Illegale kopieën
Beveiligingsexpert Dan Kaminsky beweerde in
The Register dat zelfs
na het verspreiden van de uninstaller nog steeds 350.000 pc’s besmet bleven met
Sony’s rootkit. Daarbij waren volgens hem ook heel wat pc’s in militaire en
overheidsnetwerken. Kaminsky haalde zijn gegevens uit een DNS-onderzoek bij drie
miljoen systemen. (Weet je niet wat DNS is? Lees het in onze
netwerkcursus.) Hij telde hoe vaak dns-servers het adres
xcpimages.sonybmg.com opzochten.
Uit Kaminsky’s onderzoek blijkt overigens dat er nog steeds flink illegaal
muziek wordt gekopieerd. Hoewel er maar 52 titels met de omstreden rootkit op de
markt zijn gebracht en zulks alleen in Noord-Amerika, blijken geïnfecteerde
computers verspreid te zijn over 135 landen! Dat valt alleen te verklaren door
het feit dat er illegaal kopieën zijn gemaakt van de omstreden muziek-cd’s.
***
Rootkits zijn notoir moeilijk op te sporen omdat hackers bewust allerlei
technieken gebruiken om hun gebruik te verbergen.
***
Definitie
Verder gaande op zijn elan beschuldigde Russinovich ook de beveiligingsbedrijven
Kaspersky en Symantec ervan rootkits te installeren. Norton Systemworks en
Kaspersky Anti-Virus bevatten immers software die bepaalde informatie
onzichtbaar maakt. De betrokken bedrijven vinden echter dat het niet om rootkits
gaat, "omdat de software niet kwaadaardig is", aldus een woordvoerder van
Symantec.
Zo barst een ganse discussie los over wat de precieze definitie is van een
rootkit. De rootkits van Symantec en Kaspersky verbergen immers bepaalde data en
niet bepaalde software zoals die van Sony. Russinovich geeft toe dat de rootkits
van Symantec en Kasperksy niet erg gevaarlijk zijn, maar vindt principieel dat
de gebruiker of it-afdeling van een bedrijf het recht heeft om te weten wat er
op een systeem staat.
F-Secure BlackLight Rootkit Eliminator
Twee soorten
Rootkits bestaan in twee soorten (meer
technische details bij de Engelse Wikipedia). De soort die zich in
applicaties nestelt, is minder gevaarlijk dan het type dat zich in de kern (kernel)
van het besturingssysteem integreert. Dergelijke kernel rootkits zijn zeer
moeilijk te detecteren, omdat het besturingssysteem zelf niet meer te betrouwen
valt.
Rootkits stammen oorspronkelijk uit de Linux-wereld, maar bedreigen nu dus ook
Windows-pc’s. De term slaat op een verzameling softwarehulpmiddelen waarmee
iemand ongemerkt "root"-toegang, dus systeembeheerdertoegang, verkrijgt op een
computer. Een computer waarop een rootkit is geïnstalleerd wordt ook wel een
rooted computer genoemd. Een hacker kan een dergelijke computer misbruiken voor
allerlei oneigenlijke doeleinden.
Het misbruikt is legio en varieert van de verspreiding van ongewenste e-mail en
kinderporno tot het oprichten van zogenaamde botnets, verzamelingen van
gekraakte computers die worden misbruikt voor internetaanvallen of voor het
verzamelen van vertrouwelijke gegevens.
Rootkits zijn notoir moeilijk op te sporen omdat hackers bewust allerlei
technieken gebruiken om bestanden, registersleutels en drivers verborgen te
houden voor beveiligings- en detectiesoftware.