Rootkit hardware non così lontani

Rootkit hardware non così lontani

Al BlackHat DC un ricercatore della NGS Software ha sottolineato come i rootkit installati nei firmware delle periferiche per PC non sono poi così irreali.

di Marco Giuliani pubblicata il , alle 08:32 nel canale Sicurezza
 
Il rischio rootkit su hardware è un argomento che negli ultimi mesi è sempre più dibattuto. Al BlackHat DC John Heasman, direttore del centro ricerche per NGS Software, ha sottolineato come ogni componente di un PC utilizza un firmware per funzionare e, come tale, ha dello spazio per caricare del codice che potrebbe essere malevolo.

"Il rischio di rootkit caricati su firmware delle periferiche per PC è un possibile punto di sviluppo e le persone dovrebbero iniziare a preoccuparsene" ha dichiarato Heasman.

Ogni periferica del PC utilizza un software - denominato firmware - per l'inizializzazione della periferica. Il firmware viene eseguito prima ancora dello startup del sistema operativo, perciò un possibile rootkit potrebbe correttamente nascondersi da ogni meccanismo di protezione . Inoltre, poiché il rootkit risiederebbe nell'hardware, un format del PC non risolverebbe il problema.

Nelle proprie ricerche, Heasman ha posto particolarmente l'attenzione sulle schede video che utilizzano gli slot PCI, PCI Express e AGP. Il ricercatore ha scoperto che è possibile caricare alcuni kilobytes di codice nella memoria di queste schede video in aggiunta al già presente firmware. Un attacker potrebbe per esempio caricare un rootkit facendo eseguire all'utente ignaro del rischio un falso eseguibile.

"Il bus PCI è stato sviluppato da Intel negli anni '90 e, come sappiamo tutti, a quel tempo la sicurezza non era di certo uno dei punti focali nello sviluppo" ha poi continuato Heasman, che ha aggiunto "in una rete aziendale, un amministratore di rete conosce quali pc siano connessi alla rete, ma lo sanno veramente quali device PCI sono installati nei PC che sono nella rete? Nella maggior parte dei casi suppongo che la risposta sia no".

Il concetto esposto da Heasman non è nuovo. Altri ricercatori avevano messo in evidenza questo rischio, al quale le società hanno risposto attraverso il Trusted Computing Group e il Trusted Platform Module, che tiene sotto controllo il PC nella sua totalità.

Fonte: ZDNet

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

43 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
dema8603 Marzo 2007, 09:21 #1
"Altri ricercatori avevano messo in evidenza questo rischio, al quale le società hanno risposto attraverso il Trusted Computing Group e il Trusted Platform Module, che tiene sotto controllo il PC nella sua totalità."

Rispondono ai rootkit con un super-rootkit?
12pippopluto3403 Marzo 2007, 09:26 #2
E ti pareva!


Se il TC in versione GF come vogliono loro non entra dalla porta del mercato, te lo vogliono far passare dalla finestra con la scusa della sicurezza.

Ma a chi vogliono piu' prendere per il culo!
Era gia' noto in tempi non sospetti, ed ora piu' che mai, che i peggiori esemplari di malware vengono sviluppati direttamente dai devel delle multinazionali dell'IT security per costringerci sempre ad acquistare i loro patacconi sw, ora anche l'hw.

E poi tanto, anche quando si raggiungera' la ''frontiera'' della sicurezza della crittografia in chiave hw, comunque continueranno a propinarci le loro ''suite'' per proteggerci da rootkit, worm, trojan, ecc...

Adesso se ne escono co 'sta cazzata dei rootkit sul firmware, cosa che poteva capitare ancor piu' facilmente negli anni scorsi con SO meno evoluti tipo Win9x e che adesso invece, vuoi per la maggior complessita' dei SO, vuoi per i maggiori controlli sulla sicurezza quantomeno in ambito sw, non e' affatto difficile bloccare un attacco di questo tipo.

Ah, gia', dimenticavo!
Forse alludono a quelli della Sony!


Siete ridicoli!
Mp3_320bps03 Marzo 2007, 09:39 #3
è come la favola del lupo cattivo...
solo che qui è direttamente la nonnina che divora capuccetto rosso....
G00D_GUY03 Marzo 2007, 10:50 #4
Peste li colga!
JohnPetrucci03 Marzo 2007, 10:53 #5
Certo fa riflettere come nel 2007 sia ancora precaria la sicurezza informatica, e come siano possibili scenari catastrofici con vie di relativa semplicità.
Darkgift03 Marzo 2007, 10:53 #6
Assicuratemi questo !!!
properzio03 Marzo 2007, 11:15 #7
Forse dico una catroneria, ma almeno nel caso della Apple tutto ciò non è possibile.
L'hardware lo vendono loro, ed essendo un sistema chiuso la vedo difficile andare a modificare il firm dell'hw senza che l'utente se ne accorga...anche perchè per fare ciò dovrebbero sfruttare falle dell'os che il sistema della mela non ha dimostrato di avere (ancora)...un motivo in futuro per passare ad apple?
-fidel-03 Marzo 2007, 11:17 #8
Il caricamento di codice aggiuntivo da parte del firmware è una cosa tranquillamente controllabile in fase di prima esecuzione del programma maligno che installa il rootkit (non dimentichiamo che ci vuole sempre l'interazione del'utente per installare un rootkit, a meno di gravi falle del sistema che permettono di eseguire codice senza l'interazione dell'utente, ma oramai questo è molto raro).
Il SO può controllare, all'atto dell'esecuzione anche da parte dell'amministratore, se quel codice va a posizionarsi in una zona di memoria riservata ai periferici (in kernel mode), e negare la sua scrittura (o quantomeno chiedere conferma all'utente).
Invece loro che fanno? Ripsondono con il Trusted Computing...
Continuiamo a prenderci per il c**o.
-fidel-03 Marzo 2007, 11:21 #9
Originariamente inviato da: delargester
Forse dico una catroneria, ma almeno nel caso della Apple tutto ciò non è possibile.
L'hardware lo vendono loro, ed essendo un sistema chiuso la vedo difficile andare a modificare il firm dell'hw senza che l'utente se ne accorga...anche perchè per fare ciò dovrebbero sfruttare falle dell'os che il sistema della mela non ha dimostrato di avere (ancora)...un motivo in futuro per passare ad apple?


Non credo sia quello il problema, visto che si parla di codice caricato dal firmware in un secondo momento. Poi bisogna vedere come è gestito il tutto. Ricordo che MacOS è basato su kernel Unix/Linux, e di solito queste procedure non sono permesse, e del resto rootkit per questi sistemi ancora non esistono...
properzio03 Marzo 2007, 11:33 #10
Originariamente inviato da: -fidel-
Non credo sia quello il problema, visto che si parla di codice caricato dal firmware in un secondo momento. Poi bisogna vedere come è gestito il tutto. Ricordo che MacOS è basato su kernel Unix/Linux, e di solito queste procedure non sono permesse, e del resto rootkit per questi sistemi ancora non esistono...


Bhe, veramente di rootkit per sistemi unix ce n'è qualcuno...non attaccano su mac os ma su unix si. Se ne era parlato mesi fà proprio qui o su P.I. non ricordo...comunque alla fine è sempre tutto in mano all'utente come dici tu. Per installare quella robaccia l'utente ci deve mettere del suo

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^