Rootkit hardware non così lontani

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurezza/20334.html

Al BlackHat DC un ricercatore della NGS Software ha sottolineato come i rootkit installati nei firmware delle periferiche per PC non sono poi così irreali.

Click sul link per visualizzare la notizia.

[dema86]

"Altri ricercatori avevano messo in evidenza questo rischio, al quale le società hanno risposto attraverso il Trusted Computing Group e il Trusted Platform Module, che tiene sotto controllo il PC nella sua totalità."

Rispondono ai rootkit con un super-rootkit?

[12pippopluto34]

E ti pareva!


Se il TC in versione GF come vogliono loro non entra dalla porta del mercato, te lo vogliono far passare dalla finestra con la scusa della sicurezza.

Ma a chi vogliono piu' prendere per il culo!
Era gia' noto in tempi non sospetti, ed ora piu' che mai, che i peggiori esemplari di malware vengono sviluppati direttamente dai devel delle multinazionali dell'IT security per costringerci sempre ad acquistare i loro patacconi sw, ora anche l'hw.

E poi tanto, anche quando si raggiungera' la ''frontiera'' della sicurezza della crittografia in chiave hw, comunque continueranno a propinarci le loro ''suite'' per proteggerci da rootkit, worm, trojan, ecc...

Adesso se ne escono co 'sta cazzata dei rootkit sul firmware, cosa che poteva capitare ancor piu' facilmente negli anni scorsi con SO meno evoluti tipo Win9x e che adesso invece, vuoi per la maggior complessita' dei SO, vuoi per i maggiori controlli sulla sicurezza quantomeno in ambito sw, non e' affatto difficile bloccare un attacco di questo tipo.

Ah, gia', dimenticavo!
Forse alludono a quelli della Sony!


Siete ridicoli!

[Mp3_320bps]

è come la favola del lupo cattivo...
solo che qui è direttamente la nonnina che divora capuccetto rosso....

[G00D_GUY]

Peste li colga!

[JohnPetrucci]

Certo fa riflettere come nel 2007 sia ancora precaria la sicurezza informatica, e come siano possibili scenari catastrofici con vie di relativa semplicità.

[Darkgift]

Assicuratemi questo !!!

[properzio]

Forse dico una catroneria, ma almeno nel caso della Apple tutto ciò non è possibile.
L'hardware lo vendono loro, ed essendo un sistema chiuso la vedo difficile andare a modificare il firm dell'hw senza che l'utente se ne accorga...anche perchè per fare ciò dovrebbero sfruttare falle dell'os che il sistema della mela non ha dimostrato di avere (ancora)...un motivo in futuro per passare ad apple?

[-fidel-]

Il caricamento di codice aggiuntivo da parte del firmware è una cosa tranquillamente controllabile in fase di prima esecuzione del programma maligno che installa il rootkit (non dimentichiamo che ci vuole sempre l'interazione del'utente per installare un rootkit, a meno di gravi falle del sistema che permettono di eseguire codice senza l'interazione dell'utente, ma oramai questo è molto raro).
Il SO può controllare, all'atto dell'esecuzione anche da parte dell'amministratore, se quel codice va a posizionarsi in una zona di memoria riservata ai periferici (in kernel mode), e negare la sua scrittura (o quantomeno chiedere conferma all'utente).
Invece loro che fanno? Ripsondono con il Trusted Computing...
Continuiamo a prenderci per il c**o.

[-fidel-]

Quote:

Originariamente inviato da delargester

Forse dico una catroneria, ma almeno nel caso della Apple tutto ciò non è possibile.
L'hardware lo vendono loro, ed essendo un sistema chiuso la vedo difficile andare a modificare il firm dell'hw senza che l'utente se ne accorga...anche perchè per fare ciò dovrebbero sfruttare falle dell'os che il sistema della mela non ha dimostrato di avere (ancora)...un motivo in futuro per passare ad apple?

Non credo sia quello il problema, visto che si parla di codice caricato dal firmware in un secondo momento. Poi bisogna vedere come è gestito il tutto. Ricordo che MacOS è basato su kernel Unix/Linux, e di solito queste procedure non sono permesse, e del resto rootkit per questi sistemi ancora non esistono...

[properzio]

Quote:

Originariamente inviato da -fidel-

Non credo sia quello il problema, visto che si parla di codice caricato dal firmware in un secondo momento. Poi bisogna vedere come è gestito il tutto. Ricordo che MacOS è basato su kernel Unix/Linux, e di solito queste procedure non sono permesse, e del resto rootkit per questi sistemi ancora non esistono...

Bhe, veramente di rootkit per sistemi unix ce n'è qualcuno...non attaccano su mac os ma su unix si. Se ne era parlato mesi fà proprio qui o su P.I. non ricordo...comunque alla fine è sempre tutto in mano all'utente come dici tu. Per installare quella robaccia l'utente ci deve mettere del suo

[Marco0084]

Mamma mia... ma sta gente non c'ha proprio una mazza da fare... se andassero in piazza a guardarsi 2 spose anzichè stare davanti al pc a guardarsi del porno ammazzandosi dalla solitarie, e a programmare sta roba...

[GmG]

Quote:

Originariamente inviato da -fidel-

Non credo sia quello il problema, visto che si parla di codice caricato dal firmware in un secondo momento. Poi bisogna vedere come è gestito il tutto. Ricordo che MacOS è basato su kernel Unix/Linux, e di solito queste procedure non sono permesse, e del resto rootkit per questi sistemi ancora non esistono...

Rootkit per linux e Mac esistono

Linux
http://www.viruslist.com/en/find?sea....Linux&x=0&y=0

Mac
http://www.viruslist.com/en/find?sea...it.OSX&x=0&y=0

http://www.viruslist.com/en/analysis?pubid=168740859

[properzio]

Quote:

Originariamente inviato da GmG

Rootkit per linux e Mac esistono

Linux
http://www.viruslist.com/en/find?sea....Linux&x=0&y=0

Mac
http://www.viruslist.com/en/find?sea...it.OSX&x=0&y=0

http://www.viruslist.com/en/analysis?pubid=168740859

Ti faccio solo notare una cosa:
dei rootkit per mac non c'è descrizione perchè erano dei PoC.
La apple ha patchato il problema a giugno 2005! Da allora non mi risulta che sia più uscito nulla. Solo un PoC 2 mesi fà già patchato anche quello (riguardava una falla nelle immagini UDF).

[-fidel-]

Quote:

Originariamente inviato da GmG

Rootkit per linux e Mac esistono

Linux
http://www.viruslist.com/en/find?sea....Linux&x=0&y=0

Mac
http://www.viruslist.com/en/find?sea...it.OSX&x=0&y=0

http://www.viruslist.com/en/analysis?pubid=168740859

ho dato un'occhiata ai rootkit per linux: a parte che è una variante sempre dello stesso, non c'è alcuna descrizione disponibile. Mi informo meglio di che tipo di roba si tratta.
Comunque io mi riferivo ai rootkit possibili accennati nella news (quelli del firmware), non ho mica detto che rootkit per linux non esistono/non possono esistere

EDIT: Mmmmh, attenzione, i rootkit linux sono un'altra cosa rispetto a quello che si intende per Win:
http://www.cs.wright.edu/~pmateti/Co...on/obrien.html
Sono dei soliti pacchetti che fanno principalmente da network sniffer e backdoor.
Come al solito, hanno bisogno dei privilegi di root per essere esguiti (e questi permessi di default non sono ammessi per lo standard user), ed ovviamente devono essere eseguiti manualmente. In pratica deve essere fatto questo:
- Scaricare manualmente il rootkit
- Dare i permessi di esecuzione (di default non ci sono per i nuovi files, a meno che non vengono estratti da un archivio).
- essere root
- eseguire lo script (ed essere un amministratore un po' fesso...).

Oppure avere una falla grave nel sistema che permette ad un hacker esperto di intrufolarsi nel sistema ed ottenere i permessi di root (root escalation) e fare quello che vuole. Ricordo comunque che la root escalation da remoto è oramai rarissima (normalmente possibile con vecchie versioni di programmi server), mentre in locale qualcosa in più si può fare (ma è comunque parecchio difficile/raro).
Con i permessi di root puoi fare quello che vuoi, come in qualunque SO, ma su Linux/MacOS la cosa è parecchio differente. Questo ovviamente non vuol dire che bisogna tralasciare la questione sicurezza su questi sistemi, i bugs/exploits sono sempre dietro l'angolo per chi sa vedere

[Therinai]

A questo punto tra palladium, trusted computing e rootkit windows è una discarica a cielo aperto, e diventerà sempre più fetente. Il tc potrà essere applicato anche a linux ma mi sa che sarà sempre meglio di windows, confermate?

[jjd]

ecco ora che le case di antivirus hanno guadagnato parecchio sui virus tradizionali cos ti levano dal cilindro i virus per l'hardware , scommettete che ce l'hanno già pronto!che uomini d'affari che sono creano il male e poi ci vendono la cura.

[-fidel-]

Quote:

Originariamente inviato da Therinai

Il tc potrà essere applicato anche a linux ma mi sa che sarà sempre meglio di windows, confermate?

Purtroppo non confermo.
Il TC è subdolo perchè è direttamente una questione hardware. Se un periferico è TC si rifiuterà di funzionare su un SO non TC, indi per cui ogni SO sarà costretto a supportare le specifiche TC se vuol far funzionare l'hardware.
Se ad esempio hai una scheda audio TC, che non ti permette in hardware di eseguire media non firmati, se il SO non supporta il chip TC la scheda audio si rifiuta di funzionare sempre, quindi il SO è costretto a supportare tale chip (che ti permetterà di eseguire solo media firmati digitalmente).
Per questo motivo l'avversione al TC è così pesante: non è una questione di sistemi operativi, è una questione di poteri dei produttori hardware e di interessi delle majors.
Non a caso nel TCG ci sono un po' tutti: MS (tra i principali sostenitori, ed è l'azienda che se non erro ha lanciato l'idea), Intel, AMD/ATI, ecc. ecc.

[K7-500]

Alla fine se avesse acceso il cervello per un nanosecondo avrebbe evitato il problema... ma non sapeva che i problemi di quel tipo esistevano.


Molti utenti cospargono i propri pc con polvere di aspirina e ci mettono i cornetti vicino... antivirus fai da te! Lol

[hibone]

notizia ottima...
dimostra che il trusted computing non può esistere
puoi sempre inserire un firmware malevolo da un pc non trusted...