Hardware schützt nicht vor Rootkits
Die Sicherheitsfirmen waren jahrelang davon ausgegangen, dass über den unmittelbaren Hardware-Zugang zum RAM das Rootkit eines befallenen Rechners sicher erkannt werden könnte. Die Mitarbeiterin von COSENIC Malware Labs führte nun den Beweis, dass die Ergebnisse Hardware-basierter Lösungen (PCI-Karten oder Firewire-Bus) auf verschiedene Weise manipulierbar sind.
Mit Angriffen gegen AMD64-Systeme führte sie vor, dass sich das Image des volatilen Speichers (RAM) vom physikalischen Speicher unterscheiden kann, wie es von der CPU gesehen wird. Wenn aber Computer-Forensiker sich nicht mehr auf das ausgelesene RAM verlassen können, geht die nächste Runde an die Rootkit-Macher.
Rootkit-Guru Jamie Butler sieht nur einen Ausweg: “Wir wussten bereits, dass Software nicht verlässlich ist, und jetzt wissen wir, dass man der Hardware auch nicht wirklich vertrauen kann. Man muss wirklich beides miteinander verbinden, und selbst dann kann man nie ganz sicher sein.”
Joanna Rutkowska schlägt den Motherboard-Herstellern vor, einen besonderen Port für den “wirklich direkten” Zugang zum RAM und weiteren kritischen Ressourcen zu integrieren.
(Nick Farrell/bk)