Announcement

Collapse
No announcement yet.

Rootkit - Warum? Warum nicht transparent?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Rootkit - Warum? Warum nicht transparent?

    Hallo alle zusammen!
    Ich bin neu in Eurer Gemeinde und komme gleich mit einem vielleicht "heiklen" (?) Thema daher.

    Im englisch sprachigen Teil des Forums gibt es einen ganz interessanten Thread zum Thema "rootkit"-Funktionalität der Daemon-Tools. Allerdings mehr ein Disput-Thread mit Hr. Russinovich, weniger auf die technischen Hintergründe eingehend.

    Meine Frage:
    Warum unbedingt Rootkit-Funktionalität?

    Warum wird von Seiten der Programmierer/Verteiber nicht offen damit umgegangen?
    Weil nicht offen und damit transparent mit dem Thema von Seiten der Vertreiber umgegangen wird und wurde, bekommt die Angelegenheit für mich einen sehr faden Beigeschmack.

    Welche Datenströme fließen und warum fließen die nicht auf andere Art? Es gibt fast immer mehr als einen Weg , ein Problem zu lösen.

    Der lapidare Hinweis von @locutus in dem zuvor erwähnten Thread darauf, daß "man schließlich als Nutzer die AGBs akzeptiere" (frei übersetzt) ist für mich eine Frechheit!
    Dazu sage ich nur:
    Wer etwas in den AGBs verstecken muss, über das er sonst nicht reden mag, hat augenscheinlich etwas zu verbergen.

    Vielleicht könnt ihr mit euren Antworten etwas Helligkeit ins Dunkel bringen

    Gruss ulenspiegel

    PS @mods:
    Ich hoffe keinen Thread zu diesem Thema bei meiner Suche in der deutschsprachigen Sektion übersehen zu haben, falls doch ... sorry!

  • #2
    Hallo Ulenspiegel,

    wenn du des englischen nicht mächtig bist, dann bitte schreib mir das nochmals direkt,
    ich werde dir dann eine Übersetzung sämtlicher Postings machen, sodaß du in der Lage
    bist, dem genauen Verlauf zu verfolgen. Denn sich Wortfetzen herauszupicken ist mit
    Verlaub gesagt Bullshit. Entweder du liest das alles komplett oder du lässt es.

    Zur Sache:

    DT ist kein Rootkit und benutzt nur 1 (in Worten: EINE) Funktionalität, die ein Rootkit
    THEORETISCH auch nutzt: Es verweigert (nicht versteckt!!) den Zugriff auf einen
    von DT angelegten Registry-Schlüssel (keine Startup oder sonstigen Schlüssel, Inhalt ist
    nur für DT interessant - UND für die Kopierschutz-Industrie). Komisch, das es Herrn
    Russinovich so "juckte", ausgerechnet auf DIESEN Schlüssel zuzugreifen, wo er doch
    WEDER VERSTECKT ist, NOCH EINEN "STARTUP-WERT" enthält. Vielleicht war
    er auch einfach nur sauer, weil sein ach so toller "Rootkit-Revealer" ebenfalls versagt hat.

    Nenene, du mußt schon wissen, wem du traust, wenn du uns so einen Scheiß zutraust,
    dann spricht das ja nicht gerade für dein Vertrauen in uns. Ich frage mich, warum du dich
    dann noch bei uns auf dem Board registriert hast? Wer weiß, was wir mit diesen Daten alles
    anfangen könnten?

    Somit griffen immer mehr dieser Schutzmethoden auf UNSEREN Schlüssel zu, um eine
    Emulation zu verhindern. Unsere Antwort darauf kennst du ja nun.

    Das alles hättest du aber auch in diesem Thread erfahren. Ich will nicht wieder diesen Dreck
    hochkochen, darum ist dein Posting gleich wieder verschwunden. Es ist MEINE MEINUNG,
    das Russinovich und SF unter einer Decke stecken, wir haben auch weitere Indizien, die
    das belegen. Und vielleicht können wir es auch demnächst beweisen (und noch andere
    SF-"Tricks"), und werden es dann hier veröffentlichen.

    Dann schreibst du außerdem noch jede Menge "höheren Blödsinn", wie z.B. "welche Daten
    fliessen" ..... LOOOL -> es fliessen GARKEINE Daten durchs Netz. DT braucht nichtmal
    eine Inet-Connection. Jetzt weißt du auch, warum dein Posting weggeschoben wurde: Es bringt
    einfach nichts, jetzt SCHON WIEDER über diesen Quark zu schreiben. Ich machs trotzdem
    wieder auf, bevor noch mehr solche postings kommen.


    Russinovich hat auf ca. 20 !!!!!!! Emails von uns NICHT reagiert. SF installiert unsichtbare
    Treiber im System, er bescheinigt ihnen allerdings "völlig unbedenklich" zu sein. Eine ältere Lücke
    liess sogar das starten beliebiger Applikationen mit Systemrechten zu -> wo erwähnt Russinovich
    das??? Der zeitliche Zusammenhang ist auch sehr interessant (zwischen dem Testen der
    Starforce-Treiber und DT)

    Selbst CD-Freaks "Spath", uns normalerweise nicht wohlgesonnen (aus privaten Gründen, wohl-
    gemerkt!) stellt sich auf unsere Seite; grob und kurz übersetzt, sagt er soviel:

    "DT IST KEIN ROOTKIT, es beinhaltet nur einige wenige Funktionen, die AUCH rootkits be-
    nutzen. Um das zu tun, was wir von DT erwarten, müssen die Entwickler von DT auf dasselbe
    Niveau herunter, wie die Kopierschutzindustrie".

    Was du willst, klingt ja stark nach "Wasch mir die Haare - aber mach mich nicht nass!!".
    Ich weise DESHALB auf die AGB hin, weil es keine versteckten AGB gibt - wenn du DT
    installierst, aber die AGB nicht liest, dann - bei allem nötigen Respekt - rate ich dir, DT NICHT
    zu installieren. Liest du auch keine Vertragsdaten? Wieviele Zeitschriften-Abo's hast du in-
    zwischen? Nur so ne Frage...
    Ich kann sowas nicht nachvollziehen. Was glaubst du, wofür die Readme's und die EULA da
    sind? Meinst du, die haben wir zum Spaß da reingeschrieben?

    So, knapp zusammengefasst nochmals:
    DT ist KEIN rootkit - es beinhaltet sehr sehr sehr (ein sehr reicht da garnicht) rudimentäre Funktionen,
    die ein Rootkit AUCH benötigen KÖNNTE.

    Seit neustem experiementiert jetzt Microsoft sogar an Rootkits, die auf virtuellen Maschinen beruhen,
    in diesem Fall also z.B. AUCH auf VMWARE. Willst du das VMWARE jetzt vorwerfen?
    Doch wohl kaum, oder?

    DT interessiert sich für deine persönlichen Daten garnicht. Es wird auch kein Dienst aktiviert, der im Hinter
    grund deinen Tasten mitprotokolliert. Oder Daten ausspäht. Oder heimlich übers Netz Daten verschickt.
    Oder Oder Oder.

    Und zu guter Letzt: Ja, es ließe sich auch alles anders lösen, daran arbeiten wir momentan - weil einige
    wegen "Herrn" Russinovich ja so ne Panik schieben. Das darunter die normale Entwicklung leidet, tut
    mir leid, aber das dürfte ja in deinem Sinne sein.
    Oder: Schreib doch deinen eigenen Emulator - am besten einen, der ohne das ganze Geraffel auskommt.

    Denk mal hierüber nach: Niemand anders ausser Russinovich hat mit DT ein Problem, es wurde noch
    kein Datendiebstahl gemeldet. Übrigens wird DT weltweit auch in "sensiblen" Umgebungen eingesetzt,
    sogar beim (laut mehrerer Email-Anfragen) US-Militär. Ich glaube kaum, das die einem DT vertrauen
    würden, das nicht vorher unter Sicherheitsaspekten geprüft wurde.

    mit freundlichem Gruß
    Locutus
    DT Team

    Comment


    • #3
      Hey Locutus, danke für den Beitrag. War sehr lesenswert.

      Ich meine, mich hatte es vorher ehrlich gesagt nicht interessiert, aber lesenswert war es allemal und sehr informativ.

      Ich denke aber, dass Du nicht gleich aus der Haut fahren musst, der Threadstarter hatte auf mich jetzt eigentlich nicht den Eindruck gemacht, als dass er euch an den Karren fahren will, sondern einfach nur die Sache mal zu hinterfragen.

      Vielleicht könnt ihr mit euren Antworten etwas Helligkeit ins Dunkel bringen
      Ist doch recht nett gefragt eigentlich, oder?
      Wer andern eine Bratwurst brät, der hat ein Bratwurstbratgerät.

      Comment


      • #4
        Ich vermute, dass ihm das Thema einfach schon gehörig auf die Nerven geht

        Comment


        • #5
          Es ist wirklich so, wie Locutus schrieb....
          Die Spieleindustrie hat irgendwann gemerkt, dass sie ohne Blacklisting (ausgenommen StarForce und TAGES, die packen`s auch anders) nicht vor Kopien, in welcher Form auch immer, sicher sind. Bei der installation von DaemonTool wird ein schlüssel angelegt, den DT braucht! Die Kopierschütze suchen also diesen Schlüssel und wenn sie diesen finden, versuchen sie entweder die Emulation zu beenden, oder sie blockieren das Programm solange, bis die Emulation aus ist. Was also tun, damit diese Kopierschütze das nicht erkennen? Richtig, es verweigern herzuzeigen. Am schlimmsten mit Blacklisting ist ProtectCD, die blacklisten alles, was nur im entferntesten mit brennen zu tun hat, manche Kopierschutze verrichten ihre Arbeit zu gut, so hat mein Nachbar Winter Assault 1.41 (recht neues Securom 7) und seine CD ist ein wenig (gar nicht mal so stark) verkratzt und deshalb kann er Warhammer bei jedem 2ten mal nicht starten! Da half nur ein Image mit ner .mds vom Netz und die Orginale ganz schnell wegstecken.
          Im Prinzip wird das Level der Kopierschutzmechanismen immer niedriger - StarForce machte den Beginn, indem es sich selbst die gleiche Priorität wie das Betriebssystem gibt!! Bei verdächtigen Aktivitäten wird einfach neugestartet, es werden Datenpackete "vernichtet", damit keine vernünftige .mds mehr erstellt werden kann, sind die IDE-Kanäle deaktiviert, wird mit allen mitteln versucht, diese zu reaktivieren. Wenn du das nicht willst, kannst du das gekaufte Spiel nicht spielen... Es gibt nur sehr sehr wenige Kopierschutze, die ohne solche niedrigen Methoden ihre Arbeit gut verrichten, wie z.B. (meiner meinung) TAGES. Effektiv und ohne solche Methoden. Warum nutzen eigentlich so wenig Games TAGES???

          Comment


          • #6
            Naja, ich nehme mal an, weil dieser Schutz sehr teuer zu sein scheint!
            I hate starforce, therefore I hate me, but I like everyone who is against me

            Comment


            • #7
              Ich denke nicht das Tages teurer ist als andere KS arten, es wird sehr viel Lobby arbeit von SF SD SN bei denn Publischern betrieben. Und im übrigen SF arbeitet auch mit Blacklists. Tages ist soweit ich weis der einzige KS der ohne Blackklistes auskommt. Aber irgend wann werden die KS Entwickler denn bogen so weit überspannen das es selbst für denn Ottonormal verbraucher Logisch erscheint sich ein Spiel zu ziehen und einen Crack zu benutzen anstatt Geld aus auszugeben und sich dafür erstmal mit dem KS auseinander zusetzten bis das Spiel irgendwann mal läuft.

              Am ende wird der Konsument entscheiden, das kann auch dazu führen, das sich die leute lieber ne Konsole Kaufen anstatt ihren PC auf zu rüsten. Die Technik ist soweit das im Wohnzimmer die gleichen Auflösungen gefahren werden können wie beim PC und das mit einer größern Investions Sicherheit. Und weniger Problemen.

              Comment


              • #8
                Hallo Wartende,

                es geht dann wohl um diesen Blogeintrag des Herrn SysinternalGuru ?:



                So dumm ist der Mann eigentlich garnicht, aber er liegt halt auch mal daneben....

                Was die restlichen Bemerkungen bezüglich seiner Zusammenarbeit mit dem Starforce-Team angeht bin ich wirklich mal gespannt was da wahres dran ist.
                Dürfte dann ja wohl auch Auswirkungen auf Sysinternals Produktpalette haben.

                @LocutusofBorg
                Das lesen der AGB's hol ich sofort nach, versprochen ;-)
                (Wusste ja nicht das da soviel Manpower drinsteckt....)

                So, genug aufgeregt ich mach mir erstmal ein garantiert Rootkitfreies Lübzer Pils auf, aber erst mal schauen ob da nicht irgendwelche RFID Etiketten dranpappen, Ne, Prost!

                Edit1: Auszug aus dem c't Artikel vom 04.04.2005
                "RootkitRevealer spürt Hintertüren auf":

                "Sysinternals Tool kann einen Verdacht auf Befall erhärten, allerdings kann es auch unnötige Panik verursachen. Im Test mokierte es sich über Registry-Einträge, die sich bei näherer Untersuchung als harmlos heraus stellten...."
                Link: http://www.heise.de/security/artikel/58158

                Daran hat sich beim RootkitRevealer dann leider bis heute nichts geändert in Betreff auf unnötige Panik, andererseits sollte der User aber ab und zu auch mal mitdenken ;-)
                Last edited by ylfcam; 12.04.2006, 23:43. Reason: Nachtrag

                Comment


                • #9
                  .... es hat mich einfach nur geärgert, das, obwohl doch wohl
                  mehr als genug Erklärungen im englischen Teil des Forums von
                  uns geliefert wurden, dann sowas wie "...dieser Hinweis
                  ist für mich eine Frechheit" geschrieben werden mußte.
                  Das alles hätte man sich schließlich ersparen können, hätte man
                  dort aufmerksam gelesen. Davon ab: Wer denn nicht übersetzen
                  kann, soll doch keine Mutmaßungen posten, sondern es mal
                  mit normalen! Nachfragen versuchen. Dann geh ich auch nicht
                  gleich ab wie ein Zäpfchen.

                  Russinovich ist sicher nicht dumm, hat aber für mich jede
                  Glaubwürdigkeit verloren - klar, ich kenne ja auch die Zusammen-
                  hänge. Und da frage ich mich: Wenn er hier schon so derbe
                  daneben lag.... kann ich dann noch auf andere Sachen was
                  geben?

                  Das Sony-Rootkit machte ihn quasi über Nacht berühmt. Jetzt
                  scheint der gute Mann ein wenig "abzuheben" (Meine persönliche
                  Meinung). Wie er über DRM denkt, hat er ja auch ausführlich
                  geschrieben.

                  Übrigens: Meine persönliche Meinung zu Rootkits und Malware
                  allgemein: Wo immer Daten ohne MEIN Wissen auf MEINER
                  Maschine zu MEINEN Ungunsten(!) fliessen/geblockt/versteckt
                  werden.... DA und NUR DA fängt für mich Malware an (bzw.
                  Rootkits etc. etc.). Das trifft für DT absolut nicht zu.
                  Diese Funktion war so lächerlich, wir dachten nichtmal daran,
                  daß das irgendwen stören könnte. LÄCHERLICH - ich kann es
                  nicht oft genug wiederholen. Ja, egal jetzt - ich habe fertig.

                  Was Tagкs betrifft: Würde der häufiger eingesetzt, würden
                  wir uns mehr auf den "einschiessen". Bei 4-5 Games insgesamt
                  kann das aber eben nicht auf Prioritätsliste 1 stehen.
                  Schwerer zu backuppen ist der jedenfalls keineswegs.

                  Comment


                  • #10
                    @LocutusofBorg:

                    Wenn du dass mit Tagés nicht gesagt hättest, dann hätte ich es gesagt...

                    Und er ist nicht nur nicht schwer zu backuppen, sondern auch leicht zu cracken (Act Of War: High Treason vor kurzem rausgekommen, einen Tag oder sogar noch am Releasetag gab es dazu bereits einen Crack im Internet und das Game verwendet Tagés)...

                    Comment


                    • #11
                      War wirklich interessant, hätte erwartet das DT deutlich agressiver vorgehen muss um zu laufen. Aber mal erlich, selbst wenn DT die unsaubersten Sachen nutzen müste wäre das ok für mich, immerhin installiere ich es freiwillig, und es wird nicht ohne mein zutun gemacht. Weiter macht soetwas ja eh schon jede zweite Musik CD.

                      Comment

                      Working...
                      X