Ricerca di Sophos sui rootkit

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurezza/18334.html

Sophos pubblica i risultati relativi ad una ricerca sulla conoscenza dei rootkit

Click sul link per visualizzare la notizia.

[Murdorr]

Azz adesso pure questa ci mancava... Adesso lo scarico .

[Murdorr]

http://www.wintricks.it/news2/article.php?ID=13300

Qui il link dove scaricarlo .

[Dias]

Quote:

Il 55% del campione analizzato ha affermato di conoscere le problematiche di sicurezza in oggetto

Si, certo, come no, e il 50% degli asini sanno volare.

55% di media dei lettori di HW forse (forse eh), che sono ben lontani dalla media comune.

Pessima ricerca in quanto hanno cannato completamente il campione da analizzare.

[Nockmaar]

Quoto Dias, magari stessimo su quelle percentuali...

[Murdorr]

Fatto! scaricato, installato, scannerizzato:

Pulito! non avevo niente .

[k0nt3]

mi chiedevo cosa può fare questo software di sophos contro questo

[Drakogian]

Quote:

Originariamente inviato da k0nt3

mi chiedevo cosa può fare questo software di sophos contro questo

Interessante ed inquietante l'articolo che hai segnalato. La parte che più mi ha colpito è:
"will be talking about Blue Pill and demonstrating a working prototype for Vista x64 at the end of July at SyScan Conference in Singapore.

Also, I will present a generic method (i.e. not relaying on any implementation bug) of how to insert arbitrary code into the Vista Beta 2 kernel (x64 edition), thus effectively bypassing the (in)famous Vista policy for allowing only digitally singed code to be loaded into kernel. Of course, the presented attack does not require system reboot."

Se tutto ciò è vero e fattibile allora si potrebbero aprire ampi scenari (nel bene e nel male) sul digitally singed code e relativo Trusted Computing.

[Ciaba]

...il problema Rootkit è piuttosto serio, nn tanto per la diffusione e la conoscenza del problema da parte degli utenti(mi aggrego alla compagnia che ritiene le percentuali proposte illusorie), quanto per l'evidente ritardo in sviluppo da parte delle case produttrici di antivirus i cui prodotti nn sono assolutamente preparati ad affrontare una minaccia simile. Ormai i pericoli sono sempre meno rappresentati da virus puri sostituiti da un sempre maggior numero di sotto-worms altrettanto deleteri e pericolosi(spy, troyan, rootkit etc, etc...provenienti esclusivamente dal web), contro i quali servirebbe forse un discorso diverso a livello di programmazione del SO e dei sistemi di trasmissione dati(Es. un monitoraggio server sui dati trasmessi alla ricerca di codice maligno), oltre che un aggiornamento dei software anti-qualcosa.
Andrebbe fatto anche un discrso a livello rete e caos che vi regna in tema sicurezza, ma pur essendo un problema ben conosciuto e risolvibile nn lo si vuole evidentemente risolvere...quindi avanti con i software ma che siano effettivamente aggiornati.

[k0nt3]

Quote:

Originariamente inviato da Drakogian

Interessante ed inquietante l'articolo che hai segnalato. La parte che più mi ha colpito è:
"will be talking about Blue Pill and demonstrating a working prototype for Vista x64 at the end of July at SyScan Conference in Singapore.

Also, I will present a generic method (i.e. not relaying on any implementation bug) of how to insert arbitrary code into the Vista Beta 2 kernel (x64 edition), thus effectively bypassing the (in)famous Vista policy for allowing only digitally singed code to be loaded into kernel. Of course, the presented attack does not require system reboot."

Se tutto ciò è vero e fattibile allora si potrebbero aprire ampi scenari (nel bene e nel male) sul digitally singed code e relativo Trusted Computing.

esatto
se vai nella home del blog puoi anche leggere i due articoli successivi di cui il più inquietante è di sicuro l'ultimo perchè spiega come non sia possibile rilevare in pratica questo rootkit. alla fine la conclusione della ricercatrice è che l'unico modo per essere certi di non avere il rootkit è non comprare cpu con hardware di virtualizzazione (Pacifica per AMD e Vanderpool per Intel))

ps. che io sappia le ultime CPU hanno queste tecnologie

[k0nt3]

mi completo: http://en.wikipedia.org/wiki/Virtual...virtualization
lì è spiegato quali CPU usano tale hardware

[matteo1]

non per vantarmi,ma
http://www.hwupgrade.it/forum/showthread.php?t=1264502

Scherzi a parte,impiega un paio di minuti circa per fare una scansione completa,e segnala come sospetto l'estenzione flashgot.exe del profilo di firefox,salvo poi suggerire che non è necessario fixare il file.

[Mister24]

A me segnala come sospetto 2 chiavi di registro che riguardano il lettore virtuale di alcohol 120%.
Ovviamente non le ho cancellate, dubito che alcohol sia un rootkit.

[matteo1]

Quote:

Originariamente inviato da Mister24

A me segnala come sospetto 2 chiavi di registro che riguardano il lettore virtuale di alcohol 120%.
Ovviamente non le ho cancellate, dubito che alcohol sia un rootkit.

le questione di alcohol è controversa nel senso che i driver di cui si serve sono simil rootkit,ma ovviamente non cagionano nessun problema.Quindi stai tranquillo.

[Bongio2]

Quote:

Originariamente inviato da Ciaba

...il problema Rootkit è piuttosto serio, nn tanto per la diffusione e la conoscenza del problema da parte degli utenti(mi aggrego alla compagnia che ritiene le percentuali proposte illusorie), quanto per l'evidente ritardo in sviluppo da parte delle case produttrici di antivirus i cui prodotti nn sono assolutamente preparati ad affrontare una minaccia simile. Ormai i pericoli sono sempre meno rappresentati da virus puri sostituiti da un sempre maggior numero di sotto-worms altrettanto deleteri e pericolosi(spy, troyan, rootkit etc, etc...provenienti esclusivamente dal web), contro i quali servirebbe forse un discorso diverso a livello di programmazione del SO e dei sistemi di trasmissione dati(Es. un monitoraggio server sui dati trasmessi alla ricerca di codice maligno), oltre che un aggiornamento dei software anti-qualcosa.
Andrebbe fatto anche un discrso a livello rete e caos che vi regna in tema sicurezza, ma pur essendo un problema ben conosciuto e risolvibile nn lo si vuole evidentemente risolvere...quindi avanti con i software ma che siano effettivamente aggiornati.

Esistono già dei software che fanno questo, si chiamano IDS (intrusion detection system), il + diffuso, nonche free ed open è Snort....
Si può usare anche nessus (www.nessus.org, anche lui free) per fare una scansione alla ricerca di falle......

[Ciaba]

Quote:

Originariamente inviato da Bongio2

Esistono già dei software che fanno questo, si chiamano IDS (intrusion detection system), il + diffuso, nonche free ed open è Snort....
Si può usare anche nessus (www.nessus.org, anche lui free) per fare una scansione alla ricerca di falle......

...grazie Bongio2, nn li conoscevo, addirittura OpenSource vedo,...ottimo, mi metto in cerca