F-Secure: Sony gebruikt nog software met rootkitkenmerken

Een analist van F-Secure heeft ontdekt dat de software voor vingerafdrukherkenning van Sony's MicroVault USM-F flash drives gebruik maakt van rootkittechnieken om enkele programmabestanden te verbergen voor Windows en andere applicaties.

Rootkit / Veiligheid De software installeert een driver voor de usb-stick in een directory onder c:\windows, die vervolgens verborgen wordt voor de api-aanroepen van het besturingsysteem. Applicaties als Windows Verkenner krijgen zo geen bericht van het bestaan van de directory, waardoor deze voor de gebruiker onopgemerkt blijft. F-Secure vermoedt dat deze techniek gebruikt wordt om de bestanden voor de vingerafdrukherkenning beter te beschermen, wat geen overbodige luxe is.

Hoewel de directory voor normale Windows-programma's niet toegankelijk is, is het nog wel mogelijk om via de command prompt naar de directory te navigeren en er bestanden in te verbergen of aanwezige bestanden uit te voeren. Hiervoor moet de gebruiker wel de naam van de directory weten, omdat deze niet wordt weergegeven met het 'dir'-commando.

Vanwege deze functionaliteit kan de software voor flashdrives een beveiligingsrisico vormen. Virusscanners die gebruikmaken van de gefopte api-aanroepen kunnen de bestanden in de verborgen directory niet controleren op malware, waardoor deze een uitgelezen verstopplaats vormt voor de programma's van kwaadwillende hackers.

Overigens gaat het om een andere softwarecomponent dan dat gebruikt werd in Sony's beruchte drm-beveiliging van twee jaar geleden, hoewel die ook gebruikmaakte van een verborgen map met bestanden.

F-Secure is al een maand op de hoogte van dit gevaar en heeft Sony ingelicht over het risico dat zijn klanten lopen, zoals het beleid van het beveiligingsbedrijf aangeeft. Vooralsnog heeft de mediagigant geen reactie gegeven op de melding.

Reacties (57)

Zyppora 28 augustus 2007 16:31

Sony leert het ook nooit he?

Virusscanners die gebruikmaken van de gefopte api-aanroepen kunnen de bestanden in de verborgen directory niet controleren op malware, waardoor deze een uitgelezen verstopplaats vormt voor de programma's van kwaadwillende hackers.

En DAAR zijn we dus zo bang voor. Als de naam van die hidden dir consistent is dan is een malafide banner op een website al voldoende om veel schade te veroorzaken. Maw. dit is misschien niet hetzelfde als 2 jaar geleden, het resultaat is een PC met een beveiling die net zo gatenkaas is als toen.

Hiervoor moet de gebruiker wel de naam van de directory weten, omdat deze niet wordt weergegeven met het 'dir' commando.

Is het niet mogelijk om bijv. van DOS (of een Live CD) te booten en dan te dirren? Het lijkt mij dat die rootkit alleen werkt op het OS waarop het is geinstalleerd. Op die manier kun je dus wel inconsistenties in je foldertree opsporen. Of ben ik nu verkeerd aan het denken?

MneoreJ @Zyppora • 28 augustus 2007 22:56

Ja en nee. Buiten Windows booten zal je in staat stellen bestanden te zien die met API-hooks verborgen worden, maar dit zijn geen "inconsistenties" op bestandssysteemniveau. (In de praktijk zul je misschien kunnen zien dat de grootte van allocatietabellen of de gebruikte schijfruimte niet klopt, maar in theorie is ook dat te "corrigeren".) Je zou dus het beeld dat de API heeft van de schijf moeten leggen naast het beeld dat een "cleane" implementatie heeft om de verschillen te zien.

Overigens werken rootkitdetectors ook zo: de Win32 API is vrij eenvoudig af te vangen (dit is gewoon een subsysteem binnen Windows), maar als je rechtstreeks van de native API gebruik maakt (op NT-derivaten) en eventueel ook nog zelf de bits gaat interpreteren kun je toch zien wat er echt aan de hand is. De native API is alleen voor de gek te houden door ofwel het besturingssysteem fysiek te veranderen, waar iedere fatsoenlijke beveiliging op tilt van zou moeten slaan, ofwel door de toepassingen die de native API gebruiken individueel voor de gek te houden, wat erg moeilijk consequent te doen is. Desondanks: waterdicht is zo'n detectie alleen te krijgen met perfecte virtualisatie en onderzoek van buiten, maar zelfs op dat gebied timmeren rootkits aan de weg.

SSH 28 augustus 2007 17:23

Waarom moet deze USB stick eigenlijk met bijgeleverde software werken, waarom kan de vingerafdruk verwerking niet intern op de USB stick gaan?

BlackOwl @SSH • 29 augustus 2007 11:18

Geld
Een USB stick die zelf de vingerafdruk controle kan afhandelen zou duurder zijn.

beantherio 28 augustus 2007 15:39

De rootkit-technieken uit het artikel zijn kennelijk ook gebruikt om de titel onzichtbaar te maken.

Ik verbaas me er trouwens over dat Sony nog actief is op dit gebied. Ik dacht dat ze na het debakel van 2 jaar geleden hun buik wel vol zouden hebben van rootkit-systemen.

bbr @beantherio • 28 augustus 2007 15:59

Je zo toch idd denken dat ze nu wel van die rootkits hadden afgezien, na alle ophef die er initieel over was.

Misschien dat de rechter hier uiteindelijk aan te pas moet komen, want ik betwijfel dat gemiddelde gebruikers hiervoor toestemming willen geven.

ebx @bbr • 28 augustus 2007 16:08

Wat een bash-the-sony stemming dat hier heerst.

Er is hier totaal geen probleem en eigenlijk ook amper sprake van 'Rootkit gedrag'
Het gaat hier over ocharme een verborgen directory ! Waar een 'kwaadwillige hacker' zijn bestanden zou verstoppen !!

Als op het moment van inbraak de virusscanner niet detecteert, kan deze hacker gewoon zelf zo'n directory aanmaken !

De kans dat de hacker zelf een verborgen map aanmaakt is vele groter dan dat die software opzoek gaat naar een sony directory ... waarvan je de naam niet kan listen of zoeken en wellicht uit een unieke gebruikersID bestaat.

YaPP @ebx • 28 augustus 2007 16:35

Er is hier totaal geen probleem en eigenlijk ook amper sprake van 'Rootkit gedrag'
Het gaat hier over ocharme een verborgen directory

Het gaat hier niet om een normale "verborgen directory" zoals je die in Windows en Dos met een vinkje kan aanzetten. Dat is alleen een cosmetische ingreep: de eindgebruiker krijgt minder details over C:\Windows.

Wat Sony nu doet is een driver installeren die directories onzichtbaar maakt voor alle andere software op je systeem, inclusief je virusscanner. Dat wordt gedaan door de win32 API functies FindFirstFile() en FindNextFile() te verbouwen. Windows wordt zelf letterlijk voor de gek gehouden dat er een directory niet op de harde schijf bestaat. Dergelijk gedrag valt daadwerkelijk onder de definitie van een rootkit.

[Reactie gewijzigd door YaPP op 23 juli 2024 01:55]

Nijn @ebx • 28 augustus 2007 16:18

Er wordt ook gesproken over kenmerken VAN.

Het debakel van een tijd terug kwam omdat de Sony software wijd verspreid was. Virusschrijvers konden er dus enigzinds vanuit gaan dat de verborgen map aanwezig was.

Dan is het een stuk makkelijker om een virus te schrijven dat daar gebruik van maakt ipv zelf een rootkit te schrijven en verspreiden. Niet alleen vanwege het formaat, wat groter zou worden als je zelf de rootkit mee moet sturen, maar ook vanwege het gedrag van je virus. Virusscanners reageren tegenwoordig niet alleen meer op herkenning van een virus. Ze kijken ook hoe een programma zich gedraagt. Zo'n rootkit valt op. Zeker als je daarnaast ook nog andere trucs uithaalt.

Maar, gebruik je de rootkit van een ander, dan ben je alweer lastiger te vinden.

In dit geval is de boel minder verspreid, maar nog steeds gevaarlijk. Zo'n map vinden is een eitje natuurlijk. Niet alleen moet de naam ergens opgeslagen zijn (anders kan Sony hem ook nie vinden), bovendien kun je met 2 api-calls vergelijken welke map verborgen blijft bij de ene.

Parasietje @ebx • 28 augustus 2007 18:10

Ze maken USB-sticks met biometrische vingerherkenning. Als ze denken dat ze dat veilig moeten houden door een directory van het besturingssysteem verborgen te houden...

Security through obscurity werkt niet. Sony belazert consumenten door ze een onveilig systeem te verkopen. Hoog de prijs EUR 40 op. Laat het rekenwerk op de usb-stick zelf gebeuren.
Maar nee, zoiets noemt 'concurrentie'.

Anoniem: 46304 28 augustus 2007 15:53

Het wordt tijd dat AV fabrikanten dit soort programma's gewoon als malware gaan aanduiden. Laat de Sony's en zo maar schreeuwen.

n4m3l355 @Anoniem: 46304 • 28 augustus 2007 16:13

Yup vooral doen, zodoende komt jan de modale gebruiker die zo´n ding koopt voor de veiligheid die dit ziet als malware en het dan verwijdert. Het ´mooie´ van deze techniek is dat onder normale omstandigheden de prints keurig opgeborgen zijn waardoor er dus niet zo snel misbruik van kan worden gemaakt. Gaan we deze directory of zichtbaar maken, if optioneel zullen gebruikers niet weten wat het betekend en automatisch voor een minder veilige oplossing kiezen.
Daarnaast kunnen virusscanners dit juist niet vinden omdat de directorys enkel via een specifieke call gevonden kunnen worden. Dat is het mooie van rootkit technieken. En Sony kiest deze techniek voor de veiligheid, een ander kiest ervoor om virusjes erin te planten hoe dan ook zolang Windows dit soort technieken accepteerd kan er altijd (mis)gebruik van worden gemaakt.

GoBieN-Be @n4m3l355 • 28 augustus 2007 23:22

windows accepteert het niet, de windows API's worden door sony verbouwd !

i-chat 28 augustus 2007 16:12

ik dacht idd dat het ook een bug was, maar toen ik 't artikel las snapte ik 'm wel 'its not a bug, its a feature"

*iets meer ontopic* leuk idee, maar zeer gevaarlijk, lijkt me vooral omdat blijkbaar virusscanners mogelijk deze map over het hoofd gaan zien, de vraag is nu of je je virusscanner via een extra regel in je schedular als nog in die map kunt laten scannen

de meste scanners kun je namelijk zelf opdracht geven een bepaalde map regelmatigt handmatig te scannen ( maar dat werkt natuurlijk alleen maar, als je na een C:\ cd %windir%\hidden folder\ wel alle files kunt listen ...

los daarvan vind ik dat deze 'feature' in windows direct moet worden opgeheven, de mogelijkheid die je hiermee creeert om virussen te verstoppen is VEEL te gevaarlijk....

Sentry23 @i-chat • 28 augustus 2007 16:24

Als het goed is hangt je virusscanner via een hook in je filesysteem waar bij elke schrijf-aktie je scanner wordt aangeroepen. Hetzelfde (alleen iets lastiger) doet hij bij de leesakties.

Dit zou volgens mij alleen betrekking hebben op scan-akties die vanuit een explorer een scheduled scan opstarten.

Verder zie ik hiet het verschil niet zo in impact tussen dit en de alternate data streams van NTFS

Anoniem: 63975 28 augustus 2007 16:35

daar hebben we dus de Root Kit Revealer voor

Beowulf65 @Anoniem: 63975 • 28 augustus 2007 16:55

nice.... dan is het hele SONY systeem lekker achterhaald en kan het gewoon weggelaten worden.

Sony was altijd al eigenwijs en eigengereid ten koste van de consument.
Afwijkende standaarden als die van de geheugenkaartjes, compressie (lange tijd MP3 niet willen ondersteunen in hun flashspelers), muziek CD's met schadelijke rootkits voor je PC, op hun games consequent beveiliging te gebruiken waardoor de helft van de consumenten niet eens normaal een spel kunnen opstarten....

Ik moet wel toegeven dat ze goede produkten maken van hoge kwaliteit maar uiteindelijk zit je dan gewoon vast aan Sony als dictator voor een nieuwe wereldorde....

Comgenie 28 augustus 2007 15:40

Verder, om toch nog iets van inhoudelijk op het bericht te gaan. Ik vind het best dat bij dit een rootkit zit, om de vingerafdrukken te verbergen. Maar ik vind wel dat het duidelijk moet worden aangegeven, en zeer optioneel moet blijven.

]Byte[ @Comgenie • 28 augustus 2007 16:42

Dus om vingerafdrukken te "beveiligen" gaan we uit van de onwetendheid van de gebruiker en kunnen we zeggen dat we veilig zijn.

Als dit het nivo van "beveiligen" is van Sony, weet ik alvast welke producten ik niet moet hebben.
Het gaat ook om de gemiddelde gebruiker die zal zeggen "Zal wel?!? Installeren die hap en hij moet het gewoon doen" en weet vervolgens niet wat de gevaren zijn.
Ik begrijp F-Secure ook heel goed dat ze Sony over de riso's hebben geinformeerd.
Wat weer net ff iets minder is, is dat ze geen reactie hebben gegeven.
Aan de andere kant is het ook een moment voor de anti4us-makers om hier eens bij stil te staan...
Blijkbaar weten de anti4us-makers van dit probleem, en ook dat hun software de verborgen files / dir's niet zien en dus niet scannen.
Maar is het voor de anti4us-makers dan niet mogelijk om ook BUITEN de API om te gaan om juist dit te voorkomen dat ze niet kunnen scannen?!?

[Reactie gewijzigd door ]Byte[ op 23 juli 2024 01:55]

Dutch_Razor @]Byte[ • 28 augustus 2007 16:46

Nee dan die app die laatst op Tweakers was getest, daar kon je gewoon met een hex editor de commandos aanpassen van True naar False, en toen werkte t.

TheBlackbird 28 augustus 2007 19:11

Deze keer is de intentie wel anders: het beschermen van gebruikersgegevens. De vorige rootkit op muziek-cd's beperkte gebruikersvrijheid om de platenmaatschappij te beschermen.

Ze moeten Sony deze keer niet zo hard aanpakken.

[Reactie gewijzigd door TheBlackbird op 23 juli 2024 01:55]

kimborntobewild @TheBlackbird • 28 augustus 2007 21:33

Snap je dan niet dat 't resultaat 't zelfde is: een Windows-bak die per direct onveilig wordt om nog langer op internet te gebruiken.
Natuurlijk moet je Sony hard aanpakken. Deze keer nog harder juist; juist omdat ze niet willen leren.

hkl073 28 augustus 2007 19:52

attrib *.* -r -h -s /s

Anoniem: 46304 @hkl073 • 28 augustus 2007 20:19

Dat soort "verborgen" directory hebben we het hier niet over. Dit helpt niet als API calls omgewerkt worden.

hugoy 28 augustus 2007 15:53

Sony is wel steeds vaker hier op tweakers in het nieuws met rootkits he? Krijg ik straks ook een rootkit als ik mijn Sony Bravia tv op m'n laptop aansluit?

Zonder gekkigheid: Best wel vreemd dat Sony rootkits verwerkt in zijn producten.

jqv @hugoy • 28 augustus 2007 15:59

Het gaat denk ik niet om het verwerken ervan, maar om de veiligheid van deze rootkits.

En natuulijk ook als je niet weet dat het er is, weet je ook niet wat ze doen en waarom.

Als ze daar maar eens duidelijk in zouden zijn.

Sebazzz

@hugoy • 28 augustus 2007 16:03

De vraag is maar hoe veilig dit is. Ik wed dat als je met Linux op zo'n stick gaat kijken je van alles kan zien en aanpassen.

Op dit item kan niet meer gereageerd worden.

F-Secure: Sony gebruikt nog software met rootkitkenmerken

Lees meer

Reacties (57)

Sorteer op:

Weergave: