'Verbod op rootkits wenselijk'

Een Amerikaanse overheidsdienaar van het Department of Homeland Security heeft betoogd dat de beste manier om het opduiken van rootkits te voorkomen eruit bestaat ze buiten de wet te plaatsen. Met de recente Sony-affaire in het achterhoofd is Jonathan Frenkel, verantwoordelijk voor de 'law enforcement policy', van mening dat het belangrijk is na te denken over deze problematiek. Consumenten zouden volgens hem niet verrast mogen worden door wat software allemaal uitvoert op hun computer. Regulering en registratie zullen volgens hem niet alle problemen oplossen, maar het kan een hoop misverstanden voorkomen, aldus Frenkel. Het belangrijkste struikelblok lijkt voor Frenkel overigens niet het stiekem installeren van de software te zijn, maar het feit dat kwaadaardige programmeurs de Sony-rootkit konden misbruiken om hun code te verbergen.

Rootkit / Veiligheid De term rootkit is oorspronkelijk afkomstig uit de Unix-wereld en verwees naar een verzameling aangepaste tools en commando's als 'ps', 'netstat' en 'passwd'. Met behulp van deze aangepaste versies van de normale tools was het voor een inbreker in een computersysteem mogelijk om als root-gebruiker tekeer te gaan zonder sporen na te laten voor de systeembeheerder. Vorige maand riep Symantec dan ook al op tot een nieuwe definitie van de term rootkit, nadat het zelf beschuldigd werd van het aanbrengen van dergelijke tools in zijn software.

IT-banen

Reacties (36)

Blackminister 17 februari 2006 13:47

Ik vraag me af in hoeverre dit zal uithalen....Spam is eigenlijk ook verboden, doch er is weinig aan te doen. Dat er aandacht aan besteed wordt, is wel al een goed teken....

arjankoole

Economie en maatschappij

@Blackminister • 17 februari 2006 13:53

Ik vraag me af in hoeverre dit zal uithalen....Spam is eigenlijk ook verboden, doch er is weinig aan te doen. Dat er aandacht aan besteed wordt, is wel al een goed teken....

Er is wel een heel groot verschil tussen spammers en legitieme bedrijven als Sony. Spammers gebruiken allerlij illegale methoden als botsnets et al om spam te versturen, en zijn daardoor slecht traceerbeer. Bedrijven als sony en symantec zijn gewoon legitieme, gevestigde bedrijven die een product aan de man brengen, derhalve zijn ze een stuk beter traceerbaar en daardoor ook gevoelig voor juridische zaken. Een spammer aanklagen is dicy at best, Sony aanklagen.... ach, dat hebben we de laatste tijd wel kunnen zien.

Een dergelijk verbod zou IMHO dus wel degelijk een groot effect kunnen hebben op de muziek en software industrie.

Blackminister @arjankoole • 17 februari 2006 13:56

Ik moet je gelijk geven, dank u om mij tot dat inzicht te brengen

Vraag is nu of dit wettelijk wel haalbaar zal zijn. De lobby van de muziek- en filmindustrie is nogal zwaar. Kan me voorstellen dat ze enorm veel druk zullen uitoefenen om aan te tonen dat het wel degelijk een noodzakelijke tool is. En als aangetoont kan worden dat een rootkit wel degelijk veilig 'kan' zijn....dan zitten we weer met de gebakken peren (als consument)

Toolskyn @arjankoole • 17 februari 2006 14:23

Daarbij komt volgens mij ook nog eens dat rootkits nog minder ver ontwikkeld zijn. Spam wordt door sommige bedrijven al als gewone manier gezien om reclame aan te bieden. Rootkits hebben daar nog niets mee. Als deze wetgeving nu zoveel mogelijk wordt ingevoert zitten we in ieder geval niet later met de gebakken peren. Vaak is het namelijk zo dat de wetgeving pas komt nadat het compleet mis is gegaan en het de consument, het bedrijfsleven en de overheid vele miljoenen heeft gekost. (Hoewel, Sony heeft zich ook aardig verslikt...)

memphis @arjankoole • 17 februari 2006 18:53

Ook spammers zijn voor legitieme bedrijven bezig, hoewel de spammer alles doet om anoniem te blijven zijn veel bedrijven waarvoor ze werken wel opspoorbaar. Blijkbaar is er geen instantie die daar naar kijkt, geen klant geen spammer....

Rootkits zullen onder de virussen natuurlijk nooit uit het leven gehaald worden maar om ze wettelijk uit de legaliteit te halen kan je in ieder geval gemene DRM truukjes voorkomen.

ymmv @Blackminister • 17 februari 2006 13:58

Of door wetgeving er wat aan gedaan kan worden maakt in dit geval niet zoveel uit. Het gaat er in eerste instantie om om dit soort praktijken officieel te verbieden zodat er een duidelijk signaal gegeven wordt naar grote bedrijven die rootkit-achtige softtware inzetten. Op dit moment is het gewoon een juridisch grijs gebied. Door duidelijk te stellen wat een rootkit is en dat het gebruik ervan strafbaar wordt, zullen legitieme bedrijven zich er niet meer mee inlaten. Dat bedrijven en individuen zonder scrupules gewoon doorgaan met rootkit-software is een jammerlijk feit, maar ze weten dan wel dat er consequenties volgen als ze betrapt worden.

CmdrKeen @Blackminister • 17 februari 2006 14:29

Dat iets gedaan wordt, is geen reden om het niet te verbieden.

Anders kan je _alle_ verboden die geschonden worden, opheffen.

Anoniem: 146043 18 februari 2006 07:57

Een rootkit kan enge dingen uithalen met je PC. Bijna alles is te bedenken. Van grapjes tot serieze datadestructie.

Het is de nieuwste vorm van crimineel gedrag. Ten eerste kun je ze moeilijk vinden en ten tweede zijn ze moeilijk te verwijderen zodat we echt op moeten gaan letten.

Het enigste wat wij kunnen doen is de PC goed beveiligen. Dat betekend:

->Gebruik een goede firewall en niet de Windows portblocker
->Gebruik een andere browser of trek de veiligheidszones van IE strak aan zoals ik doe. Alle sites zijn standaard restricted tenzij ik toestemming geef aan een site om in de Trusted zone te mogen welke ook aangetrokken is.
->Gebruik een goede virusscanner zoals Nod32 of Kaspersky.
->Houd de PC in de gaten met Hijackthis en een rootkit revealer.

Het is betreurenswaardig dat het zo moet. Toen ik in 1997 online ging was dat allemaal niet zo aan de orde.

Hoe ziet het er over 9 jaar uit

Justice 17 februari 2006 13:47

Stel nou dat dit algemeen zo wordt, dna betekend dit dat bijna alle DRM illegaal wordt? Aangezien de DRM niet in de media zit, maar als software geinstalleerd moet worden?

Tijger @Justice • 17 februari 2006 14:16

Nee, DRM kan volkomen transparant en duidelijk werken en heeft niets met rootkits te maken in principe, dat Sony er een puinhoop van gemaakt heeft maakt DRM nog geen rootkit.

Anoniem: 93986 17 februari 2006 13:51

Grappig dat er ook nog wel eens goed nieuws uit Amerika komt. Blijkbaar zitten er toch nog wel mensen bij de overheid daar die logisch denken.

egeltje @Anoniem: 93986 • 17 februari 2006 13:59

Laat ze eerst maar eens een goede definitie geven van een rootkit. Het is in mijn boekje meer dan een driver die bepaalde bestandstypes maskeert. De naam doet vermoeden dat er ook utilities in zitten die automatisch onder het root (allmighty admin) account draaien en bedoeld zijn om gegevens op jouw systeem te bekijken/veranderen.

In het Sony geval:
Sony installeerde een driver die bepaalde files niet aan het OS liet zien.
Anderen schreven tools die hier handig gebruik van maakten en zich mee verborgen.

Ik zou dus voor een verbod zijn om files voor het OS te verbergen.

Anoniem: 92540 @egeltje • 17 februari 2006 14:55

De gewraakte software van Sony had als ongewenst bijeffect dat het je achterdeur openzette voor malware - en daar gingen volgens mij die rechtzaken en beschuldigingen van 'rootkit' over.

Een definitie van ongewenste software zou dus kunnen zijn 'laat derden ongeautoriseerd op de pc toe'. Nou ben ik best voor zo'n verbod, maar hoe maak je dat praktisch? Dan zou elk OS onder dit verbod vallen zodra er een bug misbruikt kan worden. 'Naar beste weten'? Wie bepaalt dat?

Anoniem: 158516 @egeltje • 17 februari 2006 14:27

Vergeet niet: Sony zijn rootkit verstuurde versleutelde informatie. Dat past misschien niet echt bij de definitie van een rootkit maar maakt wel de malafide bedoelingen van de ontwikkelaar duidelijk.

Mijzelf @egeltje • 17 februari 2006 14:57

Ik zou dus voor een verbod zijn om files voor het OS te verbergen.

Een file die voor het OS verborgen is kan niet zoveel kwaad he? Het probleem hier was dat de files *niet* voor het OS verborgen waren, (deze voerde hen immers uit) maar dat je hem via explorer niet te zien kreeg.

Anoniem: 121743 @egeltje • 17 februari 2006 17:29

Een goede definitie van een rootkit is inderdaad van absoluut belang. Er heerst veel verwarring over omdat de vroeger rootkits technieken waren om root acces te verkrijgen op UNIX systemen zo ontstond de naam rootkit.

Onder andere Mark Russinovich (ontdekker Sony rootkit) van Systeminternals ziet het algemener in de definitie op zijn website en legt een andere nadruk:
The term rootkit is used to describe the mechanisms and techniques whereby malware, including viruses, spyware, and trojans, attempt to hide their presence from spyware blockers, antivirus, and system management utilities.

Hij ziet rootkits meer als malware die API filtering technieken toepassen in plaats van malware die root acces mogelijk maakt via een backdoor. Zie ook deze video over rootkits en malware in het bijzonder.

Brent @Anoniem: 93986 • 17 februari 2006 13:59

Flik zo'n geintje als burger en je verdwijnt achter de tralies. Flik het als bedrijf en er komt misschien wetgeving tegen zulk gedrag... 't Is maar wat je erg vind...

Olaf van der Spek 17 februari 2006 14:08

Consumenten zouden volgens hem niet verrast mogen worden door wat software allemaal uitvoert op hun computer.

Open source verplicht stellen?

Tijger @Olaf van der Spek • 17 februari 2006 14:14

En wat haalt dat uit voor consumenten?

Oh ja, dan gaan ze allemaal de source lezen en dan weten ze precies hoe het werkt...yeah right..

PS: de meeste rootkits komen voor bij Unix/Linux, leg eens uit hoe dat mogelijk is dan?

Olaf van der Spek @Tijger • 17 februari 2006 14:33

En wat haalt dat uit voor consumenten?

Toch niet elke consument hoeft voor zichzelf elke applicatie door te spitten?

PS: de meeste rootkits komen voor bij Unix/Linux, leg eens uit hoe dat mogelijk is dan?

In Windows heb je (blijkbaar) geen rootkit nodig. Gebruikers werken standaard als 'root'.

arjankoole

Economie en maatschappij

@Olaf van der Spek • 17 februari 2006 15:43

Bovendien omzeil je de vraag hier, natuurlijk, rootkits zijn prevalenter op Unix/Linux dan op Windows

nee, de definitie is weer eens verkeerd gebruikt om iets nieuws te kunnen verklaren.

rootkits waren er alleen voor unix osen. niet zozeer omdat je ze niet voor windows kon maken, maar voor windows kregen ze gewoon een andere naam.

een rootkit, en daarmee zijn er overeenkomsten met wat sony deed verbergt zich voor gebruikers en systeembeheerders, bijvoorbeeld door zichzelf als kernel-module (driver als je het zo wilt) in de kernel te plaatsen, en daardoor zoveel macht uit te oefenen dat z'n eigen dingen niet zichtbaar worden. je het ze ook ( dat zijn de oudere ) die aangepaste ps, ls, etc installeerden, waarbij eerst een root-shell (indien uitgevoerd als root) geopend werd op een obscure poort.

tegenwoordig zie je dergelijke root-kitjes nog wel eens op Cobalts en andere Linux machines met slecht patchmanagent. (lees: dat ligt voornamelijk aan de beheerder van de machine). Onder FreeBSD en Solaris ben ik er in het wild nog nooit een tegengekomen.

Wat sony doet is simpelweg restricteren, op een onveilige manier, wat de gebruiker kan. Daarbij doet het dingen die in het kader van de privacy mogelijk illegaal zijn, en biedt het mogelijkheden om andere wetten te breken. de methodiek die er voor gebruikt is (een driver/kernel-module dus) lijkt wel heel erg op de klassieke root-kit die we onder Linux/Unix kennen, daardoor is de naam zo gekozen. (door de media natuurlijk, en die zitter er maar al te vaak naast).

Tijger @Olaf van der Spek • 17 februari 2006 15:27

Hoe moet een consument anders precies weten wat alles doet? Op goed geloof?
Zoiets als "het is open source dus het zal wel goed zijn" ofzo?

De Administrator account is geen root, als je dat essentieele verschil niet weet dan is iedere discussie zinloos. Bovendien omzeil je de vraag hier, natuurlijk, rootkits zijn prevalenter op Unix/Linux dan op Windows.

Olaf van der Spek @Olaf van der Spek • 17 februari 2006 16:03

Zoiets als "het is open source dus het zal wel goed zijn" ofzo?

Nee, zoiets van "iedereen die het echt wil kan de code bestuderen dus ik heb er meer vertrouwen in dan dat alleen de leverancier de code kan 'bestuderen'".

De Administrator account is geen root, als je dat essentieele verschil niet weet dan is iedere discussie zinloos.

Bedoel je dat je ook nog zoiets als System hebt?

Bovendien omzeil je de vraag hier, natuurlijk, rootkits zijn prevalenter op Unix/Linux dan op Windows.

Wat bedoel je precies met prevalenter?
Bestaat er meer rootkit software?
Zijn er in absolute getallen meer Linux machines geinfecteerd dan Windows machines?
Dezelfde vraag voor het relatieve aantal?

Seal64 @Olaf van der Spek • 17 februari 2006 14:12

Dat maakt niets uit. Als je voortaan op elke nieuwe Dell of Packard-Bell standaard Linux installeert in plaats van Windows, dan weet 99% van de gebruikers nog steeds niet wat er allemaal gebeurt op de achtergrond. Het boeit ze ook niet, hij moet gewoon werken.

erikdenv @Seal64 • 17 februari 2006 14:51

Open Source <> Linux

Er zijn ook zat OS Windows programma's.

opagrover @Seal64 • 17 februari 2006 15:12

De gemiddelde consument heeft inderdaad geen idee maar de experts kijken ernaar en informeren de massa via de massamedia.

Anoniem: 105188 @Olaf van der Spek • 17 februari 2006 14:19

Mjah dat iets Open Source is wil niet altijd zeggen dat het makkelijk is om "rare" of "ongewenste" acties uit die code te plukken. Om eruit te halen wat code eigenlijk doet is het in meeste gevallen niet alleen ndig om de code te lezen maar ook te begrijpen wat het nou precies doet of waar het voor is.

Als je grote applicaties of processen hebt kan het soms maaden of zelfs jaren duren voordat je door alle code bent.

Om te zien wat een bepaald process doet is het nog niet eens nodig om de code te hebben. Als een bepaalde applicatie ervan wordt beschuldigd om "rare" acties uit te halen dan kun je dit heelerg makkelijk bewijzen door dit process in een debugger omgeving te bestuderen. In meeste gevallen is dit makkelijker en sneller dan door de broncode spitten.

Anoniem: 163549 17 februari 2006 15:26

Starforce iemand :-p.

The Zep Man

Economie en maatschappij

@Anoniem: 163549 • 17 februari 2006 17:37

Je post is een beetje kaal, maar je hebt wel gelijk. Starforce 3 en 4 zijn pure rootkits die op de ring 0 van de NT-kernel zitten. Bovendien wordt er geen uninstaller meegeleverd om die rotzooi te verwijderen...

Voor meer informatie, zie de Boycott Starforce website.

SPee 17 februari 2006 17:03

Is er al niet een verbod op zoiets

Genaamd "Computerbreuk". Het lijkt met dat zulke software de beveiliging van de PC omzeilt en inbreuk pleegt. Dit is volgens mij ook strafbaar als een 3e persoon dit doet, dus waarom niet die software.

Proxy @SPee • 17 februari 2006 18:49

Bedoel je computervredebreuk?

T.Struik 17 februari 2006 16:13

Binnenlandse zaken en justitie hebben zo'n anti internetcriminaliteits organisatie opgezet want tot op heden bestond die nog niet [eens]. Ik geloof dat er in de E.U. ook vergaande plannen zijn voor internationale samenwerking in de aanpak tegen dat internet afval. Met internationale samenwerking zal het denk ik goed mogelijk zijn die stomme rootkits e.d. te verbannen..

it0 17 februari 2006 16:18

Het meest erge in deze sony affaire was dat antivirus bedrijven over elkaar heen vallen om zo snel mogelijk met nieuwe definities te komen om virus/malware tegen te gaan maar omdat het sony was bleef de respons te lang uit .. Op F-secure na trouwens...

Anoniem: 146043 17 februari 2006 17:00

De slogan van ons bedrijf is; verbeteren moet waar verbeteren kan.

Rootkits kunnen de grootste bedreiging van Jan Modaal worden. Weinig programma's die ze vinden.

Nu in het nederlands: Rootkits is een vorm van misdaad. Daar moet tegen gestreden worden en het verbieden in de wet zal zeker te weten nodig zijn!

Alle ongeoorloofde toegangen tot jouw privacy moeten wettelijk verboden worden.

Ik vraag me nog af hoe ze het uitgevonden hebben

Het feit dat ik (en vele anderen eigenlijk) nu al met een rootkit revealer aan de gang moet om zekerheid te krijgen dat ik niet besmet ben met zo'n stuk onbeschofte software.

Sony had dat nooit mogen doen!!

Op dit item kan niet meer gereageerd worden.

'Verbod op rootkits wenselijk'

Lees meer

IT-banen

Reacties (36)

Sorteer op:

Weergave: