Streit um Rootkits

Sicherheitsexperten und Software-Hersteller streiten sich um die Frage, was ein Rootkit ist und ob Software Rootkit-ähnliche Technologie verwenden darf oder nicht. Dabei kommt schon der Definition des Rootkits eine grosse Bedeutung zu. Das eine Lager ist der Ansicht, dass jegliche Software, die Informationen vor anderen Programmen und dem Betriebssystem versteckt, ein Rootkit ist. Währenddessen taxiert die andere Gruppe derartige Software erst dann als Rootkit, wenn das Verstecken von Informationen böswillig erfolgt oder Sicherheitslücken im System öffnet.
Dass dies auch Auswirkungen auf «gutartige» Software hat, illustriert das Beispiel Symantec System Works. System Works schützte ein Verzeichnis mit Sicherheitskopien vor dem Zugriff über Systemfunktionen – ein eigentlich harmloser Vorgang. Allerdings konnte diese Schutzfunktion auch von Malware missbraucht werden, so dass Symantec sich inzwischen gezwungen sah, die Funktion zu deaktivieren.
Aber auch bei der Frage, was Software darf, besteht keine Einigkeit. Windows-Experte Mark Russinovich stellt sich auf den Standpunkt, dass es überhaupt keinen Grund für den Einsatz von Rootkit-Technologie gibt. Andere Sicherheitsexperten wie «Rootkit-Erfinder» Greg Hoglund sehen die Verfahren dagegen als unerlässlichen Bestandteil zur Entwicklung sicherer Container an. Auch der inoffizielle WMF-Patch, der gefährliche API-Aufrufe filtert, würde in diese Kategorie gehören.