Hoofdcategorieën

[RSS] Index » Nieuws » Core » Wetenschap » Intel werkt aan rootkit-detectie

Intel werkt aan rootkit-detectie

Door Mick de Neeve, donderdag 8 december 2005 00:00
Bron: Infoworld, views: 17.195

InfoWorld schrijft dat Intel met onderzoek bezig is om rootkits te detecteren. Tijdens een open dag vertelden onderzoekers dat het doel is dat pc-gebruikers onmiddelijk gewaarschuwd worden als zich een potentieel gevaarlijk stuk software op hun systeem nestelt, dat gebruik maakt van 'rootkit'-technieken om zijn aanwezigheid op het systeem verborgen te houden voor malwaredetectieprogramma's. Een recent voorbeeld is het beruchte XCP - de door Sony BMG gebruikte en weer teruggetrokken kopieerbeveiligingssoftware.

Intel logo Intel-onderzoeker David Tennehouse zegt dat bij een van de projecten een chip op het moederbord wordt geplaatst die het systeem in de gaten houdt op zoek naar tekenen die op een aanval kunnen wijzen. Het 'OS Independent Run-Time System Integrity Services'-project probeert met de zogeheten 'integrity measurement manager'-chip om veranderingen in applicatiecode te detecteren, aangezien bepaalde malware probeert om data in het systeemgeheugen zodanig te wijzigen dat de eigen kwaadaardige code wordt uitgevoerd. Er zou dan een response op een dergelijke detectie ingesteld kunnen worden, zoals het sturen van een boodschap naar het systeembeheer, zodat maatregelen tegen verdere verspreiding genomen kunnen worden. Volgens Intel kan een dergelijk product fungeren als een nuttige aanvulling op antivirussoftware. Het zou de bedoeling zijn dat de technologie over twee tot drie jaar op de markt verschijnt.

Volgende 08:35
Vorige 23:12

Categorieën

Gerelateerde artikelen

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 41 reacties zichtbaar410 Neutraal: 41 reacties zichtbaar41+1 Meerwaarde: 26 reacties zichtbaar26+2 Verplicht leesvoer: 12 reacties zichtbaar12
«  1  2  »

Door Defspace, donderdag 8 december 2005 00:03

Score: 0
Ik snap niet dat Microsoft dat niet gewoon onderdeel maakt van het OS en/of de "Malicious Software Removal Tool"...

Door Wilders, donderdag 8 december 2005 01:06

Score: 1
Omdat malware alles kan doen met windows wanneer het eenmaal binnen is, het kan dus ook de detectiemogelijkheid van windows buiten spel zetten. Het idee van Intel is nou juist om van buitenaf het systeem in de gaten te houden.

Door Olaf van der Spek, donderdag 8 december 2005 15:58

Score: 0
Omdat malware alles kan doen met windows wanneer het eenmaal binnen is,
Het idee is natuurlijk ook om malware te stoppen terwijl het nog binnen moet komen.
Maar MS lijkt zich meer te richten op genezen dan voorkomen momenteel.

Door Pietje Puk, donderdag 8 december 2005 01:15

Score: 0
En werkt dat ook voor Linux of BSD?

Dacht het niet. Dus moet Intel zelf zijn eigen maatregelen treffen.

Door DarkScribe, donderdag 8 december 2005 07:40

Score: 2
Het 'OS Independent Run-Time System Integrity Services'-project
Lijkt me toch dat hier staat dat het niet van een OS afhankelijk is. Het zou dus ook moeten werken met Linux, Solaris en Menuet, om er maar een paar te noemen.
Er zou dan een response op een dergelijke detectie ingesteld kunnen worden
Dit gedeelte zou dan in het OS moeten komen en ik denk dat dit niet zo moeilijk moet zijn voor eender welke OS bouwer dan ook.

Overigens is het idee van een gespecialiseerde chip niet nieuw; een tijdje geleden was de DRM chip ook al in het nieuws. Nog even en we moeten mobo's uitkiezen met wel of niet bepaalde chips op het bord. Misschien wel wat schandalen omdat een chip toch iets meer doet dan wat er van gezegd wordt.

Door psyki, vrijdag 9 december 2005 17:22

Score: 0
dat zegt pietje puk dan ook ....

hij zegt dat microsoft software niet zou werken onder linux ea

daarom zegt hij dat intel maatregelen moet treffen: deze dus, die inderdaad, zoals jjij zegt OS independant zijn ...

Door quincy2you, donderdag 8 december 2005 01:16

Score: 0
Ik vraag me af waarom Intel niet even lekker wacht tot de nieuwe processors uitkomen die ze zelf plus concurrent AMD aan het maken zijn die ondersteuning bieden voor virtualisatie techniek.
Daarmee kan je ook prima je systeem in de gaten houden door besturingssytemen te laten draaien op achterliggende systemen die ondertussen de hele computer doorscannen zoekend naar narigheid.

Door Klaus_1250, donderdag 8 december 2005 10:59

Score: 1
De Malicious Software Removal Tool scant al op sommige rootkits, alhoewel ik niet weet of dat gedowloade componenten of geinstalleerde componenten gaat.
Verder komt er rootkit-detectie in Windows Defender (opvolger van Microsoft AntiSpyware).

Door Triple-S, donderdag 8 december 2005 11:35

Score: 0
Ik snap niet dat er zowiezo de mogelijkheid in het OS zit waar een rootkit gebruik van kan maken.

Nu gaat dus Intel werken aan hardwarematige oplossing wat feitelijk een softwarematig probleem is :?

En waarom OS independent ?
Ik nog nooit van een rootkit gehoord op een *nix OS ?
De Linux distro's zijn daarbij gebaseerd op een Open Source, dan zou dat toch te achterhalen moeten zijn ?

of mis ik nou iets ....

Door Eric Oud Ammerveld, donderdag 8 december 2005 12:22

Score: 1
D'r bestaan wel degelijk rootkits voor *nix OS-en..
Voor Linux heb je bijvoorbeeld rkdet en andere rootkit detectie programma's.

Programma's als "Tripwire" kunnen de activiteit van een rootkit constateren.
Vooralsnog ken ik geen apps die de acties van een rootkit echt tegen gaan.
De manier waarop het geheugen wordt gebruikt staat vrijwel automatisch toe dat rootkits kunnen bestaan.

Door geen module ondersteuning in je kernel toe te staan kan je het uitvoeren van third party code enigszins begrenzen, maar ook dan zijn er nog voldoende mogelijkheden om via bijvoorbeeld exploits "direct" naar je geheugen te schrijven.

Rootkits zorgen er zelf meestal voor dat ze "onzichtbaar" integreren en aanwezig zijn in je systeem. Rootkit detectors proberen dit te constateren en a.s.a.p. door te geven door bijvoorbeeld een E-mail te sturen bij een dergelijke detectie.

Het controleren van de schrijfacties naar het geheugen zou een dusdanig intensieve taak zijn dat je performance gruwelijk in elkaar zakt...

Daarnaast geldt hierbij een beetje de regel:
Quis Custodiet Ipsos Custodes? ofwel
Wie bewaakt de bewaker?

Door Flashfox, donderdag 8 december 2005 00:04

Score: 2
Heel leuk, maar is natuurlijk weer puur een kwestie van tijd tot er rk's zijn die dit weten te omzeilen. Net zoals er nu een gold versie van HXDEF te koop is / er zelf gecompilede versies van HXDEF zijn die niet gedetect worden. En ja, zelf compilen is voor de gemiddelde script kiddie prima te doen.

Door GambitRS, donderdag 8 december 2005 06:37

Score: 1
Nee, dat is niet eens de echte ergernis. Het is nu gewoon wachten op iemand die zegt "Ja, Intel, dat mag jij dan wel leuk willen maar ik heb daar patent op en ik wil geld hebben".

Of erger, Intel krijgt zelf het patent en komt met iets wat niet goed werkt. Vervolgens, met hun miljoenen gereserveerd voor advocaten, zorgen ze ervoor dat niemand anders zoiets zal gaan maken zodat we pas over een jaar of 20 een echte rootkit verwijder tool kunnen krijgen wat wel werkt.

Door MewBie, donderdag 8 december 2005 07:48

Score: 1
Of die detectie tool gaan ze voor andere zaken gebruiken :( en daar zitten we ook niet op te wachten

Door darkseas, donderdag 8 december 2005 10:40

Score: 2
offtopic:
Je kunt het ook overdrijven natuurlijk! In plaats van je te buigen over hoe je 'gecompilede' of 'gedetect' nu schrijft... Het zou je verbazen, maar er bestaan gewoon nederlandse woorden voor! (gecompileerde? gedetecteerd?)
etc.

Door Satolf, vrijdag 9 december 2005 18:04

Score: 0
Toevallig heb ik me de laatste tijd wat verdiept in rootkits voor een artikel hierover... Maar als we het over windows hebben, hoe wil die chip mensen dan gaan waarschuwen? Want als dat niet met een hardware signaal gaat (geluid? lampje?) dan kan je het natuurlijk vanuit de kernel gewoon niet doorgeven naar de software, en hoort de gebruiker nooit iets van die chip.

Door Oet, donderdag 8 december 2005 00:05

Score: 2
Dit klinkt zeer intressant, op een hardware niveau dingen beveiligen is natuurlijk voordelig:
- Je hoeft er geen speciale software voor te draaien
- Geen mogelijke beveiligingslekken in software en mogelijke exploits doordat het gewoon op de hdd staat

Natuurlijk zal ook de hardware wel te omzeilen zijn, maar ik geloof eerder dat beveiliging op hardware niveau beter waterdicht te maken is dan op software niveau..

Ik zie ook ineens mogelijkheden om 'rootkits' op linuxbakken te kunnen ontdekken! Als dit het geval is zou het best wel eens een gewilde feature kunnen zijn in die wereld (alles voor de veiligheid!)

Door beeman, donderdag 8 december 2005 00:43

Score: 0
Ik zie ook ineens mogelijkheden om 'rootkits' op linuxbakken te kunnen ontdekken! Als dit het geval is zou het best wel eens een gewilde feature kunnen zijn in die wereld (alles voor de veiligheid!)
Die mogelijkheid is er toch al? Op mijn machines draait elke nacht 'chkrootkit'... :)

Door martijnvanegdom, donderdag 8 december 2005 06:39

Score: 1
Dit klinkt zeer intressant, op een hardware niveau dingen beveiligen is natuurlijk voordelig:
- Je hoeft er geen speciale software voor te draaien
- Geen mogelijke beveiligingslekken in software en mogelijke exploits doordat het gewoon op de hdd staat.

En jij dekt dat er geen bugs in hardware zitten? Wat te zeggen van de Pentium Pro bug?

Leuke techniek.. maar voorlopig weinig geef ik ze weinig kans..

Door Meneer Dik, donderdag 8 december 2005 11:43

Score: 2
En hoe dacht je de CPU te patchen als er een bug in zit, of als er een manier is gevonden om de detectie te omzeilen?

Geef mij maar mijn eigen rootkit detectie software. Die kan je meteen updaten als er nieuwe hacks bedacht worden.

Door MBV, donderdag 8 december 2005 15:51

Score: 2
Voordeel van hardware is dat je het misschien kan omzeilen, maar niet uit kan schakelen. In het ergste geval kan je het updaten naar een niet-werkende versie, maar het proces om zeep helpen is niet voldoende.
Elke nacht chrootkit draaien is iets dat je met een rootkit uit kan schakelen. Je zou het zelfs kunnen faken door het bevestigingsmailtje wel te sturen enzo...

Door Daenney, donderdag 8 december 2005 00:13

Score: 2
alles voor de veiligheid?!
Dan krijgen we een Enemy of the State senario, dat wil je ook niet :P
Ik ben het idd met je eens dat beveiligen op hardwarematig nivo beter waterdicht te krijgen is, net zoals een hardware firewall toch steviger is dan een softwarematige dus ik zie dit wel zitten, vanaf het moment dat die chip dan niet de verzamelde gegevens gaat doorzenden aan 3rd parties e.d, wat ook nog zou kunnen

Door YscO, donderdag 8 december 2005 09:22

Score: 1
Offtopic:
Bij mijn weten worden hardware matige firewalls ook door software aangestuurd ;)

Door ROFLASTC, donderdag 8 december 2005 01:02

Score: 0
Nou weet ik er natuurlijk niks van maar is zoiets nou niet lastig voor progamma's als Sisoft Sandra?

Door Lighteye, donderdag 8 december 2005 01:46

Score: 0
Nou ik hoop niet alleen op 'schadelijk' spul maar gewoon alles wat zich zomaar wil installeren...

Heb er verder niet zoveel verstand van maar kan een rootkit een moederbord onbruikbaar maken? Aantal maand geleden is mijn Gigabyte vrxp (rev. 2.0) zomaar ineens overleden, kon niks vinden geen kapotte/verbrande chips. Diverse andere dingen geprobeerd als in andere voeding/cpu etc etc, hij wou gewoon niet meer werken (bleef d00d na het indrukken van powerknop) terwijl ie het altijd zonder problemen heeft gedaan. Ik zit er eigenlijk nog steeds mee :P , harde schijf nagepluist of ik iets 'duisters' had gedownload ofzo of andere verdachte bestanden, helemaal niks wat verdacht leek...

Door NoControl, donderdag 8 december 2005 04:02

Score: 2
Op het eerste zicht een heel leuk idee, vanaf het hardwareniveau toezicht houden.
Natuurlijk moet er rekening gehouden worden met problemen. Bijvoorbeeld, wanneer zo'n rootpoging gedetecteerd wordt, hoe de gebruiker of het systeem waarschuwen? De code van het OS die deze interrupts afhandelt zal heel waterdicht geschreven moeten zijn, anders kan deze eerst geëxploiteerd worden, waarna het niet meer uitmaakt of deze nieuwe chip iets opmerkt of niet. Het (geëxploiteerde) OS zal namelijk niets ondernemen.

Een tweede punt is DRM. Ik acht het niet onmogelijk dat deze chip in feite een TPM-chip is. Voorlopig zijn er vrij weinig systemen met zo'n TPM-chip, omdat ze niet veel nut hebben voor eindgebruikers; ze dienen vooral om copyright te beschermen en anonimiteit weg te nemen. Deze rootkitdetectie is dan een extra feature wat gebruikt wordt om de aanvaarding en het nut van TPM-chips te vergroten. Eens iedereen zo'n chip heeft is er geen echte drempel meer voor bedrijven om software te schrijven die zo'n chip ondersteunt, of erger, vereist.

Voor meer info:
Trusted Computing Group (pro Trusted Computing)
`Trusted Computing' Frequently Asked Questions (redelijk contra, maar vrij nuchter)
edit:
@Ron.IT: jammer ;)
en dat om 4u 's nachts :o

Door Get!em, donderdag 8 december 2005 04:21

Score: 2
ik vraag me eerder af, als er nou technieken zijn om deze chip te ontwijken, komt er dan een update?!?! Hoe zie je dat dan voor je? Nieuw chipje inbakken? Bepaald geheugen flashen? (als het handmatig kan , dan kan dat eventuele kwaadaardige code dan ook!)
Wat blijft er over?!?

Door miw, donderdag 8 december 2005 10:56

Score: 2
Secure loaders als onderdeel van het flash geheugen controleert of de code van een "vertrouwde" bron afkomstig is. Als de rootkit makers de secret key niet bezitten, kunnen ze hun malware niet van een correcte authenticatie voorzien en weigert de flash loader om de image te branden.
Overigens wordt het steeds moeilijker om ervan uit te kunnen gaan dat een PC doet wat een eindgebruiker ervan verwacht. Dit is een belangrijk probleem, waar best meer onderzoek op mag plaatsvinden. De technologie om dit te berieken kan waarschijnlijk op meerder manieren gebruikt worden. Dit kan voor de consument positieve en negatieve kanten hebben. De positieve kanten zijn voor de consument uiterst relevant en daarom beoordeel ik dit als een positieve ontwikkeling. De mogelijke negatieve inzet van deze technieken is een kwestie van alert blijven en het mogelijk misbruik ervan aan de kaak te stellen.

Door a.prinsen, donderdag 8 december 2005 10:00

Score: 1
Als je OS niet de goede acties onderneemd zou
zou de chip tijdens het opstarten (Bij het booten vanuit BIOS) je een waarschuwing kunnen triggeren..

The security chip has detected a root_kit on your system:
"info blah blah bla Press [enter] to continue"

Hoe die er dan weer af te halen is een tweede maar je weet er in elk geval vanaf....

Door Meneer Dik, donderdag 8 december 2005 11:45

Score: 1
handig als je een gemiddelde uptime van 6 maanden hanteert...

Door a.prinsen, donderdag 8 december 2005 15:18

Score: 0
handig als je een gemiddelde uptime van 6 maanden hanteert...
Voor de mensen die een gemiddelde uptime van 6 maanden hanteren hoop ik dat ze genoeg verstand van hun OS hebben om "veilig" met hun OS om te gaan.

De gemiddelde gebruiker die dat niet kent zal mischien een gemiddelede uptime van 2 a 3 uur hebben.

Door Meneer Dik, donderdag 8 december 2005 11:49

Score: 1
hoe de gebruiker of het systeem waarschuwen?
Een mooi blauw 'System Halted' scherm lijkt me wel wat.

Door Ron.IT, donderdag 8 december 2005 04:07

Score: 2
Vraag me toch af of dit een methode is van Intel om hun veel besproken Vanderpool 'beveiliging' via een achterdeur toch in de computers te krijgen.

"Trusted Computing" zoals dat nu heet, waar je hier alle leden kan bekijken.

Zeker de publiciteit rondom Sony's schandaal is natuurlijk de ultieme manier om gebruikers van het nut te overtuigen.

edit: darn, moet sneller typen, NoControl was me net voor.

@NoControl, voor jouw 4uur, ik zit op Amerikaanse PST zone, dus was gewoon te traag :o

Door DataGhost, donderdag 8 december 2005 06:40

Score: 2
Ik vraag me ook serieus af hoe ze het OS gaan waarschuwen en wat het dan gaat ondernemen, dat het niet zo low-level werkt als de '..... Error - System Halted' berichten die ik nog ken van vroeger. Zal leuk zijn als je een false positive krijgt op je productieserver.
En wat als je nu legitieme software probeert te verbergen, bijvoorbeeld remote monitoring software op een school?

Door MTWZZ, donderdag 8 december 2005 09:02

Score: 1
Beetje offtopic:
Waarom wil je dat soort software verbergen? Als je remote monitoring op OS level doet als een (bijvoorbeeld) windows service dan kan een gewone user daar weinig mee.

Ik ben overigens niet zo'n voorstander van hardware matig antivirus/antirootkit chips, je kunt er zelf te weinig invloed op uit oefenen en het updaten van die dingen is zeker niet waterdicht te krijgen.

Door frickY, donderdag 8 december 2005 09:46

Score: 0
Waarom nou juist Intel hiermee komt :?

Lijkt me veel voor de hand liggende als Microsoft hier zelf mee komt, aangezien de rootkits gebruiik maken van mogelijkheden van Windows om ziczhelf te verbergen.

Door Datafeest, donderdag 8 december 2005 10:37

Score: 1
Omdate Microsoft geen processoren maakt :+
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 08:35
Vorige 23:12
VNU Media logo Powered by True

© 1998 - 2008 Tweakers.net - Alle rechten voorbehouden

Uitgever van: