Intel werkt aan rootkit-detectie

InfoWorld schrijft dat Intel met onderzoek bezig is om rootkits te detecteren. Tijdens een open dag vertelden onderzoekers dat het doel is dat pc-gebruikers onmiddelijk gewaarschuwd worden als zich een potentieel gevaarlijk stuk software op hun systeem nestelt, dat gebruik maakt van 'rootkit'-technieken om zijn aanwezigheid op het systeem verborgen te houden voor malwaredetectieprogramma's. Een recent voorbeeld is het beruchte XCP - de door Sony BMG gebruikte en weer teruggetrokken kopieerbeveiligingssoftware.

Intel logo Intel-onderzoeker David Tennehouse zegt dat bij een van de projecten een chip op het moederbord wordt geplaatst die het systeem in de gaten houdt op zoek naar tekenen die op een aanval kunnen wijzen. Het 'OS Independent Run-Time System Integrity Services'-project probeert met de zogeheten 'integrity measurement manager'-chip om veranderingen in applicatiecode te detecteren, aangezien bepaalde malware probeert om data in het systeemgeheugen zodanig te wijzigen dat de eigen kwaadaardige code wordt uitgevoerd. Er zou dan een response op een dergelijke detectie ingesteld kunnen worden, zoals het sturen van een boodschap naar het systeembeheer, zodat maatregelen tegen verdere verspreiding genomen kunnen worden. Volgens Intel kan een dergelijk product fungeren als een nuttige aanvulling op antivirussoftware. Het zou de bedoeling zijn dat de technologie over twee tot drie jaar op de markt verschijnt.

IT-banen

Reacties (41)

NoControl 8 december 2005 04:02

Op het eerste zicht een heel leuk idee, vanaf het hardwareniveau toezicht houden.
Natuurlijk moet er rekening gehouden worden met problemen. Bijvoorbeeld, wanneer zo'n rootpoging gedetecteerd wordt, hoe de gebruiker of het systeem waarschuwen? De code van het OS die deze interrupts afhandelt zal heel waterdicht geschreven moeten zijn, anders kan deze eerst geëxploiteerd worden, waarna het niet meer uitmaakt of deze nieuwe chip iets opmerkt of niet. Het (geëxploiteerde) OS zal namelijk niets ondernemen.

Een tweede punt is DRM. Ik acht het niet onmogelijk dat deze chip in feite een TPM-chip is. Voorlopig zijn er vrij weinig systemen met zo'n TPM-chip, omdat ze niet veel nut hebben voor eindgebruikers; ze dienen vooral om copyright te beschermen en anonimiteit weg te nemen. Deze rootkitdetectie is dan een extra feature wat gebruikt wordt om de aanvaarding en het nut van TPM-chips te vergroten. Eens iedereen zo'n chip heeft is er geen echte drempel meer voor bedrijven om software te schrijven die zo'n chip ondersteunt, of erger, vereist.

Voor meer info:
Trusted Computing Group (pro Trusted Computing)
`Trusted Computing' Frequently Asked Questions (redelijk contra, maar vrij nuchter)

edit:
@Ron.IT: jammer

en dat om 4u 's nachts

Get!em @NoControl • 8 december 2005 04:21

ik vraag me eerder af, als er nou technieken zijn om deze chip te ontwijken, komt er dan een update?!?! Hoe zie je dat dan voor je? Nieuw chipje inbakken? Bepaald geheugen flashen? (als het handmatig kan , dan kan dat eventuele kwaadaardige code dan ook!)
Wat blijft er over?!?

miw @Get!em • 8 december 2005 10:56

Secure loaders als onderdeel van het flash geheugen controleert of de code van een "vertrouwde" bron afkomstig is. Als de rootkit makers de secret key niet bezitten, kunnen ze hun malware niet van een correcte authenticatie voorzien en weigert de flash loader om de image te branden.
Overigens wordt het steeds moeilijker om ervan uit te kunnen gaan dat een PC doet wat een eindgebruiker ervan verwacht. Dit is een belangrijk probleem, waar best meer onderzoek op mag plaatsvinden. De technologie om dit te berieken kan waarschijnlijk op meerder manieren gebruikt worden. Dit kan voor de consument positieve en negatieve kanten hebben. De positieve kanten zijn voor de consument uiterst relevant en daarom beoordeel ik dit als een positieve ontwikkeling. De mogelijke negatieve inzet van deze technieken is een kwestie van alert blijven en het mogelijk misbruik ervan aan de kaak te stellen.

a.prinsen @NoControl • 8 december 2005 10:00

Als je OS niet de goede acties onderneemd zou
zou de chip tijdens het opstarten (Bij het booten vanuit BIOS) je een waarschuwing kunnen triggeren..

The security chip has detected a root_kit on your system:
"info blah blah bla Press [enter] to continue"

Hoe die er dan weer af te halen is een tweede maar je weet er in elk geval vanaf....

Verwijderd @a.prinsen • 8 december 2005 11:45

handig als je een gemiddelde uptime van 6 maanden hanteert...

a.prinsen @Verwijderd • 8 december 2005 15:18

handig als je een gemiddelde uptime van 6 maanden hanteert...

Voor de mensen die een gemiddelde uptime van 6 maanden hanteren hoop ik dat ze genoeg verstand van hun OS hebben om "veilig" met hun OS om te gaan.

De gemiddelde gebruiker die dat niet kent zal mischien een gemiddelede uptime van 2 a 3 uur hebben.

Verwijderd @NoControl • 8 december 2005 11:49

hoe de gebruiker of het systeem waarschuwen?

Een mooi blauw 'System Halted' scherm lijkt me wel wat.

Verwijderd 8 december 2005 00:04

Heel leuk, maar is natuurlijk weer puur een kwestie van tijd tot er rk's zijn die dit weten te omzeilen. Net zoals er nu een gold versie van HXDEF te koop is / er zelf gecompilede versies van HXDEF zijn die niet gedetect worden. En ja, zelf compilen is voor de gemiddelde script kiddie prima te doen.

GambitRS @Verwijderd • 8 december 2005 06:37

Nee, dat is niet eens de echte ergernis. Het is nu gewoon wachten op iemand die zegt "Ja, Intel, dat mag jij dan wel leuk willen maar ik heb daar patent op en ik wil geld hebben".

Of erger, Intel krijgt zelf het patent en komt met iets wat niet goed werkt. Vervolgens, met hun miljoenen gereserveerd voor advocaten, zorgen ze ervoor dat niemand anders zoiets zal gaan maken zodat we pas over een jaar of 20 een echte rootkit verwijder tool kunnen krijgen wat wel werkt.

MewBie @GambitRS • 8 december 2005 07:48

Of die detectie tool gaan ze voor andere zaken gebruiken

en daar zitten we ook niet op te wachten

darkseas @Verwijderd • 8 december 2005 10:40

offtopic:
Je kunt het ook overdrijven natuurlijk! In plaats van je te buigen over hoe je 'gecompilede' of 'gedetect' nu schrijft... Het zou je verbazen, maar er bestaan gewoon nederlandse woorden voor! (gecompileerde? gedetecteerd?)
etc.

Verwijderd @Verwijderd • 9 december 2005 18:04

Toevallig heb ik me de laatste tijd wat verdiept in rootkits voor een artikel hierover... Maar als we het over windows hebben, hoe wil die chip mensen dan gaan waarschuwen? Want als dat niet met een hardware signaal gaat (geluid? lampje?) dan kan je het natuurlijk vanuit de kernel gewoon niet doorgeven naar de software, en hoort de gebruiker nooit iets van die chip.

Verwijderd 8 december 2005 04:07

Vraag me toch af of dit een methode is van Intel om hun veel besproken Vanderpool 'beveiliging' via een achterdeur toch in de computers te krijgen.

"Trusted Computing" zoals dat nu heet, waar je hier alle leden kan bekijken.

Zeker de publiciteit rondom Sony's schandaal is natuurlijk de ultieme manier om gebruikers van het nut te overtuigen.

edit: darn, moet sneller typen, NoControl was me net voor.

@NoControl, voor jouw 4uur, ik zit op Amerikaanse PST zone, dus was gewoon te traag

Oet

8 december 2005 00:05

Dit klinkt zeer intressant, op een hardware niveau dingen beveiligen is natuurlijk voordelig:
- Je hoeft er geen speciale software voor te draaien
- Geen mogelijke beveiligingslekken in software en mogelijke exploits doordat het gewoon op de hdd staat

Natuurlijk zal ook de hardware wel te omzeilen zijn, maar ik geloof eerder dat beveiliging op hardware niveau beter waterdicht te maken is dan op software niveau..

Ik zie ook ineens mogelijkheden om 'rootkits' op linuxbakken te kunnen ontdekken! Als dit het geval is zou het best wel eens een gewilde feature kunnen zijn in die wereld (alles voor de veiligheid!)

Verwijderd @Oet • 8 december 2005 11:43

En hoe dacht je de CPU te patchen als er een bug in zit, of als er een manier is gevonden om de detectie te omzeilen?

Geef mij maar mijn eigen rootkit detectie software. Die kan je meteen updaten als er nieuwe hacks bedacht worden.

MBV @Verwijderd • 8 december 2005 15:51

Voordeel van hardware is dat je het misschien kan omzeilen, maar niet uit kan schakelen. In het ergste geval kan je het updaten naar een niet-werkende versie, maar het proces om zeep helpen is niet voldoende.
Elke nacht chrootkit draaien is iets dat je met een rootkit uit kan schakelen. Je zou het zelfs kunnen faken door het bevestigingsmailtje wel te sturen enzo...

martijnvanegdom @Oet • 8 december 2005 06:39

beeman @Oet • 8 december 2005 00:43

Ik zie ook ineens mogelijkheden om 'rootkits' op linuxbakken te kunnen ontdekken! Als dit het geval is zou het best wel eens een gewilde feature kunnen zijn in die wereld (alles voor de veiligheid!)

Die mogelijkheid is er toch al? Op mijn machines draait elke nacht 'chkrootkit'...

DataGhost

8 december 2005 06:40

Ik vraag me ook serieus af hoe ze het OS gaan waarschuwen en wat het dan gaat ondernemen, dat het niet zo low-level werkt als de '..... Error - System Halted' berichten die ik nog ken van vroeger. Zal leuk zijn als je een false positive krijgt op je productieserver.
En wat als je nu legitieme software probeert te verbergen, bijvoorbeeld remote monitoring software op een school?

MTWZZ @DataGhost • 8 december 2005 09:02

Beetje offtopic:
Waarom wil je dat soort software verbergen? Als je remote monitoring op OS level doet als een (bijvoorbeeld) windows service dan kan een gewone user daar weinig mee.

Ik ben overigens niet zo'n voorstander van hardware matig antivirus/antirootkit chips, je kunt er zelf te weinig invloed op uit oefenen en het updaten van die dingen is zeker niet waterdicht te krijgen.

Daenney 8 december 2005 00:13

alles voor de veiligheid?!
Dan krijgen we een Enemy of the State senario, dat wil je ook niet

Ik ben het idd met je eens dat beveiligen op hardwarematig nivo beter waterdicht te krijgen is, net zoals een hardware firewall toch steviger is dan een softwarematige dus ik zie dit wel zitten, vanaf het moment dat die chip dan niet de verzamelde gegevens gaat doorzenden aan 3rd parties e.d, wat ook nog zou kunnen

YscO @Daenney • 8 december 2005 09:22

Offtopic:
Bij mijn weten worden hardware matige firewalls ook door software aangestuurd

Defspace 8 december 2005 00:03

Ik snap niet dat Microsoft dat niet gewoon onderdeel maakt van het OS en/of de "Malicious Software Removal Tool"...

Verwijderd @Defspace • 8 december 2005 01:15

En werkt dat ook voor Linux of BSD?

Dacht het niet. Dus moet Intel zelf zijn eigen maatregelen treffen.

Verwijderd @Verwijderd • 8 december 2005 07:40

Het 'OS Independent Run-Time System Integrity Services'-project

Lijkt me toch dat hier staat dat het niet van een OS afhankelijk is. Het zou dus ook moeten werken met Linux, Solaris en Menuet, om er maar een paar te noemen.

Er zou dan een response op een dergelijke detectie ingesteld kunnen worden

Dit gedeelte zou dan in het OS moeten komen en ik denk dat dit niet zo moeilijk moet zijn voor eender welke OS bouwer dan ook.

Overigens is het idee van een gespecialiseerde chip niet nieuw; een tijdje geleden was de DRM chip ook al in het nieuws. Nog even en we moeten mobo's uitkiezen met wel of niet bepaalde chips op het bord. Misschien wel wat schandalen omdat een chip toch iets meer doet dan wat er van gezegd wordt.

Verwijderd @Verwijderd • 9 december 2005 17:22

dat zegt pietje puk dan ook ....

hij zegt dat microsoft software niet zou werken onder linux ea

daarom zegt hij dat intel maatregelen moet treffen: deze dus, die inderdaad, zoals jjij zegt OS independant zijn ...

Verwijderd @Defspace • 8 december 2005 01:06

Omdat malware alles kan doen met windows wanneer het eenmaal binnen is, het kan dus ook de detectiemogelijkheid van windows buiten spel zetten. Het idee van Intel is nou juist om van buitenaf het systeem in de gaten te houden.

Olaf van der Spek @Verwijderd • 8 december 2005 15:58

Omdat malware alles kan doen met windows wanneer het eenmaal binnen is,

Het idee is natuurlijk ook om malware te stoppen terwijl het nog binnen moet komen.
Maar MS lijkt zich meer te richten op genezen dan voorkomen momenteel.

Verwijderd @Defspace • 8 december 2005 01:16

Ik vraag me af waarom Intel niet even lekker wacht tot de nieuwe processors uitkomen die ze zelf plus concurrent AMD aan het maken zijn die ondersteuning bieden voor virtualisatie techniek.
Daarmee kan je ook prima je systeem in de gaten houden door besturingssytemen te laten draaien op achterliggende systemen die ondertussen de hele computer doorscannen zoekend naar narigheid.

Klaus_1250 @Defspace • 8 december 2005 10:59

De Malicious Software Removal Tool scant al op sommige rootkits, alhoewel ik niet weet of dat gedowloade componenten of geinstalleerde componenten gaat.
Verder komt er rootkit-detectie in Windows Defender (opvolger van Microsoft AntiSpyware).

Triple-S @Defspace • 8 december 2005 11:35

Ik snap niet dat er zowiezo de mogelijkheid in het OS zit waar een rootkit gebruik van kan maken.

Nu gaat dus Intel werken aan hardwarematige oplossing wat feitelijk een softwarematig probleem is

En waarom OS independent ?
Ik nog nooit van een rootkit gehoord op een *nix OS ?
De Linux distro's zijn daarbij gebaseerd op een Open Source, dan zou dat toch te achterhalen moeten zijn ?

of mis ik nou iets ....

Eric Oud Ammerveld @Triple-S • 8 december 2005 12:22

D'r bestaan wel degelijk rootkits voor *nix OS-en..
Voor Linux heb je bijvoorbeeld rkdet en andere rootkit detectie programma's.

Programma's als "Tripwire" kunnen de activiteit van een rootkit constateren.
Vooralsnog ken ik geen apps die de acties van een rootkit echt tegen gaan.
De manier waarop het geheugen wordt gebruikt staat vrijwel automatisch toe dat rootkits kunnen bestaan.

Door geen module ondersteuning in je kernel toe te staan kan je het uitvoeren van third party code enigszins begrenzen, maar ook dan zijn er nog voldoende mogelijkheden om via bijvoorbeeld exploits "direct" naar je geheugen te schrijven.

Rootkits zorgen er zelf meestal voor dat ze "onzichtbaar" integreren en aanwezig zijn in je systeem. Rootkit detectors proberen dit te constateren en a.s.a.p. door te geven door bijvoorbeeld een E-mail te sturen bij een dergelijke detectie.

Het controleren van de schrijfacties naar het geheugen zou een dusdanig intensieve taak zijn dat je performance gruwelijk in elkaar zakt...

Daarnaast geldt hierbij een beetje de regel:
Quis Custodiet Ipsos Custodes? ofwel
Wie bewaakt de bewaker?

Ortep

8 december 2005 09:52

@CipherSF:

Waarom nou juist Intel hiermee komt

Lijkt me veel voor de hand liggende als Microsoft hier zelf mee komt, aangezien de rootkits gebruiik maken van mogelijkheden van Windows om ziczhelf te verbergen.

Omdat het OS onafhankelijk is. Of dat je dat op Linux of MacOS geen rootkits mogelijk waren?

a.prinsen @Ortep • 8 december 2005 15:25

Of dat je dat op Linux of MacOS geen rootkits mogelijk waren?

Onder linux zijn rootkits ook wel mogelijk. zolang de gebruiker op een verkeerde manier met zijn systeem werkt (altijd met admin/root rechten) surft etc..

Alleen zijn de "standaard" instellingen onder linux net andersom dan windows.. Hierdoor moet onder linux de gebruiker "weten" wat hij aan het doen is. Dit is onder windows veelal niet nodig.

De gemiddelde consument boeit het totaal niet hoe hij het installeerd zolang het maar snel en makkelijk gebeurd (met alle gevolgen van dien). Onder linux moet je veelal net wat meer aandacht besteden en weten wat je wilt. Dit is vaak (triest maar waar) al te veel / moeilijk voor de gemiddelde consument.

Dit is ook waarom linux een gevoelsmatige hogere drempel heeft dan windows.. Hoewel als je weet wat je wilt je veelal meer controlle hebt onder Linux.

Verwijderd 8 december 2005 12:19

En dan komt er weer een nieuw rootkit-virus waar de chip niet tegen werkt.

Oplossing: Programmeerbare chip met firmware

Virus-oplossing: Doe alsof je firmware bent en neem die chip over...

Heathcliff 8 december 2005 20:52

Aan de reacties hier te lezen wordt er *denk ik* door de meesten hier een denkfout gemaakt. Wat Intel hier voorstelt is niet een soort memory-scanner die rootkits kan detecteren obv fingerprints, zoals een virus-scanner dat doet. Dit is meer te vergelijken met DEP (Data Execution Prevention). DEP is door AMD geïntroduceerd en ook door Intel geaddopteerd. DEP is volgens mij een standaard feature op alle processoren die het afgelopen jaar zijn gemaakt. DEP is een feature van de processor die kan worden gebruikt door het OS. DEP wordt onder Windows ondersteund vanaf SP2. Als DEP is ingeschakeld, dan worden alle stukken geheugen die door het OS worden gealloceerd gekenmerkt. Vervolgens zal de processor het niet meer toestaan dat er code kan worden uitgevoerd die in een stuk geheugen is geplaats, dat is gekenmerkt als zijnde 'data'. Door deze techniek wordt de aloude 'buffer overflow' uitgebannen. Het is dan niet meer mogelijk om stukken programma code op een systeem te laten infiltreren om vervolgens een proces over z'n nek te laten gaan en daarna de code uit te laten voeren. Op deze techniek zijn heel veel virussen en wormen gebaseerd. Als alle processoren zonder DEP uitgefaseerd zijn, dan zullen dit type virussen en wormen bijna geen kans meer krijgen. Met DEP geactiveerd zullen processen die op deze manier code dreigen uit te gaan voeren een fatale uitzondering veroorzaken door de processor. Daarna kan het besturingssysteem niets anders meer doen dan het proces afsluiten. Het is iets kwalijker als een dergelijke situatie zich voordoet op kernel-niveau (bijvoorbeeld een 'zieke' driver of codec). In dat geval zal het besturingssysteem over z'n nek gaan. Dat is niet leuk natuurlijk, maar het voordeel is dat het systeem daarna niet geïnfecteerd is.

Ik ben niet erg bekend met de technieken die door rootkits worden gebruikt om zichzelf te installeren. Wanneer een rootkit is geïnstalleerd, dan zal deze onzichtbaar voor het besturingssysteem zijn werk kunnen doen, omdat een rootkit niet bovenop het besturingssysteem draait, maar gebroederlijk naar het besturingssysteem zijn werk doet. Om dit voor elkaar te krijgen zal er in het geheugen 'gerommeld' moeten worden. Door op dezelfde manier als bij DEP de verschillende geheugenblokken bepaalde kenmerken te geven zal de processor bepaalde acties kunnen voorkomen als dit te veel lijkt op rootkit-activiteit. Hiervoor zal ook een update van het OS nodig zijn (net als SP2 voor DEP).

Een dergelijke techniek van Intel zal vast niet alle rootkits kunnen voorkomen. Maar het zal wel veel weerstand kunnen bieden tegen rootkits. Het zal net als DEP een feature zijn die kan worden ingeschakeld. Daarnaast zullen nog steeds reguliere scanners gebruikt kunnen worden. Op een systeem met DEP moet je ook nog steeds een virusscanner en een firewall moeten gebruiken.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (41)

Sorteer op:

Weergave: