.

In oktober vorig jaar liet Mark Russinovich van Sysinternals het door hem en partner Bryce Cogswel geschreven gratis beveiligingsprogramma RootkitRevealer los op een van zijn eigen computers. Tot zijn ontzetting vond hij sporen die wezen op de aanwezigheid van een rootkit.

Russinovich was geschokt omdat hij naar eigen zeggen altijd de nodige zorgvuldigheid in acht neemt bij het surfen of installeren van nieuwe software. Hij begreep dus niet hoe er een rootkit op zijn computer terecht was gekomen. Op 31 oktober 2005 bracht hij in zijn blog op Sysinternals gedetailleerd verslag uit van zijn speurtocht naar de onbekende rootkit.

De rootkit op zijn pc bleek niet afkomstig van een website, maar van een beschermde muziek-cd van SonyBMG die hij recent in zijn pc had afgespeeld.

Bij het afspelen van de cd installeerde de XCP (Extended Copy Protection) Aurora DRM-software van het bedrijf First 4 Internet de rootkit blijkbaar automatisch in Windows.

Het verslag van Russinovich’s pogingen om de rootkit te verwijderen heeft veel weg van een spionageverhaal. Automatisch verwijderen bleek niet mogelijk en ook handmatig leverde dit problemen op. De DRM-software had zich diep in het Windows-systeem genesteld en bleef zelfs in ‘veilige modus’ actief. Als er een bug in had gezeten, zou het zeer moeilijk zijn geweest om de aangetaste Windows-pc opnieuw werkend te krijgen.

Nadat het handmatig verwijderen van de rootkit was gelukt, bleek de cd-speler van de pc niet meer te worden herkend door Windows. De systeemdrivers waren vervangen door drivers van First 4 Internet. Pas toen de oorspronkelijke drivers werden teruggezet, werkte het Windows XP-systeem weer naar behoren en zonder vertragingen.

Bijval

De ontdekking van Russinovich kreeg onmiddellijk grote bijval. Zelfs Microsoft sprak zijn bezorgdheid uit over de gebruikte techniek. Drie dagen later bracht Sony een patch uit waarmee de onzichtbare software ‘veilig’ kon worden verwijderd. Twee dagen later bleek die patch niet correct te functioneren en vooral te zorgen voor systeemcrashes. Ook bevatte de patch een lek, waar een Trojaans paard gebruik van maakte om zichzelf onzichtbaar in pc’s te nestelen.

Het verhaal groeide in de daaropvolgende weken uit tot een ware soap. Er bleken meer dan een half miljoen pc’s te zijn besmet met de Sony XCP-rootkit. Medio november haalde Sony de besmette cd’s eindelijk uit de winkels. In Italië, Canada en de Verenigde Staten werd het bedrijf voor de rechter gedaagd. Het bleek dat beveiligingsbedrijf F-Secure Sony er begin oktober al voor gewaarschuwd had dat de rootkit een slecht idee was. Sony had die waarschuwingen echter in de wind geslagen. Wie naar de website van First 4 Internet surft, treft daar persberichten aan waarin al in februari 2005 wordt aangekondigd dat SonyBMG bepaalde cd’s zal uitrusten met XCP. Dat XCP een Windows-rootkit bevat, wordt echter nergens vermeld.

Pas op 7 december 2005, 65 dagen na de ontdekking van de XCP-rootkit, brengt Sony een werkende uninstaller uit. Enkele dagen later komt ook Microsoft met een Windows-update om de omstreden geheime software te verwijderen.

Sony biedt gedupeerden ondertussen een tegemoetkoming aan. Het is echter zeer de vraag of het bedrijf daarmee kostbare rechtszaken kan vermijden. Beveiligingsexpert Dan Kaminsky beweerde recent op The Register dat nog steeds 350.000 pc’s besmet zijn met de rootkit van Sony. Daaronder bevinden zich volgens hem ook heel wat pc’s in militaire en overheidsnetwerken. Kaminsky haalt zijn gegevens uit een dns-onderzoek bij drie miljoen systemen. Hij telde hoe vaak dns-servers het adres xcpimages.sonybmg.com opzochten.

Uit het onderzoek van Kaminksky blijkt overigens dat veel muziek nog steeds illegaal wordt gekopieerd. Hoewel er alleen in Noord-Amerika 52 titels met de omstreden rootkit op de markt zijn gebracht, blijken de geïnfecteerde computers verspreid te zijn over 135 landen. Een verklaring hiervoor is dat er illegaal kopieën zijn gemaakt van de omstreden cd’s.

Definitie

Inmiddels beschuldigt Russinovich ook de beveiligingsbedrijven Kaspersky en Symantec ervan rootkits te installeren. Norton Systemworks en Kaspersky Anti-Virus bevatten immers software die bepaalde informatie onzichtbaar maakt. De betrokken bedrijven vinden echter dat het niet om rootkits gaat, ‘omdat de software niet kwaadaardig is’, aldus een woordvoerder van Symantec.

De precieze definitie van een rootkit staat momenteel ter discussie. De rootkits van Symantec en Kaspersky verbergen immers bepaalde data en niet bepaalde software zoals die van Sony. Russinovich geeft toe dat de rootkits van Symantec en Kasperksy niet erg gevaarlijk zijn, maar vindt principieel dat de gebruiker of it-afdeling van een bedrijf het recht heeft om te weten wat er op een systeem staat.

Detectie

Rootkits bestaan in twee soorten. De soort die zich in applicaties nestelt, is minder gevaarlijk dan de soort die zich in de kern (kernel) van het besturingssysteem integreert. Kernel rootkits zijn zeer moeilijk te detecteren, omdat het besturingssysteem zélf dan niet meer te vertrouwen is. Windows XP kan gestart worden in een speciale veilige modus, waarbij alleen kernonderdelen van het besturingssysteem actief zijn. De door Sony gebruikte rootkit is echter ook actief in die veilige modus. Hierdoor is het extreem moeilijk om de rootkit te verwijderen zonder een goed werkende uninstall-patch.

Om onder Windows rootkits te detecteren kan men de Rootkitrevealer van Sysinternals gebruiken, of de Blacklight stealth scanner van F-Secure. Laatstgenoemde is momenteel alleen nog in bètaversie beschikbaar. Beide programma’s vergen echter nogal wat technische kennis. Onjuiste detecties (false positives) kunnen voorkomen worden door vooraf de bijbehorende documentatie goed te lezen. Op termijn zal de detectie van bekende rootkits wellicht geïntegreerd worden in traditionele beveiligingssoftware. De meeste betrouwbare methode op dit moment om een rootkit te detecteren is het opstarten van de pc vanaf cd-rom of flash-geheugen met herstelsoftware. De rootkit is dan niet actief en kan makkelijker door de beveiligingssoftware opgespoord worden. In de meeste beveiligingspakketten is het mogelijk om een opstart-cd te creëren waarmee een computer kan worden gescand zonder dat Windows hoeft te worden opgestart. Op het internet zijn er ook kant-en-klare herstel-cd’s te vinden zoals avast! BART CD of de kant-en-klare Hiren’s Boot CD. Deze laatste is echter niet legaal. Er staat commerciële software op die niet zomaar verspreid mag worden. Als de gebruiker echter zelf de licenties bezit van de door Hiren gebruikte software lijkt er niks aan de hand. Een volstrekt legale oplossing is het zelf nabouwen van de Hiren’s Boot CD met behulp van avast! BART CD Manager.

Zonder een kant-en-klare uninstall-patch is het zeer moeilijk om een gedetecteerde rootkit te verwijderen en kost dit veel tijd. Specialisten zijn het erover eens dat het in dat geval meestal efficiënter is om het systeem via een back-up opnieuw te herstellen. Die rootkitvrije back-up moet dan natuurlijk wel voorhanden zijn.

Conclusie

Hebben softwarefabrikanten het recht om bepaalde onderdelen van hun software verborgen te houden voor gebruikers en systeembeheerders? En zo ja, hoever mogen ze daarin gaan? De gevaren liggen voor de hand: een buggy rootkit van een vertrouwd bedrijf kan de poort openzetten voor malware van hackers, zonder dat een gebruiker of systeembeheerder daar nog echt wat tegen kan doen. Windows Vista, de opvolger van XP, zal overigens een meer gelaagd rechtensysteem meekrijgen, waardoor rootkits, virussen en trojans volgens Microsoft niet meer de volledige rechten op het systeem hebben. We moeten nog maar afwachten of dit voldoende is om de rootkit uit te roeien.