Prevx avverte: inizia l'era dei rootkit a 64bit

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/prevx-avv...bit_33555.html

I sistemi operativi Microsoft Windows a 64 bit non sono più la panacea contro i rootkit, almeno non più.


Click sul link per visualizzare la notizia.

[Unrealizer]

Quote:

Originariamente inviato da deepdark

Amministratore o super-amministratore?

credo si tratti di una semplice autorizzazione UAC... in ogni caso, i BIOS non hanno una funzione per impedire la scrittura dell'MBR?
mi pare si chiami "Virus Warning" o qualcosa del genere, proprio perchè i vecchi virus colpivano spesso l'MBR di hd e floppy

[Devil402]

@Unralizer: Su parecchi modelli di pc vecchi all'interno del bios, ho spesso trovato una funzione che riportava nella descrizione appunto, tale blocco...ma nei nuovi, sembra come scomparsa...non so se l'abbiano tolta, nascosta, fatto quel che diamine gli pare, ma non la trovo più...boh.

[pabloski]

oddio, capirai che novità.....dire "lì dove teoricamente non sarebbero potuti entrare" è un pò eccessivo....chiunque lavora in questo settore sa benissimo che non c'è porta che tenga e l'unico sistema sicuro è un sistema isolato dal mondo esterno

windows a 64 bit era sicuro perchè, visto lo scarso market share, non era bersagliato dagli hacker che, tra l'altro, hanno rispolverato una tecnica vecchia quanto l'informatica stessa e cioè quella dei virus del master boot record

[WarDuck]

Quote:

Originariamente inviato da pabloski

oddio, capirai che novità.....dire "lì dove teoricamente non sarebbero potuti entrare" è un pò eccessivo....chiunque lavora in questo settore sa benissimo che non c'è porta che tenga e l'unico sistema sicuro è un sistema isolato dal mondo esterno

windows a 64 bit era sicuro perchè, visto lo scarso market share, non era bersagliato dagli hacker che, tra l'altro, hanno rispolverato una tecnica vecchia quanto l'informatica stessa e cioè quella dei virus del master boot record

Windows 64 è sicuro per via di patch guard e per via del blocco dei drivers non firmati.

Tant'è che di per se non sono stati violati direttamente, ma si è ricorsi ad aggirarli colpendo il master boot sector per controllare il sistema operativo installato, qualunque esso sia.

E' chiaro che nel momento in cui puoi accedere al master boot sector puoi fare quello che vuoi, manipolando il codice che verrà eseguito al boot, prima che (e mentre) il sistema operativo si carica.

Ovviamente, cosa non di poco conto, servono i privilegi amministrativi per poter scrivere nel master boot record.

[gionnico]

Quote:

Originariamente inviato da WarDuck

E' chiaro che nel momento in cui puoi accedere al master boot sector puoi fare quello che vuoi, manipolando il codice che verrà eseguito al boot, prima che (e mentre) il sistema operativo si carica.

Non è così, basta programmare boot loader e boot code avendo in mente questo.

Montare in sola lettura, proteggere da buffer overflow, PIE, ASLR, SSP e quant'altro.


Il sistema lo blindi se vuoi.

[DanieleC88]

Quote:

Originariamente inviato da Alessandro Bordin

“I sistemi operativi Microsoft Windows a 64 bit non sono più la panacea contro i rootkit, almeno non più.”

Jacques de La Palice colpisce ancora!

[WarDuck]

Quote:

Originariamente inviato da gionnico

Non è così, basta programmare boot loader e boot code avendo in mente questo.

Montare in sola lettura, proteggere da buffer overflow, PIE, ASLR, SSP e quant'altro.

Certo, ma nel momento in cui puoi modificare il codice che fa tutte le cosine che hai detto, prima che le faccia...

[blackshard]

Altri soldini nelle tasche dei produttori di antivirus e compagnia bella.

[Ginopilot]

E' deprimente che al mondo ci sia qualcuno, anche pagato, che si impegna a scrivere codice del genere.

[paulus69]

Quote:

Originariamente inviato da Ginopilot

E' deprimente che al mondo ci sia qualcuno, anche pagato, che si impegna a scrivere codice del genere.

si,sarei concorde se:
sarebbe deprimente,per tutti,il disimpegnarsi e sbattercene altamente los cojons...
non si finirà mai di imparare(e guai se lo fosse..)dai propri errori e dagli errori altrui:ad ogni mossa aspettarsi sempre un'ovvia contro-mossa...

[Lemonsat]

Eliminare l'MBR no? Mi sembrerebbe anche l'ora....

[blackshard]

Quote:

Originariamente inviato da Lemonsat

Eliminare l'MBR no? Mi sembrerebbe anche l'ora....

E perchè mai? Il sistema deve pur essere avviato da qualche parte...

[Unrealizer]

Quote:

Originariamente inviato da blackshard

E perchè mai? Il sistema deve pur essere avviato da qualche parte...

se non sbaglio l'obiettivo di EFI e in particolare dello schema partizioni GPT è proprio questo (oltre a soppiantare il BIOS ovviamente)

[lord freezer]

Quindi dovrebbe bastare abilitare bitlocker per ovviare al problema, no?

[blackshard]

Quote:

Originariamente inviato da Unrealizer

se non sbaglio l'obiettivo di EFI e in particolare dello schema partizioni GPT è proprio questo (oltre a soppiantare il BIOS ovviamente)

Si craccherà il boot della partizione di avvio... sempre quello è...

[gionnico]

Quote:

Originariamente inviato da blackshard

Si craccherà il boot della partizione di avvio... sempre quello è...

Ehm un virus che ti fa la modifica della PS3 e si riproduce in modo virale su tutte le PS3?


Ecco. (la modifica software)

Forse vedi che un virus non ci arriva serve pesante aiuto da parte tua e anche buone conoscenze e i file giusti da scaricare (bios sbloccati).
Sistemi Mac e palmari sono blindati e non basta un rootkit per cambiargli OS.

[blackshard]

Quote:

Originariamente inviato da gionnico

Ehm un virus che ti fa la modifica della PS3 e si riproduce in modo virale su tutte le PS3?


Ecco. (la modifica software)

Forse vedi che un virus non ci arriva serve pesante aiuto da parte tua e anche buone conoscenze e i file giusti da scaricare (bios sbloccati).
Sistemi Mac e palmari sono blindati e non basta un rootkit per cambiargli OS.

Quindi evviva il PC superblindato?
Non mi puoi parlare di PS3, quell'hardware è proprietario sony, e infatti sony decide che non ci si può installare niente (leggi la storia su linux) e non ci si installa niente. Bello, eh? Ma è proprio l'ultima cosa che auspico, piuttosto mi tengo i virus... (inteso: si tengono... io di virus ne vedo ben pochi...)

[NWEvolution]

Quote:

Originariamente inviato da gionnico

Ehm un virus che ti fa la modifica della PS3 e si riproduce in modo virale su tutte le PS3?


Ecco. (la modifica software)

Forse vedi che un virus non ci arriva serve pesante aiuto da parte tua e anche buone conoscenze e i file giusti da scaricare (bios sbloccati).
Sistemi Mac e palmari sono blindati e non basta un rootkit per cambiargli OS.

Sbaglio... o con l'iPhone sono riusciti a cambiargli OS con una pagina web? (jailbreak slide)

immagina di automatizzare la slide... e invece di inserire il codice del jailbreak metti un malware....
non mi sembra che Sistemi Mac e palmari siano blindati.

[gionnico]

Quote:

Originariamente inviato da blackshard

Quindi evviva il PC superblindato?
Non mi puoi parlare di PS3, quell'hardware è proprietario sony, e infatti sony decide che non ci si può installare niente (leggi la storia su linux) e non ci si installa niente.

No una cosa è impedire che possano esserci exploit vari.
Altra è rimuovere un'opzione precisa (che poi non "blinda" la console, toglie solo la semplice opzione dalla schermata).

Tutti i computer dovrebbero eseguire software più sicuro, questo non vuol dire che la microsoft decide cosa tu possa fare o installare.
Basta per esempio richiedere la password di amministratore per montare in lettura+scrittura e darti permessi di operare anche nell'MBR.
Come avviene su mac e linux.

Quote:

Originariamente inviato da NWEvolution

non mi sembra che Sistemi Mac e palmari siano blindati.

Loro almeno ci provano.
Poi l'iPhone è talmente diffuso che un modo di aggirare le protezioni qualcuno lo trova.
Però è sempre più difficile.


Mi ricordo i fonera che ogni pochi mesi, nella rev successiva chiudevano tutte le falle dei precedenti arrivando a eliminare l'unico ingresso seriale!