Quote:
Originariamente inviato da Pier2204
Ho capito molto poco, ma penso di aver capito la sostanza.
Se qualcuno riesce a sfruttare questo bug ottiene privilegi che neanche l'amministratore ha, quindi può agire completamente indisturbato visto che nessun antivirus è in grado di riconoscerlo, può agire a basso livello e in completo anonimato.
|
Fin qui arriva comunque anche una falla grave dell'OS.
Questa va oltre, permette di fare cose che neanche con una falla grave dell'OS puoi fare, cioè infettare l'hardware in modo più o meno permanente, oltre che avere mano molto più libera su quello che fanno comunque già (ma sbattendosi parecchio di più, quindi è comunque utile).
ci sono vari livelli di privilegi (cioè di accesso a componenti e operazioni sensibili che vengono accordate)
in ordine crescente:
-utente
-admin/superutente/root
-sistema operativo
-kernel
-smm del processore
I sistemi informatici sono stati compartimentalizzati da tempo per rendere più difficile il lavoro al malware (ma anche gestire driver merdacchiosi e instabili, la feature di Vista e successivi del "il driver video è crashato e lo abbiamo riavviato" è possibile perchè il driver non gira come OS o kernel ma come utente, una delle ragioni per cui Win98 e 95 erano instabili era perchè i driver giravano con priorità troppo alta e quando crashavano si tiravano dietro tutto). Se bastava che il malware avesse accesso root per fare il diavolo a quattro stavamo freschi.
Quote:
|
falla di cui dal 2009 si è a conoscenza e che dalle cpu del 2010 non ha più effetto,
|
Sì, ma cosa ti assicura che non ce ne siano altre che verranno scoperte "ufficialmente" tra anni?
Un sistema sicuro è sicuro perchè è stato progettato per essere sicuro e segue delle linee guida, non perchè vanno avanti a casaccio e levano i bug man mano che si va avanti.
Questo è hardware dannazione. Non puoi aggiornarlo ma solo sostituirlo.
Per fare un esempio pratico, quelle auto della crysler che hanno il tablet di bordo connesso ai circuiti di comunicazione interna di tutti i sistemi elettronici della macchina non sono diventati "sicuri" ora che patchano la vulnerabilità scoperta.
Alla prossima vulnerabilità del sistema si ritorna daccapo.
I firmware del processore come il BIOS come tutta l'altra roba non deve essere scrivibile se qualcuno non sblocca un tastino, il resto che si inventano è craccabile.
Quote:
|
il problema ora è c'è modo di proteggere anche le produzioni incriminate (97-2010) ?
|
Molto probabilmente no. Perchè un malware con privilegi da OS o da kernel (necessario per fare questo giochino a prescindere) può tranquillamente cambiare microcode con uno fallato, poi agire.
Quote:
|
che la falla sia presente s'è capito, ciò che non si capisce è il metodo per rilevare l'eventuale presenza del rootkit.
|
Non puoi. Se non fa cazzate il rootkit come impallare la connessione internet o fare qualcosa di eclatante, non c'è modo di capire che c'è, perchè sfrutta il sistema che garantiva la sicurezza dell'hardware per pararsi il didietro.
Quando avvii la macchina e il maledetto sta nel BIOS o da qualche parte, si avvia anche quello e si infila nel SMM, dove è al riparo da qualsiasi cosa a parte un debug da parte di un ingegnere Intel che ha accesso ad informazioni e strumenti che hanno solo loro (che usano per sviluppare la loro roba e quindi non ti danno), e da lì può inchiodare o ridirigere o fare il furbetto per evitare che un antivirus trovi le sue copie nel BIOS o nel disco o ovunque.
Un rootkit da sistema operativo lo pialli con un Rescue Disk di un antivirus (che è un OS linux e agisce su un sistema operativo non attivo quindi su dati fissi che non possono reagire), questo dovresti avviare la scheda madre con un nuovo BIOS e sperare che non si sia infilato da qualche altra parte nella scheda.