http://www.tomshw.it/cont/articolo/contro-i-veri-hacker-non-c-e-firewall-che-tenga/23817/1.html

Registrati |
Login

Speciale: 25 anni con Antec

Case, alimentatori e dissipatori. Scopri i prodotti Antec.

Indietro

Contro i veri hacker non c'è firewall che tenga

Continua

17:00 - 1 febbraio 2010 17:00 - 1 febbraio 2010 di Alan Dang

BluePill, la pillola blu, continua

TH: Proviamo a chiarire: se io sto usando una macchina virtuale legittima e ho accesso a tutti gli strumenti del caso, mi stai dicendo che non ho modo di sapere che il gestore della macchina virtuale, l'hypervisor, è stato compromesso da BluePill? Posso usare lo strumento per individuare la virtualizzazione, ma mi dirà solo quello che già so, cioè che è attiva un macchina virtuale?

Joanna: sì, individuare la virtualizzazione e capire se una macchina virtuale è compromessa sono due cose diverse.

TH: Quindi l'unica ragione per cui le strategie di individuazione funzionano è il fatto che, in teoria, nel mio sistema non ci dovrebbero essere macchine virtuali attive, quindi se ne viene rilevata una, posso supporre che ci sia un problema, giusto?

Joanna: In teoria puoi investire del tempo per creare le istruzioni necessarie per le misurazioni anche in caso siano presenti macchine virtuali a nido, per scoprire se ce n'è una che non dovrebbe esserci. Lo abbiamo mostrato al Black Hat l'anno scorso, aggiungendo BluePill all'hypervisor Xen. Ma è un approccio molto rischioso e complesso, che dipende molto dall'implementazione dell'hypervisor (quello legittimo). Bisogna esserne ben consapevoli di tutti i parametri per riuscire a "separare i segnali dal rumore", e trovare quello che stiamo cercando. Credo che un approccio simile per risolvere il problema del malware simile a BluePill, anche se si presta bene alla speculazione, sarebbe un vicolo cieco. Non credo che vedremo circolare malware come BluePill nei prossimi tempi, ma solo perché il malware "vecchio stile", che colpisce a livello kernel funziona ancora alla grande. L'industria degli antivirus è un disastro per quanto riguarda l'individuazione e le prevenzione contro questo tipo di minaccia. Quindi chi sviluppa malware ha pochi incentivi a fare un nuovo passo evolutivo verso tecnologie più complesse. Naturalmente noi ricercatori non aspettiamo che i cattivi facciano la prossima possa, e stiamo già pensando a come evitare che questo malware, ancora potenziale, possa arrivare a diffondersi. Una possibile soluzione è la tecnologia Intel TXT (Trusted Execution), anche se in verità siamo già riusciti ad aggirarla qualche mese fa, in occasione del Black Hat DC.

Condividi:

Indietro

Continua

Commenti

Aggiungi un tuo commento

1/11 avanti

Fall4 01/02/2010 17:15

complimenti per l' articolo.
Grazie Alan Dang di averlo pubblicato, è stato un piacere leggerlo!

Xfire 01/02/2010 17:26

Questa donna esiste davvero???
Ma capitano tutte a me quelle che al di fuori di MSN non concepiscono nulla del PC?

.

Articolo molto interessante, anche dal lato tecnico.

Tresh 01/02/2010 17:30

Cavolo però, sta praticamente dicendo che non c'è speranza per la sicurezza....
Lei utilizza 3 vm con sopra 3 browser settati in maniera diversa solo per navigare. Io con firefox su windows 7 ci faccio praticamente tutto e uso il firewall integrato + avira.
Praticamente un bunker (lei) contro la casetta di marzapane di H&G (io).....e ora mi ha fatto venire anche i complessi.....sigh

franky_gtx 01/02/2010 17:39

io uso Mac ..

EpoX 01/02/2010 17:39

Passi dire che tra Win, MAc e Linux non ci sono sostanziali differenze in termini di sicurezza, ma portare all'estremo il ragionamento e dire "avere un antivirus non serve a niente, anzi qualche volta lui stesso ha delle falle di sicurezza" mi pare un po' esagerato e spocchioso...

Ringraziando il cielo noi comuni mortali non dobbiamo fronteggiare malintenzionati supercervelloni all'avanguardia e belli-belli-belli-in-modo-assurdo come lei, forse per questo a noi l'antivirus+firewall serve e funziona...

P.S.
Se su un computer consiglia "uno Xen personalizzato, che userebbe cose come la VT-d per la disagreggazione Dom0, TPM e TXT per l'avvio sicuro, e isolamento di alto livello tramite partizioni personalizzate DomU. Ogni DomU, poi, avrebbe una versione rinforzata di Linux", non oso immaginare che tipo di antifurto abbia messo sulla sua auto...

morph_v2 01/02/2010 17:45

il computer dove tengo i dati sensibili è fisicamente scollegato dalla rete... e ancora non mi sento sicuro, le chiavi della sala server sono in mano a due persone!

miko88 01/02/2010 17:46

Allora, secondo lei, tutte le aziende che producono antivirus dovrebbero darsi all'agricoltura? Non capisco...

morph_v2 01/02/2010 17:48

un esempio che ricordo.. http://www.azpoint.net/software/software/7003/Norton-Antivirus-Bug-nella-funzione-Live-Update.asp

Theprov 01/02/2010 18:02

Si vabbè...secondo questa io me dovrei mette a fa partire tante macchine virtuali quanti programmi uso...ma sta fori come un balcone...volete la sicurezza assoluta? C'è solo un modo, rivedetevi Mission Impossible, vedrete che troverete un ispirazione....

Sbabba 01/02/2010 18:06

"Uso queste impostazioni da un po' di tempo, e devo dire che mi ci trovo piuttosto bene. La mia compagna, che non ha nulla a che vedere con la tecnologia, usa impostazioni simili sul suo Mac, e ci si trova bene."

La mia compagna... avete scritto male voi o ho letto bene io ?