Letta 1794 volte 16 agosto 2007 alle 17.25 di netquik Fonte: Varie
Dibattito: Blue Pill e Malware Virtualizzati
LINK:
Giorni fa abbiamo parlato del dibattito in corso sulle possibilità di rilevare i malware di nuova generazione basati sulle tecnologie di virtualizzazione. In questi giorni che seguono la conferenza dedicata alla sicurezza Black Hat USA 2007 sono emersi commenti e dettagli su ciò che dobbiamo aspettarci in futuro a questo riguardo, sulla scia dell'attenzione data dai news media al dibattito.

links e news Black Hat: Rootkit VM e Rilevamento  -  Altre 

Abbiamo più volte parlato di questo nuovo di tipo di minaccia che si affaccia nel panorama della sicurezza, riportando le notizie su "Blue Pill", un prototipo di rootkit basato su macchina virtuale (sfruttando la tecnologia AMD SVM/Pacifica), sviluppato da Joanna Rutkowska, ricercatrice che studia gli stealth malware, e di altri simili codici, come "Vitriol", un rootkit HVM-based che sfrutta l'estensioni di virtualizzazione hardware Intel VT-x, realizzato da Dino Dai Zovi, dirigente dell'azienda di penetration-testing Matasano Security. Come evidenziato nella news precedente, in questi mesi è andato in scena un dibattito tra questi esperti di sicurezza riguardo le possibilità di rilevare questo tipo di malware, spesso definiti come "impossibili da isolare".

Segnaliamo due nuovi interessanti interventi che fanno seguito alle discussioni portate sullo stage del Black Hat USA 200: Rutkowska ha pubblicato un commento sul suo blog InvisibleThings per fare ulteriore chiarezza sulla sua presentazione e Ahmed Sallam, ricercatore di McAfee, ha pubblicato un lungo intervento sul blog ufficiale del McAfee Avert Labs, in cui offre un riassunto dell'intero dibattito e annuncia una metodologia efficace per la rilevazione dei malware VM simili a Blue Pill.

Nel suo blog-post, Rutkowska ha evidenziato le differenze tra il rilevamento di sistemi di virtualizzazione e rilevamento di malware basati sulla virtualizzazione, ribadendo ancora una volta che codice come Blue Pill saranno in futuro sempre più avvantaggiati dalla diffusione stessa delle tecnologie di virtualizzazione. Rutkowska ha tentato di spiegare i motivi per i quali un "blue pill detector", sviluppato come rilevatore generico di virtualizzazione, non può essere considerato uno strumento efficace contro la minaccia di questa nuova famiglia di malware. La ricercatrice ha anche sottolineato le nuove capacità integrate nella nuova versione del suo prototipo Blue Pill (in particolare il supporto per hypervisor annidati) che rendendo questo codice ancora più difficile da rilevare utilizzando strumenti di rilevazione "generica" per hypervisor. Rutkowska commenta: "In altre parole, riteniamo che sarà sempre possibile rilevare la modalità virtualizzata utilizzando vari trucchi e hack, ma 1) questi hack potrebbero dover essere molto complessi 2) nel caso la virtualizzazione sia utilizzato su un computer target per scopi legittimi tutti questi metodi fallirebbero in ogni caso". Ricordiamo inoltre che il codice sorgente di "Blue Pill" è stato reso disponibile pubblicamente dalla ricercatrice su bluepillproject.org.

Di contro Sallam di McAfee, che ha pubblicato il suo blog-post pochi giorni fa, ritiene che gli sforzi volti alla creazione di un "Blue Pill impossibile da rilevare" siano alquanto inutili. A supporto di questa sensazione Sallam cita i progressi in atto nella sicurezza dei sistemi di virtualizzazione, con sistemi di autenticazione per gli hypervisor commerciali, eventualmente a livello "firmware". Sallam descrive anche una metodologia, a suo avviso sempre efficace per il rilevamento di hypervisor "indesiderati" in un sistema. Questo metodo si basa su quella che il ricercatore definisce un'altra importante falla nell'attuale architettura dei processori, ossia l'uso dei TLBs (Translation Lookaside buffers) per la cache del mapping da indirizzi virtuali a indirizzi fisici, che viene salvato nelle PTE (Page Table Entries). Si tratta di una metodologia simile a quella descritta dalla stessa Rutkowska durante la sua presentazione "IsGameOver(), anyone?", ma che la ricercatrice aveva definito come "non efficace".

Invitiamo tutti coloro che sono interessati a comprendere meglio la problematica qui discussa a leggere i due blog-post dei ricercatori, che includono dettagli tecnici su ciascun "punto di vista". Il fatto certo è che il dibattito sulle possibilità di rilevare codici malware basati su macchina virtuale continua a impegnare gli esperti di sicurezza e sicuramente in futuro emergeranno molte novità a proposito, in particolare quando questo tipo di attacchi debutteranno in-the-wild sulla scena del cyber-crime e quando i vendor antivirus si troveranno a dover fornire le prime soluzioni pratiche per il loro rilevamento.
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
DUST FROM THE PAST
ULTIME NEWS - BLUE
Durante l'hacker summit semestrale di Microsoft "BlueHat", che si svolgerà dal 26 al 27 Ottobre, verrà mostrato un nuovo concept di rootkit basato su macchina virtuale, un codice potenzialmente in gra…18 ottobre 2006
Nokia ha annunciato ieri la sua nuova tecnologia wireless "open-industry" "Wibree", una iniziativa intesa ad "estendere la connettività locale ai dispositivi di più piccole dimensioni". Secondo l'azie… 4 ottobre 2006
Da circa due mesi l'industria della sicurezza e della virtualizzazione sta discutendo su una nuova potenziale minaccia e tecnica malware chiamata "Blue Pill". Blue Pill è un prototipo realizzato da Jo…13 agosto 2006
 ONLINE
OSPITI 3
UTENTI 0
VISITE OGGI
75
 VISITE TOTALI
5.873.846
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X