Hooksafe schützt Kernel vor Rootkits
12.11.2009
Eine Forschergruppe der Informatik-Fakultät an der North Carolina State University hat prototypisch eine Software zur Abwehr von Rootkits geschrieben, die Kernel Object Hooks ausnutzen.
Die vier Forscher haben ein spezielles virtuelles System entworfen und implementiert. Es wehrt Rootkits ab, die sich kernelnahe Anfragen und Daten zwecks Manipulation schnappen. Dazu sammelt es systemweit bestimmte Funktionsaufrufe und Message-Daten zusammen, spiegelt sie als "Schattenkopie" an einem zentralen Ort und schützt sie hardwareseitig vor Schreibzugriff. Probehalber ließ das Team mehrere echte Rootkits auf ihr Kind namens Hooksafe los. Außerdem maß es die Systemauslastung des Gastsystems. Im Ergebnis bescheinigen sie ihrem Abwehr-Experiment hohe Wirksamkeit bei einer Verlangsamung des Systems von nur etwa sechs Prozent.
Gelungene Abwehr beobachteten sie zum Beispiel bei Adore-ng und Phalanx (einen Überblick, wie Rootkits funktionieren, gibt dieser Linux-Magazin-Artikel). Xuxian Jiang, Mitglied des Forscherteams, sagte zu Linux-Magazin Online, dass später wahrscheinlich auch der Sourcecode öffentlich erhältlich sein werde. Bei einzelnen vergangenen Projekten sind die Forscher ebenso verfahren, wie auf seiner Publikationsseite ersichtlich ist.
Im Wesentlichen benennen die Erfinder derzeit zwei Schwächen ihres Systems: Erstens stützt es sich auf so genannte Hook-Profile, die aus dynamischer Analyse der Hook-Zugriffe gewonnen werden. Dieses Analyse-Verfahren ist jedoch nicht perfekt. Ihm können Zugriffe entgehen, sodass ungeschützte Lücken entstehen. Als mögliche Lösung kommt für die Forscher entweder eine verbesserte dynamische Analyse oder ein komplementäres Verfahren mit statischer Analyse in Frage. Zweitens kann Hooksafe sowieso nur Zugriffe registrieren, die es bereits kennt: Es ist nur die lange Hand des Admins, der die zu schützenden Hooks vorher definiert. Hier nehmen die Verfasser an, in Zukunft mit Projekten wie Hookfinder zusammenzuarbeiten oder ihr eigenes Vorgängerprojekt Hookmap einzubeziehen (PDF, 200 KByte).
Peng Ning, Zhi Wang und Xuxian Jiang von der State University sowie Weidong Cui von Microsoft arbeiten seit September 2008 an Hooksafe und planen die Arbeit in Richtung Betriebessystemkern-Sicherheit noch fortzusetzen. Ihr zehnseitiger Forschungsbericht zu Hooksafe (PDF, 130 KByte) entstand anlässlich der derzeit in Chicago stattfindenen Jahreskonferenz der Arbeitsgruppe Security, Audit and Control (SIGSAC) unter dem Dach der Association for Computing Machinery (ACM). Das ist der Informatikverband mit weltweit rund 100.000 Mitgliedern aus Wirtschaft, Forschung und öffentlich-rechtlichem Raum, der jährlich den "Informatiker-Nobelpreis", den A. M. Turing Award verleiht.
(Anika Kehrer)
| Whitepaper |
|---|
|
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele
Über die letzten Jahre hinweg haben sich Open Source Lösungen als fester Bestandteil des gesamten Datenintegrationsmarktes etabliert. Viele Unternehmen haben bereits das Open Source Modell für Ihre Datenintegrationsprojekte aufgegriffen. Das vorliegende White Paper illustriert anhand ausgewählter Fallstudien und Anwendungsbeispiele die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
Download PDF (Registrierung erforderlich)
|
|
The Role of Open Source in Data Integration
Obwohl in den letzten Jahren viele technische Fortschritte erzielt werden konnten, verfügen die meisten Datenintegrationsprozesse nach wie vor nur über eine sehr begrenzte Automatisierung. Das vorliegende White Paper von dem Industry Analyst Mark Madson wird zunächst ein grundlegendes Verständnis von Daten Integration vermitteln, die Vorzüge von Open Source Lösungen für Daten Integration erläutern und Ihnen professionelle Empfehlungen geben, damit Sie Ihre Integrationsjobs noch einfacher und produktiver gestalten können.
Download PDF (Registrierung erforderlich)
|
|
