Hoofdcategorieën

[RSS] Index » Nieuws » Core » Software » F-Secure: Sony gebruikt nog software met rootkitkenmerken

F-Secure: Sony gebruikt nog software met rootkitkenmerken

Door Bart Veldstra, dinsdag 28 augustus 2007 15:35
Bron: F-Secure, views: 14.733

Een analist van F-Secure heeft ontdekt dat de software voor vingerafdrukherkenning van Sony's MicroVault USM-F flash drives gebruik maakt van rootkittechnieken om enkele programmabestanden te verbergen voor Windows en andere applicaties.

Rootkit / VeiligheidDe software installeert een driver voor de usb-stick in een directory onder c:\windows, die vervolgens verborgen wordt voor de api-aanroepen van het besturingsysteem. Applicaties als Windows Verkenner krijgen zo geen bericht van het bestaan van de directory, waardoor deze voor de gebruiker onopgemerkt blijft. F-Secure vermoedt dat deze techniek gebruikt wordt om de bestanden voor de vingerafdrukherkenning beter te beschermen, wat geen overbodige luxe is.

Hoewel de directory voor normale Windows-programma's niet toegankelijk is, is het nog wel mogelijk om via de command prompt naar de directory te navigeren en er bestanden in te verbergen of aanwezige bestanden uit te voeren. Hiervoor moet de gebruiker wel de naam van de directory weten, omdat deze niet wordt weergegeven met het 'dir'-commando.

Vanwege deze functionaliteit kan de software voor flashdrives een beveiligingsrisico vormen. Virusscanners die gebruikmaken van de gefopte api-aanroepen kunnen de bestanden in de verborgen directory niet controleren op malware, waardoor deze een uitgelezen verstopplaats vormt voor de programma's van kwaadwillende hackers.

Overigens gaat het om een andere softwarecomponent dan dat gebruikt werd in Sony's beruchte drm-beveiliging van twee jaar geleden, hoewel die ook gebruikmaakte van een verborgen map met bestanden.

F-Secure is al een maand op de hoogte van dit gevaar en heeft Sony ingelicht over het risico dat zijn klanten lopen, zoals het beleid van het beveiligingsbedrijf aangeeft. Vooralsnog heeft de mediagigant geen reactie gegeven op de melding.

Volgende 17:31
Vorige 15:25

Gerelateerde artikelen

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 57 reacties zichtbaar570 Neutraal: 39 reacties zichtbaar39+1 Meerwaarde: 10 reacties zichtbaar10+2 Verplicht leesvoer: 1 reactie zichtbaar1
«  1  2  3  »

Door maartend, dinsdag 28 augustus 2007 15:38

Score: 0
Wederom Sony? Ze leren het ook niet echt geloof ik met die rootkits van ze.

Door beantherio, dinsdag 28 augustus 2007 15:39

Score: 0
De rootkit-technieken uit het artikel zijn kennelijk ook gebruikt om de titel onzichtbaar te maken. :)

Ik verbaas me er trouwens over dat Sony nog actief is op dit gebied. Ik dacht dat ze na het debakel van 2 jaar geleden hun buik wel vol zouden hebben van rootkit-systemen.

Door bbr, dinsdag 28 augustus 2007 15:59

Score: 0
Je zo toch idd denken dat ze nu wel van die rootkits hadden afgezien, na alle ophef die er initieel over was.

Misschien dat de rechter hier uiteindelijk aan te pas moet komen, want ik betwijfel dat gemiddelde gebruikers hiervoor toestemming willen geven.

Door ebx, dinsdag 28 augustus 2007 16:08

Score: 0
Wat een bash-the-sony stemming dat hier heerst.

Er is hier totaal geen probleem en eigenlijk ook amper sprake van 'Rootkit gedrag'
Het gaat hier over ocharme een verborgen directory ! Waar een 'kwaadwillige hacker' zijn bestanden zou verstoppen !!

Als op het moment van inbraak de virusscanner niet detecteert, kan deze hacker gewoon zelf zo'n directory aanmaken !

De kans dat de hacker zelf een verborgen map aanmaakt is vele groter dan dat die software opzoek gaat naar een sony directory ... waarvan je de naam niet kan listen of zoeken en wellicht uit een unieke gebruikersID bestaat.

Door Nijn, dinsdag 28 augustus 2007 16:18

Score: 1
Er wordt ook gesproken over kenmerken VAN.

Het debakel van een tijd terug kwam omdat de Sony software wijd verspreid was. Virusschrijvers konden er dus enigzinds vanuit gaan dat de verborgen map aanwezig was.

Dan is het een stuk makkelijker om een virus te schrijven dat daar gebruik van maakt ipv zelf een rootkit te schrijven en verspreiden. Niet alleen vanwege het formaat, wat groter zou worden als je zelf de rootkit mee moet sturen, maar ook vanwege het gedrag van je virus. Virusscanners reageren tegenwoordig niet alleen meer op herkenning van een virus. Ze kijken ook hoe een programma zich gedraagt. Zo'n rootkit valt op. Zeker als je daarnaast ook nog andere trucs uithaalt.

Maar, gebruik je de rootkit van een ander, dan ben je alweer lastiger te vinden.

In dit geval is de boel minder verspreid, maar nog steeds gevaarlijk. Zo'n map vinden is een eitje natuurlijk. Niet alleen moet de naam ergens opgeslagen zijn (anders kan Sony hem ook nie vinden), bovendien kun je met 2 api-calls vergelijken welke map verborgen blijft bij de ene.

Door YaPP, dinsdag 28 augustus 2007 16:35

Score: 2
Er is hier totaal geen probleem en eigenlijk ook amper sprake van 'Rootkit gedrag'
Het gaat hier over ocharme een verborgen directory
Het gaat hier niet om een normale "verborgen directory" zoals je die in Windows en Dos met een vinkje kan aanzetten. Dat is alleen een cosmetische ingreep: de eindgebruiker krijgt minder details over C:\Windows.

Wat Sony nu doet is een driver installeren die directories onzichtbaar maakt voor alle andere software op je systeem, inclusief je virusscanner. Dat wordt gedaan door de win32 API functies FindFirstFile() en FindNextFile() te verbouwen. Windows wordt zelf letterlijk voor de gek gehouden dat er een directory niet op de harde schijf bestaat. Dergelijk gedrag valt daadwerkelijk onder de definitie van een rootkit.

[Reactie gewijzigd door YaPP]

Door Parasietje, dinsdag 28 augustus 2007 18:10

Score: 1
Ze maken USB-sticks met biometrische vingerherkenning. Als ze denken dat ze dat veilig moeten houden door een directory van het besturingssysteem verborgen te houden...

Security through obscurity werkt niet. Sony belazert consumenten door ze een onveilig systeem te verkopen. Hoog de prijs EUR 40 op. Laat het rekenwerk op de usb-stick zelf gebeuren.
Maar nee, zoiets noemt 'concurrentie'.

Door Comgenie, dinsdag 28 augustus 2007 15:40

Score: 0
Verder, om toch nog iets van inhoudelijk op het bericht te gaan. Ik vind het best dat bij dit een rootkit zit, om de vingerafdrukken te verbergen. Maar ik vind wel dat het duidelijk moet worden aangegeven, en zeer optioneel moet blijven.

Door ]Byte[, dinsdag 28 augustus 2007 16:42

Score: 0
Dus om vingerafdrukken te "beveiligen" gaan we uit van de onwetendheid van de gebruiker en kunnen we zeggen dat we veilig zijn. :? |:(
Als dit het nivo van "beveiligen" is van Sony, weet ik alvast welke producten ik niet moet hebben.
Het gaat ook om de gemiddelde gebruiker die zal zeggen "Zal wel?!? Installeren die hap en hij moet het gewoon doen" en weet vervolgens niet wat de gevaren zijn.
Ik begrijp F-Secure ook heel goed dat ze Sony over de riso's hebben geinformeerd.
Wat weer net ff iets minder is, is dat ze geen reactie hebben gegeven.
Aan de andere kant is het ook een moment voor de anti4us-makers om hier eens bij stil te staan...
Blijkbaar weten de anti4us-makers van dit probleem, en ook dat hun software de verborgen files / dir's niet zien en dus niet scannen.
Maar is het voor de anti4us-makers dan niet mogelijk om ook BUITEN de API om te gaan om juist dit te voorkomen dat ze niet kunnen scannen?!?

[Reactie gewijzigd door ]Byte[]

Door Dutch_Razor, dinsdag 28 augustus 2007 16:46

Score: 0
Nee dan die app die laatst op Tweakers was getest, daar kon je gewoon met een hex editor de commandos aanpassen van True naar False, en toen werkte t.
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 17:31
Vorige 15:25
VNU Media logo Powered by True

© 1998 - 2008 Tweakers.net - Alle rechten voorbehouden

Uitgever van: