Jun 27

Written by: andy
27.06.2006

Eigentlich müsste ich Michael Willers hassen. Hat er doch meinen letzten glauben das wir im Internet alle Freunde sind endgültig mit seinem TechTalk Vortrag Viren, Rootkits und Co - Digitales E605 zerstört. Rootkits waren für mich bis jetzt immer magisch und die hohe Kunst von C++ Programmierung. Aber ich bin eines besseren belehrt worden. Die Erstellung eines RootKits sollte für jeden zu realisieren sein. Das Problem eines Rootkits ist immer noch wie bekomme ich mein RootKit auf das Zielsystem.
Aber hier hilft immer noch die allgemeine Regel "Nur echt Männer sind in der Administrator Gruppe". Michael hat in seinem Vortrag Wege veranschaulicht wie ein RootKit installiert werden kann. Aber letztendlich benötigt der Benutzer doch Administrator Berechtigung oder zu mindest das Debug Privilege um ein RootKit zu installieren.
Und hier bin ich auch wieder bei Michael 99,999% aller Benutzer die Mitglied einer Administratoren Gruppe sind, benötigt diese Berechtigung nicht! Die Entwicklung von RootKits wäre durch weniger Administratoren sicher nicht verhindert worden aber die Verbreitung wäre um ein vielfaches langsamer gewesen.
Auch der Schrei der Masse Microsoft ist schuld daran stimmt nicht. Microsoft hat das Thema sicherlich lange Zeit verschleppt und nicht den notwendigen Stellenwert zugeschrieben. Aber die Sicherheits Features waren von Anfang an in Windows NT integriert nur hat sie keine oder nur wenige genutzt. (By the way: Es klagt ja auch keine XEROX an, dass TCP/IP keine Sicherheit hat.)
Jeder ist für die Sicherheit seines Systems das er in Verantwortung hat selbstverantwortlich. Der Fingerzeig auf Microsoft gilt nicht Windows ist nur das Werkzeug!!
Und liebe Systemadministratoren wenn euch daran liegt, dass eure persönlichen oder geschäftlichen Daten jedem zugänglich sind oder euch nichts an eurem Job liegt arbeitet weiter als Administratoren. Für alle anderen gebe ich euch den Tipp "Raus aus der Admin Gruppe". Auch neue Features wie UAC werden den Schutz nur geringfügig verbessern. (Auch hier gilt der User kann UAC abschalten oder die Nachrichten unterdrücken und der Angreifer hat die Berechtigung des Benutzers) Und ist ein "gutes" RootKit erstmal auf dem System drauf gibt es auch keine Möglichkeit sich dagegen zu wehren. Michael hat sogar Wege aufgezeit, wie der Schadcodes eines RootKit erhalten bleibt selbst wenn die Platte formatiert wird!! Es stellt sich nur noch die Frage wie starte ich diesen Schadcode. Der Phantasie sind hier aber keine grenzen gesetzt.

Leute setzt euch mit dem System auseinander und ihr werdet sehen es gibt so gut wie keinen Grund als Administrator zu arbeiten außer ihr wollt euch ein RootKit einfangen.

Wer mir nicht glaubt sollte sich den Vortrag von Michael anschauen und staunen. Selbst wenn ihr keine C++ Programmierer seit.

Tags: