NX Bit: novità dal fronte sicurezza per Microsoft

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurezza/15832.html

Una scoperta dei laboratori di ricerca Kaspersky Lab mette in evidenza alcuni aspetti della nuova caratteristica dei processori x64.

Click sul link per visualizzare la notizia.

[Aryan]

No, no, tenetelo abilitato l'NX così SF e compagnia si fottano...

[Dumah Brazorf]

Bello, se ho ben capito con x64 un poveraccio dovrà decidere se essere pienamente protetto da attacchi virali o giocare a titoli su cui aveva speso i soldoni... w starforce...

[MaxArt]

Strana mossa da parte di Microsoft, a dire il vero. Ma chi li usa quei compressori? Avrei capito se fosse WinRAR, ma sinceramente mi sarei aspettato che dicesse a quegli sviluppatori di riconsiderare il codice per funzionare anche con NX attivato.

Mah, c'è il fatto che difficilmente un exploit si diffonderà compresso con quegli algoritmi...

[zappy]

mossa idiota da parte di ms...
è possibile disattivare manualmente l'NX... quindi xchè prevedere un sistema automatico e creare una falla di sicurezza?!?

[Pistolpete]

Io l'NXBit lo disabilito sempre.
Non ho mai avuto problemi fin'ora, non la ritengo una impostazione necessaria.

[shrubber]

X MaxArt

StarForce non è un compressore ma invece è una protezione molto diffusa e molto ostica che viene utilizzata nei giochi per PC. E' sempre più diffusa e di conseguenza porterebbe ad una disabilitazione frequente dell'NX Bit

[Fx]

a me sembra che come ogni novità sia normale che ci voglia qualche tempo per la transizione completa... l'importante è che si arrivi un giorno a togliere i workaround per far funzionare tutto, poi se nel frattempo ci sono... amen. non è il massimo, però meglio che funzioni tutto, no?

Pistolpete: ovviamente le differenze che ci sono non sono visibili. con l'NX abilitato, la grafica è sempre quella, le performance sono sempre le stesse, in internet navighi uguale. il giorno però che arriva un worm - se non proprio un hacker in carne ed ossa - che tenta di sfruttare un buffer overflow per prendere il controllo del tuo computer, se hai l'NX abilitato non entra, altrimenti si. tanto per dire, correggetemi se sbaglio, anche i vari blaster e sasser dovessero ripresentarsi oggi con l'NX abilitato non riuscirebbero ad entrare.

in ogni caso c'è una domanda che mi pongo: l'NX è senz'altro un'ottima cosa per la sicurezza, proprio perchè va a mettere uno scudo su uno dei tipi di attacchi più pericolosi. grazie a questo, come s'è detto nell'articolo, è possibile contrassegnare le aree di dati in memoria come "eseguibile" o "dati": nel caso in cui si abbia un buffer sul quale sia possibile, per via del solito baco dell'applicazione, scrivere oltre i suoi "limiti" anche invadendo zone eseguibili il codice che verrebbe malignamente apposto non verrebbe eseguito in quanto non contrassegnato con il bit NX. ora: windows Vista farà largo uso del codice managed, nel quale le protezioni sui "confini" dei buffer (e molto altro) è già intrinseco al codice stesso, che nel momento in cui si usa ad es. un puntatore prima di andare avanti esegue un controllo se il puntatore è valido o meno. la domanda è: di fatto il codice managed non rende superfluo l'NX flag?

[Aryan]

E' come per il DRM Sony. Lasci aperta una breccia e poi ti spaccano il c..o...

[Nockmaar]

Invece di affidarsi all' NX, cercassero di ridurre gli overflow su servizi di sistema critici come DCOM, RPC e Unplug 'n Play.

O che almeno abbiano la decenza di lasciarli disabilitati di default, se non sono necessari.

E l' Unplug 'n Pray non lo e' di sicuro...

[Sawato Onizuka]

[sbadato mode] da dove si vede già in win se ho l'NX bit attivato ?

quindi quando gioco con il mio amato The Suffering 2 [Starforce hai buggato l'intero gioco! ] sono esposto ?

[Fx]

Nockmaar: dato che i buffer overflow non sono eliminabili, come non è possibile eliminare i bug, una soluzione di questo tipo è l'unica che ti garantisce un grado di affidabilità che prescinde dall'effettiva esposizione del codice al problema... sono mille volte più efficaci e proponibili soluzioni come il flag NX o il codice managed che pensare di avere su decine di milioni di righe di codice (indipendentemente dall'os) nemmeno un buffer esposto al rischio di overflow... a meno che la polemica sia strumentale... se tu dicevi "oltre al bit NX dovrebbero anche" era diverso (e sarei stato d'accordo), se ci vieni a dire "al posto di" evidentemente lo dici per un fine: polemica strumentale

[MenageZero]

Quote:

Originariamente inviato da Fx

a me sembra che come ogni novità sia normale che ci voglia qualche tempo per la transizione completa... l'importante è che si arrivi un giorno a togliere i workaround per far funzionare tutto, poi se nel frattempo ci sono... amen. non è il massimo, però meglio che funzioni tutto, no?

imho hai ragione in generale, ma se non ho caipto male la news, non è un problema di workaround che magari a qualcuno non piace (perché si sente "insicuro" nel momento incui deve disabilitare l' nx bit per quel tipo di eseguibili o, al contrario, perché trova scomodo doverlo fare):

il problema è che a causa di quel controllo in ntdll.dll, se si eseguono eseguibili compressi con starforce & co l'nx bit è per forza inutilizzato in quel caso (indipendentemente dalle scelte dell'utente) venendo meno la protezione e la cosa offre ad esempio la possibilità(almeno teorica) ad un malware, che sfrutta un bug noto per un possibile buffer overflow, se compresso con quei sistemi, di funzionare anche con la copertura nxbit "totale" attivata.
(questo non per dire che sia una situazione ad alto rischio o meno, per definirlo servono sicuramente altre condierazioni statistiche e tecniche fuori dalla mia portata)

Volendo da parte di ms cambiare tale comportamento del sistema (come si dice nella news in via ufficiosa) e dato che da come è spiegato sembra basti rimuovere un controllo in ntdll.dll mi sarei aspettato un patch... invece (sempre ufficiosamente) si parla delle prossime versioni di Win x64 (Vista? XP x64 SP1 ?)...

[MenageZero]

Quote:

Originariamente inviato da Nockmaar

... O che almeno abbiano la decenza di lasciarli disabilitati di default, se non sono necessari.

E l' Unplug 'n Pray non lo e' di sicuro...

Vero, ma probabilmente al momento della pacchettizzazione e distribuzione di xp non era nota l'esistenza del bug sul servizio unplug'nplay o altri casi analoghi, se no, per semplice buon senso , credo avrebbero distribuito con il bug già corretto o almeno con il servizio disabilitato di default.

[street]

Quote:

Originariamente inviato da Nockmaar

Invece di affidarsi all' NX, cercassero di ridurre gli overflow su servizi di sistema critici come DCOM, RPC e Unplug 'n Play.

O che almeno abbiano la decenza di lasciarli disabilitati di default, se non sono necessari.

E l' Unplug 'n Pray non lo e' di sicuro...

beh, il plug&play dette problemi all' inizio, ora come ora difficilmente ne potresti fare a meno senza tanti traumi, data l' accoppiata con usb e hot swap

[riva.dani]

Lo Universal Plug'nPlay è una cosa, il Plug 'n Play un'altra

[Yokoshima]

Premetto che il mio livello di conoscenza in questo ambito è abbastanza scarso..tuttavia...mi viene da dire: CHE SVISTA!

A cosa pensavano quando progettavano e scrivevano il codice del NX bit?

[MenageZero]

Quote:

Originariamente inviato da Yokoshima

Premetto che il mio livello di conoscenza in questo ambito è abbastanza scarso..tuttavia...mi viene da dire: CHE SVISTA!

A cosa pensavano quando progettavano e scrivevano il codice del NX bit?

no, no, se leggi bene la notizia è chiaro che non è un svista, bug o come vuoi chiamarlo... è una "feature" (riciclando una battuta che spesso si fa per ironizzare )

Ma non è questo il caso, nel senso che è veramente una feature, una scelta consapevole e voluta, di lascire che quel particolare tipo di eseguibili, pur compiendo essi operazioni che la funzionlità nxbit previene a scopo precauzionale, funzionasse anche con protezione nx bit attivata.

(e non ho scritto le righe qui sopra per esprimere un concetto tipo:"buuuu! che errore! asini!", probabilmente ci saranno anche stati buoni(se non da quello della sicurezza da altri punti di vista) motivi a monte di tale scelta)

Quote:

Originariamente inviato da MaxArt

Strana mossa da parte di Microsoft, a dire il vero. Ma chi li usa quei compressori? Avrei capito se fosse WinRAR, ma sinceramente mi sarei aspettato che dicesse a quegli sviluppatori di riconsiderare il codice per funzionare anche con NX attivato.

Mah, c'è il fatto che difficilmente un exploit si diffonderà compresso con quegli algoritmi...

Sono due cose diverse... ASPack è un runtime packer (come UPX per intenderci) e ha poco a che fare con programmi quali WinRAR, WinZip, etc.

Quote:

Originariamente inviato da Nockmaar

Invece di affidarsi all' NX, cercassero di ridurre gli overflow su servizi di sistema critici come DCOM, RPC e Unplug 'n Play.

O che almeno abbiano la decenza di lasciarli disabilitati di default, se non sono necessari.

E l' Unplug 'n Pray non lo e' di sicuro...

E perchè no? Ci sono molti router ormai che integrano il supporto allo Universal Plug & Play, e può risultare veramente comodo in determinate occasioni...