http://www.tomshw.it/cont/articolo/contro-i-veri-hacker-non-c-e-firewall-che-tenga/23817/1.html

Registrati |
Login

Epson Tech & Biz

Suggerimenti, Guide, Innovazioni, Esperimenti, Esperienze.

Indietro

Contro i veri hacker non c'è firewall che tenga

Continua

17:00 - 1 febbraio 2010 17:00 - 1 febbraio 2010 di Alan Dang

BluePill, la pillola blu, continua

TH: Quindi il punto è avere un livello di accesso che sia almeno un livello superiore rispetto all'avversario. Più piccolo è il numero, più forti siamo. A questo punto ci puoi parlare degli exploit "Ring -1", e della tua "pillola blu"?

Joanna: Ring -1 è un nome informale, coniato quando AMD e Intel introdussero la virtualizzazione a livello di CPU, circa tre anni fa. Quelle nuove tecnologie introdussero un nuova modalità operativa, chiamata "root mode" o anche "host", in base al produttore. A livello informale, questa novità è stata chiamata "Ring -1", per sottolineare il fatto che l'hypervisor ha più privilegi del kernel del sistema operativo, tradizionalmente a livello Ring 0.

Ho scritto BluPill nel 2006 per dimostrare come la tecnologia di virtualizzazione a livello hardware può offrire un'occasione per creare malware molto sofisticato: è possibile creare un hypervisor invisibile e, senza grossi ostacoli, spostare il sistema operativo principale in una macchina virtuale, controllate dall'hypervisor maligno.

Supponiamo di avere un software per controllare l'integrità del sistema, capace di verificare l'integrità del codice del kernel, strutture di dati e puntatori di funzioni, per controllare se uno di questi elementi è stato compromesso. Anche uno scanner così, del tutto ideale, non sarebbe capace di individuare malware come BluPill. Questo perché, a differenza dei rootkit kernel precedenti, BluPill non tocca nulla del kernel o dei dati. Quello che fa è installarsi sopra al kernel, senza bisogno di fare modifiche.

Un altro elemento unico di BluePill, che lo rende davvero unico nel suo genere, è che supporta la virtualizzazione "a nido" (nested). Si può caricare BluePill e poi, dentro alla macchina virtuale creata, avviare un normale hypervisor, come Xen o Virtual PC. Potete persino caricare diverse istanze di BluePill una dentro all'altra. In effetti, sono piuttosto orgogliosa dei risultati che ho ottenuto.

In molti hanno cercato di dimostrare che BluePill è individuabile, con diversi software scritti apposta. Il principio generale era che bastasse individuare un processo di virtualizzazione per poter dire di trovarsi dentro a BluePill.

Qualche hanno fa, in effetti, si poteva fare un'affermazione simile perché non c'erano altri prodotti che usassero la virtualizzazione a livello hardware. Chiaramente, però, se diamo retta a questa impostazione potremmo anche dire che se un eseguibile attiva o usa connessioni di rete, allora deve essere per forza l'elemento di una botnet.

Condividi:

Indietro

Continua

Commenti

Aggiungi un tuo commento

1/11 avanti

Fall4 01/02/2010 17:15

complimenti per l' articolo.
Grazie Alan Dang di averlo pubblicato, è stato un piacere leggerlo!

Xfire 01/02/2010 17:26

Questa donna esiste davvero???
Ma capitano tutte a me quelle che al di fuori di MSN non concepiscono nulla del PC?

.

Articolo molto interessante, anche dal lato tecnico.

Tresh 01/02/2010 17:30

Cavolo però, sta praticamente dicendo che non c'è speranza per la sicurezza....
Lei utilizza 3 vm con sopra 3 browser settati in maniera diversa solo per navigare. Io con firefox su windows 7 ci faccio praticamente tutto e uso il firewall integrato + avira.
Praticamente un bunker (lei) contro la casetta di marzapane di H&G (io).....e ora mi ha fatto venire anche i complessi.....sigh

franky_gtx 01/02/2010 17:39

io uso Mac ..

EpoX 01/02/2010 17:39

Passi dire che tra Win, MAc e Linux non ci sono sostanziali differenze in termini di sicurezza, ma portare all'estremo il ragionamento e dire "avere un antivirus non serve a niente, anzi qualche volta lui stesso ha delle falle di sicurezza" mi pare un po' esagerato e spocchioso...

Ringraziando il cielo noi comuni mortali non dobbiamo fronteggiare malintenzionati supercervelloni all'avanguardia e belli-belli-belli-in-modo-assurdo come lei, forse per questo a noi l'antivirus+firewall serve e funziona...

P.S.
Se su un computer consiglia "uno Xen personalizzato, che userebbe cose come la VT-d per la disagreggazione Dom0, TPM e TXT per l'avvio sicuro, e isolamento di alto livello tramite partizioni personalizzate DomU. Ogni DomU, poi, avrebbe una versione rinforzata di Linux", non oso immaginare che tipo di antifurto abbia messo sulla sua auto...

morph_v2 01/02/2010 17:45

il computer dove tengo i dati sensibili è fisicamente scollegato dalla rete... e ancora non mi sento sicuro, le chiavi della sala server sono in mano a due persone!

miko88 01/02/2010 17:46

Allora, secondo lei, tutte le aziende che producono antivirus dovrebbero darsi all'agricoltura? Non capisco...

morph_v2 01/02/2010 17:48

un esempio che ricordo.. http://www.azpoint.net/software/software/7003/Norton-Antivirus-Bug-nella-funzione-Live-Update.asp

Theprov 01/02/2010 18:02

Si vabbè...secondo questa io me dovrei mette a fa partire tante macchine virtuali quanti programmi uso...ma sta fori come un balcone...volete la sicurezza assoluta? C'è solo un modo, rivedetevi Mission Impossible, vedrete che troverete un ispirazione....

Sbabba 01/02/2010 18:06

"Uso queste impostazioni da un po' di tempo, e devo dire che mi ci trovo piuttosto bene. La mia compagna, che non ha nulla a che vedere con la tecnologia, usa impostazioni simili sul suo Mac, e ci si trova bene."

La mia compagna... avete scritto male voi o ho letto bene io ?