Letta 1422 volte 13 agosto 2006 alle 05.23 di netquik Fonte: virtualization.info
Il Mito "Blue Pill" Ridimensionato
LINK:
Il Mito Blue Pill Ridimensionato
Da circa due mesi l'industria della sicurezza e della virtualizzazione sta discutendo su una nuova potenziale minaccia e tecnica malware chiamata "Blue Pill". Blue Pill è un prototipo realizzato da Joanna Rutkowska, ricercatrice che studia gli stealth malware per l'azienda di sicurezza COSEINC, che sfrutta la tecnologia di virtualizzazione AMD SVM/Pacifica per creare un hypervisor ultra-leggero capace di prendere il completo controllo del sistema operativo "sottostante". Rutkowska ha mostrato le nuove tecniche di hijacking sviluppate durante il recente Black Hat Briefings, iniettando codice arbitrario nel kernel di Vista Beta 2 (x64 edition) senza necessità di reboot di sistema.

links e news Blue Pill: Malware 100% Invisibile  -  Black Hat: Win Vista Beta "0wn3d!" 

La stampa mondiale ha prestato molta attenzione al nuovo prototipo "Blue Pill" (riportando spesso informazioni non corrette) sia perché lo scenario di attacco interessa Windows Vista, il prossimo "fortificato" sistema operativo di Microsoft sia perché Rutkowska ha affermato che il nuovo modello malware è impossibile da rilevare una volta installato. Rutkowska aveva spiegato sul suo blog Invisible Things: "La forza di Blue Pill deriva dalla tecnologia SVM ... se non si riuscirà a trovare una tecnica di rilevamento generico per macchine virtuali SVM-based, Blue Pill non potrà mai essere rilevato".

Nel tentativo di fare chiarezza sul nuovo "mito" di "Blue Pill", il sito Virtualization.info ha realizzato a riguardo una intervista con Anthony Liguori, Software Engineer del IBM Linux Technology Center e soprattutto una delle menti che hanno concepito lo Xen hypervisor. L'intervista è particolarmente interessante ma abbastanza lunga, riportiamo quindi solo qualche estratto più significativo. Come abbiamo già visto nelle news precedenti l'idea alla base di Blue Pill è quella di creare un codice malware Virtual Machine Monitor. Se il VMM è capace di posizionarsi sopra al sistema operativo, allora potrebbe potenzialmente nascondere un virus alla macchina virtuale rimanendo nell'ambito del VMM. Secondo Liguori "far sì che un VMM si installi direttamente su un sistema operativo è molto difficile. Non è fuori dalla sfera del possibile ma richiederebbe un enorme sforzo di engineering. Tuttavia, per poter aver successo, il malware non solo deve essere capace di prendere possesso del sistema operativo host, ma deve anche evitare che il sistema sia capace di rilevare di star girando su macchina virtuale". Liguori ribadisce che se il primo metodo è possibile (anche se molto difficile) il secondo intento non è possibile cioè i software anti-malware saranno sempre i grado di rilevare questo tipo di attacco.

Liguori ammette che uno scenario come quello ipotizzato da Rutkowska sarebbe tuttavia disastroso per l'intera industria, ed è questo il motivo della grande attenzione data al problema dai media nelle ultime settimane. "I codici malware a livello VMM infatti potrebbero installare keylogger, offrire accesso remoto al disco, rubare password dalla memoria VMM, e svolgere qualsiasi altra azione nociva che si può immaginare". Il prototipo "Blue Pill" è comunque, secondo il ricercatore, "molto rilevabile". "Tutto ciò che fa è abilitare una SVM, e settare una porzione delle memoria che viene richiamata periodicamente. Non tenta, allo stato attuale, di nascondere quella memoria al sistema operativo in modo da fornire accesso solo alla memoria fisica". Tuttavia, secondo Liquori, anche creando un VMM con protezione di memoria (cosa non facile) ci sarebbe ugualmente la possibilità di rilevarlo. "La virtualizzazione hardware richiede l'uso di una tecnica chiamata "trap and emulation". L'idea è quella che l'hardware intrappoli certe istruzioni e che il VMM emuli queste istruzioni in modo da far credere al software di star girando in una macchina virtuale. L'emulazione software implica che queste istruzioni impieghino molto più tempo eseguite sotto VMM che su hardware normale. Questo rappresenta anche il metodo per rilevare la presenza di un VMM". Rutkowska ha sviluppato il suo prototipo sfruttando la tecnologia AMD SVM. Secondo Liguori comunque, se questo tipo di approccio fosse valido, sarebbe applicabile anche alla tecnologia Intel Virtualization Technology. Le due tecnologie di virtualizzazione, nelle forme attuali, sono infatti completamente identiche se si escludono alcune differenze minori nelle performance.
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
 ONLINE
OSPITI 6
UTENTI 0
VISITE OGGI
82
 VISITE TOTALI
5.873.853
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Web Hosting
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X