A Symantec corrigiu uma falha em seu software Norton Systemworks que retira uma funcionalidade que escondia arquivos em uma Lixeira Protegida utilizando tecnologias rootkit. Com isso, novas denúncias sobre o uso de tecnologias rootkit surgem, mas será que elas são sempre ruins?

A verdade é que nem todos os ‘rootkits’ são mesmo rootkits. Rootkit, por definição, é um programa usado para que um cracker possa manter o controle sobre um sistema comprometido sem que o usuário saiba que o sistema foi comprometido.

No caso do programa da Symantec, isso seria possível porque um trojan poderia se instalar na pasta protegida do Norton, fazendo com que o Norton fosse o “rootkit” que protege o programa (trojan) que comprometeu o sistema. Se a tecnologia rootkit tivesse sido empregada de tal forma que um trojan não pudesse se utilizar dela, ela ainda seria problemática?

Esse é o caso do antivírus Kaspersky, que também está sendo alvo críticas devido ao uso de tecnologias rootkit. Até o presente momento, não se sabe como um trojan poderia tirar proveito da tecnologia da Kaspersky e, portanto, ela não seria um problema — por enquanto.

O mais importante, entretanto, não é se a intenção do “rootkit” é maliciosa ou não. O importante é que o usuário saiba que o “rootkit” está presente. Se o usuário sabe que alguns dados estão sendo escondidos pelo seu antivírus, será que esses dados estão realmente sendo escondidos?

As funções do Kaspersky e do Norton Systemworks estão documentadas: o usuário sabe que elas estão lá e sabe também que o seu software antivírus é responsável. Isso é uma situação completamente diferente do caso do rootkit da Sony, onde o programa não explicava para o usuário o que ele iria fazer e também não possuía uma opção para uma desinstalação.

Problemas

Apesar de que as tecnologias rootkit possam ser usadas com propósitos úteis ao usuário, existem outros problemas com rootkits que não podem ser ignorados.

Rootkits trabalham em um nível muito baixo, ou seja, trabalham diretamente com algumas das funções mais sensíveis, que são capazes de traver o computador facilmente. Até mesmo rootkits maliciosos causam problemas em outros softwares ou travam o Windows com a famosa tela azul da morte.

O especialista em segurança Eric L. Howes, que mantém a lista de anti-spywares falsos, usou uma analogia em uma entrevista à eWeek, explicando que programar rootkits é como dirigir um carro em alta velocidade, pois pequenos erros causam graves acidentes.

Outro problema seriam os possíveis abusos. Uma situação clara de abuso seria a de um programa que esconde processos do Gerenciador de Tarefas, pois o usuário tem o direito de saber quais os programas que estão rodando no seu computador e quanto de memória e quanto poder da CPU esses softwares estão usando.

Contudo, definir “rootkit” pode não parece ser tão complicado — um programa só pode esconder arquivos do sistema, mas não pode esconder absolutamente nada do usuário. Uma definição simples como essa, porém, traz uma pergunta muito polêmica: como ter certeza que o usuário sabe que o rootkit está presente?

Essa pergunta, que não possui uma resposta fácil e definitiva, é o principal motivo pelo qual desenvolvedores de softwares de segurança e outros softwares legítimos devem ficar longe das tecnologias utilizadas por rootkit e outros softwares maliciosos.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

One Comment

  1. Tedaldo Buratti r. 16/01/2006 às 09:45

    Os produtos Norton são pura fraude. Todos os testes que eu fiz com o Norton deram em travamento da máquina. É como a Microssoft, pura fraude. usando pela primeira vez, v. pensa: gastei uma grana legal, mas funcionou. Passa uns dias, a verdade aparece. Taí dois produtos que eu não sei como não está na lista negra do PROCON. Brasileiro aceita tudo!!!

    Curtir

Comentários encerrados.