Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Kaspersky wijst 'rootkit'-beschuldiging van de hand

Kaspersky wijst 'rootkit'-beschuldiging van de hand

Door Thijs Terlouw, zaterdag 14 januari 2006 12:39
Bron: Kaspersky, views: 16.983

Kaspersky ontkent dat het gebruikmaakt van een 'rootkit' in zijn antivirussoftware. Mark Russinovich van Winternals Software beschuldigde Symantec en Kaspersky ervan gebruik te maken van een rootkit. De term rootkit wordt gebruikt voor technieken die ingezet worden om bepaalde processen en bestanden te verbergen en worden tegenwoordig vaak ingezet door virussen. De laatste tijd was de term veel in het nieuws door de 'rootkit' die werd gebruikt door Sony's DRM-software. Zowel Symantec als Kaspersky geven toe dat ze informatie verbergen voor de Windows API, maar zeggen dat de gebruikte technieken niet uitgebuit kunnen worden door kwaadwillende software. Toch kwam Symantec met een update voor Norton SystemWorks die de NProtect-directory zichtbaar maakt.

Hacker in actieKasperksky legt uit dat het checksumgegevens van alle bestanden opslaat door gebruik te maken van 'NTFS Alternate Data Streams'. Deze technologie werd bijna twee jaar geleden in Anti-Virus 5.x geïntroduceerd onder de naam iStreams. De checksums worden gebruikt om te controleren of bestanden niet zijn veranderd tussen twee virusscans. Hierdoor kan de antivirussoftware snel beslissen of het bestand gescand moet worden. De technologie is niet gevaarlijk volgens Kaspersky, omdat het alleen door de antivirussoftware gebruikt kan worden wanneer deze actief is. Wanneer de antivirussoftware is uitgeschakeld, zijn de gegevens zichtbaar met speciale software. Als een programma de checksums aanpast, zou de antivirussoftware het formaat niet meer herkennen en een nieuwe database met gegevens aanleggen door de oude gegevens te overschrijven. Kaspersky geeft echter wel aan dat het in de volgende versie van zijn antivirussoftware afstapt van iStreams. Dit zouden ze doen om de deïnstallatietijd te verkorten. Dit nieuws lijkt dan ook vooral een storm in een glas water. Een jaar geleden was al bekend dat de checksumbestanden van iStreams gedetecteerd werden als rootkit.

Volgende 12:47 Brein noemt 150 miljoen filmdownloads krappe schatting
Vorige 12:18 Website aansprakelijk bij inbreuk op auteursrecht
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 38 reacties zichtbaar380 Off-topic / Irrelevant: 38 reacties zichtbaar38+1 On-topic: 33 reacties zichtbaar33+2 Informatief: 5 reacties zichtbaar5+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door Conqueror, zaterdag 14 januari 2006 12:51

Score: 0
Wellicht dat daarom Norton2005 ineens niet meer werkte en een reinstall nodig had.

Kreeg telkens de melding dat een repair actie niet gelukt was. Dit na een update van een aantal dagen geleden.

Door Felix, zaterdag 14 januari 2006 12:53

Score: 2
De term "rootkit" krijgt wel weer een nieuwe defintie. Je kan hier helemaal niet spreken van een "rootkit" omdat dat typisch iets is wat je als cracker gebruikt om je sporen op een gecracked systeem te verbergen. Hier installeert de gebruiker de software gewoon zelf (AV software) of geeft hij er (impliciet) toestemming voor (Sony CD's).

http://en.wikipedia.org/wiki/Rootkit

Door Mizitras, zaterdag 14 januari 2006 17:10

Score: 1
Ik heb er ook naar Kaserpsky om geschreven, en zelf ook nagezien, en inderdaad, je gaat bij de installatie akkoord dat dergelijke acties goedkeurd. Daarbij, dit heeft geen gat gemaakt in de veiligheid, dus ik voelde mij bij het 'ontdekken' ervan ook niet bedrogen. Meer nog, ik was blij dat Kaserpsky tenminste ADS nakijkt tov. andere antivirusscanners waar zij niets daarover reppen, noch hun site, noch hun help-files.

Met tests merkte ik zelfs dat zij de ADS zelfs niet nakijken!!! (Uitzonderlijk wel, als je 'scan all files' en dan zonder exceptions.... En dan nog!

Door mashell, zaterdag 14 januari 2006 20:39

Score: 1
ADS? Active Directory Services of gewoon het engelse woorden voor advertenties met hoofdletters geschreven?

Door Mizitras, zaterdag 14 januari 2006 21:18

Score: 1
"Alternate Data Streams"
Zie ook het artikel hierboven....

Door Pietje Puk, zaterdag 14 januari 2006 23:38

Score: 1
Het idee van ADS is leuk maar heeft ook enkele nadelen. Het is niet voor niets dat Kaspersky er nu ook al weer vanaf stapt. Zo is het maar de vraag of een extern programma (lees virus) die ADS niet kan beinvloeden of de opgeslagen gegevens kan wijzigen.

Een leuke toevoeging, maar één waarin ik eigenlijk te weinig vertrouwen heb om mij daarvan afhankelijk te willen laten worden. In mijn ogen is dit dus wel degelijk een veiligheidsrisico van Kaspersky.

Door cyco_nico, zaterdag 14 januari 2006 12:54

Score: 2
Mijn Windows XP installatie is een keer compleet verpest door een tooltje van Kaspersky om die iStreams allemaal te verwijderen |:( .

Geef mij maar een iets langere scantijd, dan dit soort meuk die aan m'n bestanden wordt gehangen.

Ik gebruik nu al tijden AVG en daar heb ik nooit problemen mee.

Door memento__mori, zaterdag 14 januari 2006 14:22

Score: 1
AVG is goed zolang je de virussen niet hoeft te verwijderen. Dat soort meuk heb je met gratis antivirussoftware, er zit altijd wel iets achter. Kaspersky mag dan wel zulke dingen gebruiken, het is imo één van de meest agressieve virusscanners.

Door Mizitras, zaterdag 14 januari 2006 17:11

Score: 1
Juiste procedure gevolgd?

http://www.kaspersky.com/faq?qid=156636746
To remove it then uninstall Kaspersky first. Then reinstall following the
information provided in
http://www.kaspersky.com/...d=170366556&qtype=3594740

Door Pietje Puk, zaterdag 14 januari 2006 23:42

Score: 1
Juiste procedure gevolgd?
In principe ben ik tegen alle procedures die op websites worden uitgelegd en niet ofwel met grote rode letters in de papieren handleiding staan, ofwel zo simpel zijn dat "iedereen" ze intuitief snapt.

Ik zou dus waarschijnlijk hard op mijn bek gaan met deze "juiste" procedure. Ik vind de procedure dus eerder onjuist.

Door fl!pulI, zaterdag 14 januari 2006 13:01

Score: 1
Pffffffft.
Temporary Internet Files en de Recycle Bin word ook dmv het "rootkit" principe geregeld.

www.sysinternals.com heeft een rootkitrevealer-application (freeware ^^).

De checksums, zoals Kaspersky ze heeft, worden door vele Anti-Virus software gebruikt (al dan niet met een "rootkit" om de bestanden te verbergen).

Ik zie het probleem wel, maar als de technieken in het Windows OS zelf gebruikt worden hebben we geen third party software nodig om misbruik te maken van een systeem, lijkt me.
edit:
Touché Nazgul ;) CMD gedaan en idd zichtbaar. Nooit echt over nagedacht zo, dacht dat het overbleef van een vorige Windows-install, en daarom zichtbaar was voor mij. Link dus weg :)
Zou een beter gedrag zijn voor Kaspersky denk ik meteen

Door Nazgul, zaterdag 14 januari 2006 13:38

Score: 2
Pffffffft.
Temporary Internet Files en de Recycle Bin word ook dmv het "rootkit" principe geregeld.
Daar klopt dus niets van. Een rootkit is een stuk software dat dingen verbergt voor de Windows API. Het gedrag daarintegen van de Recycle Bin wordt geregeld door zogenaamde Shell Extensions en is bedoeld om het gebruiksgemak te verhogen en niet om het geheel te verbergen. Als je via een Command Prompt gaat kijken zul je ook keurig netjes de inhoud kunnen zien. Iets wat je bij een rootkit kunt vergeten.

Door mashell, zaterdag 14 januari 2006 20:46

Score: 1
En "System Volume Information"? Die zie je alleen met een dir /a maar de toegang er in wordt je geweigerd.

Door MneoreJ, zaterdag 14 januari 2006 22:36

Score: 2
cacls "C:\System Volume Information" /G <user>:R

Vervang <user> door jouw loginnaam. Na dit commando heb je leesrechten op de directory. Kan ook met Explorer, hoor, als je CMD niet leuk vindt. Rechtsklik, Properties, Security. Geef jezelf alsjeblieft geen schrijfrechten; die heb je niet nodig en je kunt dingen stukmaken.

Er is een reden dat standaard alleen het besturingssysteem toegang heeft tot die informatie. En nee, met een rootkit heeft ook dit niets te maken. Security instellen kan iedereen die daar genoeg rechten voor heeft (in dit geval alleen administrators).

Rootkit-achtige praktijken zijn wanneer je dingen volkomen onzichtbaar maakt voor welke API dan ook, door het systeem zelf voor de gek te houden. Dat is een slecht idee omdat zulke dingen zich aan alle controle onttrekken, zelfs van beheerders.

Door bsander, zaterdag 14 januari 2006 13:10

Score: 0
Kaspersky geeft echter wel aan dat het in de volgende versie van zijn antivirussoftware afstapt van iStreams. Dit zouden ze doen om de deïnstallatietijd te verkorten.
Kom dan alsjeblieft met iets geloofwaardigs, met zo'n kutexcuus kan je 't toch niet drooghouden? :D

Door fl!pulI, zaterdag 14 januari 2006 13:27

Score: 1
Kutexcuus? Ik verwacht dat bij de-installatie van de iStreams/Checksums elke map op je computer doorlopen moet worden om 1 file weg te halen (met de informatie). Tijdvretend process (zeker met veel data/folders op je computer).

Geloofwaardig vind ik het dus wel

Door Green.Velvet|IA, zaterdag 14 januari 2006 13:34

Score: 1
Kortom, de AV fabrikanten zijn zich terdege bewust dat een degelijke AV beveiliging enorm resource vretend is voor je systeem waardoor dit bina onbruikbaar wordt.

Conclusie : AV makers zoeken technieken die niet zichtbaar zijn en waardoor ze de indruk kunnen wekken dat hun software flitsend snel 100% veiligheid biedt terwijl dat helemaal het geval niet is.

Door fl!pulI, zaterdag 14 januari 2006 13:39

Score: 1
uhm, nee. Als er een realtime scan actief is herleest hij (in dezelfde map) de oude Checksum en vergelijkt het met de Checksum van het nieuwe/aangepaste bestand. (en desnoods scant/update hem).

Toen men nog onder DOS werkte was mijn Shark! AV op dezelfde manier bezig. Tis juist ontwikkeld om tijd te winnen. Maja, de-installeren doe je maar 1 keer, scannen continu (of op vaste tijden een full scan).

Conclusie: De Rootkit word alleen gebruikt om problemen te voorkomen. (Lees mijn verhaaltje maar over de Recycle Bin en Temporary Internet Files, waarbij precies hetzelfde truukje word gedaan).

Door Mizitras, zaterdag 14 januari 2006 17:13

Score: 1
Green.velvet, je hebt het mis. Het is juist tijdswinst die je boekt. Zie ook reactie van fl!pull die het 100% samenvat ook.

Door MetalRush, zaterdag 14 januari 2006 13:16

Score: 0
Storm in een glas water... ik had er ook al over gelezen op Webwereld.
Uiteraard zal Kaspersky (al dan niet mbv 'rootkit' functionaliteit) bepaalde folders of files willen verbergen. Dit echter niet om de gebruiker te misleiden of hun pc's te willen blootstellen aan kwaadwillende(n), maar gewoon om het programma te allen tijde goed te laten functioneren.
Ik kom het zelf maar wat vaak tegen dat er 'een mannetje' is langsgeweest bij iemand die minder/geen verstand van computers heeft en er zo op die machine is gerotzooit dat ie helemaal opnieuw opgebouwd moet worden.

Kaspersky heeft, mijn inziens, goed gehandeld en valt niets te verwijten.

[rant]Russinovich is gewoon een klein kind dat van zich af staat te wijzen omdat een ander de techniek wel kan gebruiken zonder direct afgebrand te worden door de media/gebruikersgroepen [/rant]

Door Nazgul, zaterdag 14 januari 2006 13:41

Score: 1
Aan de andere kant begint zowat elk rootkit detectie programma te gillen op een PC waarop Kaspersky geinstalleerd is.

Dat geeft niet echt een gevoel van veiligheid (al is dat onterecht).

Door Mizitras, zaterdag 14 januari 2006 17:15

Score: 1
Dan moeten die 'gevorderde' gebruikers eigenlijk maar met hun handen van die rootkit-revealers afblijven.

Een man zonder diploma is geen arts,
wel, dan mag die ook niet opereren.

Door Jrz, zaterdag 14 januari 2006 14:08

Score: 2
ADS worden ook door explorer gebruikt.
Bijv. om aan te geven dat een bestand gedownload is en dus 'unsafe' is (stream:"Zone.Identifier") of om een koppeling tussen 2 bestanden aan te geven (Als je een webpage saved met images).
Je kan in principe de hele HDD vol maken, zonder dat iemand ziet waar die ruimte in zit, want er wordt alleen de main stream aangegeven.

je kan met o.a. notepad die stream editten:
notepad FILE:stream.

Als je een file download zie je daar bijv:
[ZoneTransfer]
ZoneId=3

staan.

Door Mizitras, zaterdag 14 januari 2006 17:16

Score: 1
In Winxp en 2K is het vele simpeler aan te tonen dat er zoiets bestaat als een 'bijkomende' plaats om data op te slagen:

1- Rechtse klik op een bestand - EIGENSCHAPPEN
2- Laatste tabblad, Samenvatting.

De dingen die daar staan worden in een 2de deel ingevuld van dat bestand, en worden niet bij de totaalsom van dat bestand gerekend.

Door Sir_Eleet, zaterdag 14 januari 2006 14:12

Score: 1
Ik vind dat antivirussoftware in bepaalde mate wel rootkit technieken mag gebruiken om zijn aanwezigheid te verbergen voor bv. malware die kan proberen de av software uit te schakelen oid. Zolang het maar goed z'n werk doet en natuurlijk niet moeilijk doet wanneer je het wilt uninstallen.

Door Sabbest, zaterdag 14 januari 2006 15:49

Score: 1
Tjah maar niemand programmeert foutloos, en je kunt als producent niet het risico lopen dat jou Anti-virus product een lek heeft in hun rootkit (of verborgen informatie als je rootkit niet de juiste term vindt) systeem waardoor het voor virus doodsimpel wordt om binnen in het systeem te komen. Het principe van zo'n beveiliging is goed alleen brengt het veel risico's met zich mee.

Door Mizitras, zaterdag 14 januari 2006 17:18

Score: 1
Iedereen kan aan dat stuke ADS-code van Kasersky aan, en evengoed modificeren. Dat is geen gebruik maken van rootkit-technologie, maar van een ingebakken (sinds Windows NT 3.0 !!!) feature.

Door nero355, zaterdag 14 januari 2006 15:17

Score: 1
Euhm..... iedereen die Kaspersky een keer uninstalled heeft weet dat je dan wordt gevraagd die iStreams te laten op je HD of te verwijderen !!!
En ja dat duurt lang en nee ik heb er geen problemen mee het is gewoon een top AV :)

Kortom : Stelletje prutsers blijf van mijn Kaspersky af |:(

Door ironx, zaterdag 14 januari 2006 16:09

Score: 1
Euhm..... iedereen die Kaspersky een keer uninstalled heeft weet dat je dan wordt gevraagd die iStreams te laten op je HD of te verwijderen !!!
Iedereen die Kaspersky installeert weet dat er wordt gevraagd of je iStreams wilt gebruiken ja of nee (tenminste, toen ik 'm installeerde paar maanden terug nog wel :P), maar men klikt maar als te graag op 'Ja', 'Ja', 'Ja'...

Dus een keer lezen wat je doet kan ook geen kwaad alvorens moord en brand te gaan schreeuwen :)

Door ironx, zaterdag 14 januari 2006 15:59

Score: 0
Kan me nog herinneren dat zelfs ThunderBYTE Anti-Virus in de jaren 80 al gebruik maakte van verborgen bestanden in al je directories (DOS remember? :)) waarin checksums van bestanden werden opgeslagen...

Dus TBAV viel toen al onder "rootkit"?

Ik vind dit echt te zot voor woorden en meer schreeuwerij om aandacht. Ik bedoel, hoeveel programma's hebben geen verborgen configuratie-bestanden? De gebruiker weet niet dat ze er zijn, en na installatie blijven ze meestal ook nog eens staan. Allemaal maar onder de noemer "rootkit" gooien?

Laten we wel even een duidelijk verschil opmaken tussen een checksum aan een bestand "plakken" of een programma wat zich helemaal in je systeem vreet en allerlei data doorstuurt waar je niks van af weet...
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 12:47 Brein noemt 150 miljoen filmdownloads krappe schatting
Vorige 12:18 Website aansprakelijk bij inbreuk op auteursrecht
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011