• IT-Karriere:
  • Services:

Kernel-Guard soll gegen Rootkits schützen

Kernel-Modul verhindert das Laden von weiteren Modulen

Nach seiner Rootkit-Demonstration für den Linux-Kernel 2.6 stellt der Informatikstudent Amir Alsbih nun auch eine Gegenmaßnahme bereit. "Kernel-Guard" verhindert das Laden weiterer Module, selbst wenn ein Nutzer über Root-Rechte verfügt. Rootkits können somit nicht mehr installiert werden.

Artikel veröffentlicht am , Julius Stiebert

Bisher war es schwierig, Kernel-Rootkits unter dem Linux-Kernel 2.6 zu implementieren, da dieser die Systemcall-Tabelle nicht mehr exportiert. Die Adressen der Systemcalls sind daher nicht bekannt und können nicht manipuliert werden. Im Vorfeld des 22C3 schafften es Amir Alsbih und "Newroot" dann aber doch, ein entsprechendes Rootkit zu entwickeln, eine überarbeitete Version veröffentlichte Alsbih mittlerweile.

Stellenmarkt
  1. Atlas Copco IAS GmbH, Bretten
  2. Deutsche Rentenversicherung Bund, Berlin

Nun hat er mit "Kernel-Guard" auch ein Modul vorgestellt, dass Systeme mit Kernel 2.6 vor Rootkits schützen soll und dabei selbst eine Art gutartiges Rootkit ist. Kernel-Guard verhindert das Laden weiterer Module, auch durch den Root-Nutzer. Wird es nach allen benötigten Modulen noch beim Bootvorgang geladen, soll das System so abgesichert sein, da ein Angreifer sein Rootkit nicht installieren kann - zumindest so lange das System nicht neu gestartet wird und dabei Kernel-Guard nicht mehr lädt.

Damit eignet es sich vor allem für Server, die mit einer festgelegten Konfiguration laufen, bei der das Nachladen von Modulen nicht notwendig ist, die so aber gegen Angriffe geschützt werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. MSI Optix G24C für 155,00€, Asus VP278H für 125,00€, LG 27UD59-W für 209,00€ und HP...

eSpy 26. Okt 2006

http://www.uebi.net/silvio/runtime-kernel-kmem-patching.txt

Heffer 30. Jan 2006

armes Linux, kaum benutzbar - deiner Aussage nach du bist der Prototyp des arroganten...

lucky 27. Jan 2006

Das ist kein Grund für Module, ich kann den Kernel ja auch VOR dem Neustart neu...


Folgen Sie uns
       


Pocketalk Übersetzer - Test

Mit dem Pocketalk können wir gesprochene Sätze in eine andere Sprache übersetzen lassen. Im Test funktioniert das gut, allerdings macht Pocketalk auch nicht viel mehr als gängige und kostenlose Übersetzungs-Apps.

Pocketalk Übersetzer - Test Video aufrufen
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

    •  /