[NEWS] VBootkit 2.0: Attacco a Windows 7

[WarDuck]

Quote:

Originariamente inviato da riazzituoi

C'è anche il firewire come possibile veicolo.

In ogni caso rientra tra i dispositivi di boot e se come ho detto blindi il BIOS, a meno di smontare il PC e resettare il CMOS direi che si è abbastanza tranquilli...

Quote:

Originariamente inviato da riazzituoi

Poi, come detto dagli autori, un malintenzionato potrebbe anche modificare il VBootkit per renderlo più pericoloso, anche senza un accsso fisico alla macchina (ad esempio sfruttando l'idea del BIOS rootkit di Alfredo Ortega).

Puoi postarmi qualche dettaglio su questo bios rootkit che citi? In ogni caso bisognerebbe avere i privilegi per accedere al MBR da Windows, soprattutto se si è con utente limitato.

[^SkLeRaTO^]

Secondo me è una notizia interessante anche se non fa preoccupare nessuno per il semplice fatto che bisogna avere accesso fisico alla macchina...
Però vi lancio una provocazione, io ad esempio vendo computer su ebay, sono in buona fede, ma se ci fosse un venditore che ti manda il pc con il bios modificato chi se ne renderebbe mai conto? Quindi almeno secondo me, certe notizie non vanno mai accantonate, e poco importa se il codice non viene reso pubblico come ci sono arrivati loro ci arriveranno altri 100.

[3nTr0p1a]

Il problema di poca sicurezza esiste sempre, è impossibile essere sicuri, questo è un dato di fatto inopinabile. L'utente con accesso limitato(non admin) ha contribuito moltissimo alla sicurezza e anche questo è inopinabile; ma cmq non esclude il fatto che sia possibile fregare le credenziali dell'utente limitato e non è poco. Per fare determinate cose tipo installare, modificare ecc devi assere admin, il che vuol dire che mentri installi o modifichi è sempre possibile fregare le credenziali di admin. Quindi a mio modesto parere l'associazione windows+antivirus+firewall non cesserà di esistere.

@deepdark:
Esatto. Difronte al pc, non esiste più il concetto di sicurezza

[WarDuck]

Quote:

Originariamente inviato da 3nTr0p1a

Il problema di poca sicurezza esiste sempre, è impossibile essere sicuri, questo è un dato di fatto inopinabile. L'utente con accesso limitato(non admin) ha contribuito moltissimo alla sicurezza e anche questo è inopinabile; ma cmq non esclude il fatto che sia possibile fregare le credenziali dell'utente limitato e non è poco. Per fare determinate cose tipo installare, modificare ecc devi assere admin, il che vuol dire che mentri installi o modifichi è sempre possibile fregare le credenziali di admin. Quindi a mio modesto parere l'associazione windows+antivirus+firewall non cesserà di esistere.

@deepdark:
Esatto. Difronte al pc, non esiste più il concetto di sicurezza

Basta usare la testa, io da quando è uscito Vista non uso antivirus, ogni tanto faccio qualche scansione online e i risultati sono sempre gli stessi: 0 virus. Il firewall di Vista è configurabile anche per bloccare le connessioni in uscita, per cui se si adottano sempre gli stessi programmi è possibile configurarlo in maniera stabile senza troppe rogne e senza aver bisogno di strumenti di terze parti.

Serve a poco ottenere l'utente admin se cmq con una distro live puoi accedere al contenuto del disco. Se usiamo criptare il disco, la chiave è associata all'utente per cui in linea teorica non so se l'admin che corrisponde ad un altro utente possa accedere ai dati (dovrei provare).

Quote:

Originariamente inviato da ^SkLeRaTO^

Secondo me è una notizia interessante anche se non fa preoccupare nessuno per il semplice fatto che bisogna avere accesso fisico alla macchina...
Però vi lancio una provocazione, io ad esempio vendo computer su ebay, sono in buona fede, ma se ci fosse un venditore che ti manda il pc con il bios modificato chi se ne renderebbe mai conto? Quindi almeno secondo me, certe notizie non vanno mai accantonate, e poco importa se il codice non viene reso pubblico come ci sono arrivati loro ci arriveranno altri 100.

Non si tratta di modificare il bios... è un programma che partirebbe al boot da CD o da USB.

[riazzituoi]

.

senza entrare nel merito dell'attacco (vbootikit pericoloso o no) secondo me il problema principale è che spesso l'utente inesperto non possiede gli strumenti, le conoscenze o anche solo il tempo per approfondire alcuni particolari..quindi non riesce a discernere con esattezza le notizie cosi come vengono presentate e finisce per credere che xp, vista o 7 non valgono nulla

notate come viene presentato dal sito in inglese (pcworld se non sbaglio) questo articolo...si parla di attacco irrisolvibile, di bug che mette in dubbio la solidità del sistema questi articoli vengono poi ripresi da centinaia di altri siti aumentando la percezione errata di sistema fatto con pressapochismo

i due ricercatori che evidenziano questa "falla" non sono degli sprovveduti se sono riusciti ad evidenziare questo aspetto, quindi è ovvio che si tratti di persone preparate...però curiosamente dimenticano l'unica "funzionalità di sicurezza" che avrebbe potuto fermare l'attacco (bitlocker)
su alcuni siti microsoft fin da subito si era parlato del fatto che BL fermava l'attacco ...ma nell'articolo di pc world questo viene dimenticato e non se ne fa menzione

dico la mia brevemente su questo attacco...che un utente qualsiasi subisca un attacco del genere è relativamente arduo, per chi è veramente esposto è invece disponibile la protezione offerta da bitlocker nelle versioni maggiori del SO

[riazzituoi]

.

[monkey island]

Quote:

Originariamente inviato da Ignorante Informatico

Non lo sai, come nessun altro, quindi non puoi darlo per certo.

Magari c.m.g è stato un po' duretto nel suo commento, ma la news è incentrata su Windows 7, per cui è superfluo citare, seppur senza nomi precisi, altri SO (su basi, peraltro, inesistenti).

Ti faccio notare che anche con il tanto idolatrato Linzoz (e non solo lui) si possono prendere i privilegi di root senza sapere la password (da locale).. Nessun sistema è infallibile

[monkey island]

Quote:

Originariamente inviato da WarDuck

Basta usare la testa, io da quando è uscito Vista non uso antivirus, ogni tanto faccio qualche scansione online e i risultati sono sempre gli stessi: 0 virus. Il firewall di Vista è configurabile anche per bloccare le connessioni in uscita, per cui se si adottano sempre gli stessi programmi è possibile configurarlo in maniera stabile senza troppe rogne e senza aver bisogno di strumenti di terze parti.

Serve a poco ottenere l'utente admin se cmq con una distro live puoi accedere al contenuto del disco. Se usiamo criptare il disco, la chiave è associata all'utente per cui in linea teorica non so se l'admin che corrisponde ad un altro utente possa accedere ai dati (dovrei provare).



Non si tratta di modificare il bios... è un programma che partirebbe al boot da CD o da USB.

Quoto tutto.

@ riazzi
su questo punto siamo su due posizioni diverse, cosa comunque naturale in una discussione

per me un giornalista deve riportare la notizia in modo quanto più fedele possibile, evitando inutili allarmismi (quando questi non sono giustificati) ...l'obiettivo di un articolo è quello di informare non di allarmare

su bitlocker io penso che sostanzialmente risolva il problema, in fase di progettazione si era pensato anche ad attacchi del genere

poi ovviamente come è giusto che sia non tutti possono condividere questa posizione

sinceramente credo di aver esaurito tutto quello che avevo da dire su questo attacco o altri simili, quello che potrei aggiungere sarebbero solo ripetizioni della posizione che ho già espresso in questo e altri 3d
un saluto

[riazzituoi]

.

[Ignorante Informatico]

Quote:

Originariamente inviato da monkey island

..Nessun sistema è infallibile

Certo, il mio intervento era mirato all'invito di non 'inquinare' quel thread con la citazione di altri SO. Già in passato, ero intervenuto in maniera simile anche in thread su Linux in cui si dileggiava Windows (andando, appunto, OT)

Quote:

Originariamente inviato da ShoShen

per me un giornalista deve riportare la notizia in modo quanto più fedele possibile, evitando inutili allarmismi (quando questi non sono giustificati) ...l'obiettivo di un articolo è quello di informare non di allarmare..

Quote:

Originariamente inviato da riazzituoi

Anch'io ritengo che un giornalista debba riportare i fatti cos' come sono, ed essere neutrale, però questo non sempre avviene, come si può constatare.

Mi sento di intervenire come addetto ai lavori

L'obiettività di un articolo non è direttamente correlata alla voglia del giornalista di voler essere o no neutrale. Purtroppo, come saprete, le pressioni dietro a un qualsivoglia articolo sono notevoli, per cui troveremo sempre grandi utenti di sistemi GNU/Linux, ad esempio, scrivere tutto il meglio (forzando i termini in maniera quasi zelante) su Windows e viceversa.

L'unica strada è: o scrivere indipendentemente sul web o tirarsela un po' e spingere le redazioni a cercarti (in tal caso, è chiaro, dovresti avere una fama enorme nel settore).

Il consiglio, ma in questo caso lo sapete meglio di me, è di soffermarvi alla sola spiegazione del problema (giusto per comprenderlo in linee generali) e tralasciare commenti e paroloni altisonanti (fortunatamente, esistono comunità e blog specializzati più neutrali in cui poter cercare approfondimenti).

[3nTr0p1a]

Quote:

Originariamente inviato da WarDuck

Basta usare la testa, io da quando è uscito Vista non uso antivirus, ogni tanto faccio qualche scansione online e i risultati sono sempre gli stessi: 0 virus. Il firewall di Vista è configurabile anche per bloccare le connessioni in uscita, per cui se si adottano sempre gli stessi programmi è possibile configurarlo in maniera stabile senza troppe rogne e senza aver bisogno di strumenti di terze parti.

Serve a poco ottenere l'utente admin se cmq con una distro live puoi accedere al contenuto del disco. Se usiamo criptare il disco, la chiave è associata all'utente per cui in linea teorica non so se l'admin che corrisponde ad un altro utente possa accedere ai dati (dovrei provare).



Non si tratta di modificare il bios... è un programma che partirebbe al boot da CD o da USB.

Era ovvio che intendevo ottenere le credenziali di admin da remoto! E cmq se l'utente rende privati i propri file, neanche l'admin può occedere a questi file, almeno su xp è così(se il so è avviato ovviamente). Ma è possibile decriptare oppure ottenere direttamente le chiavi.

Cmq senza antivirus, come li blocchi gli script potenzialemtne dannosi contenuti in una paina web? Non sempre un firewall è in grado di bloccare tutti gli script, senza parlare di alcuni firwall che non ci pensano nemmeno! Il problema non sta solo nel bloccare altre connessioni che non sono da te previste, ma impedire alle applicazioni in esecuizione di fare da lascia passare per script o sniffing o dumping ecc ecc. Quindi come minimo ti consiglio di utilizzare un blocca script, se usi firefox c'è un'estenzione apposita e funziona da dio. Ti renderai immediatamente conto di quante decine di script dovrai lasciar passare per fare le cose più banali.

[3nTr0p1a]

Quote:

Originariamente inviato da Ignorante Informatico

Certo, il mio intervento era mirato all'invito di non 'inquinare' quel thread con la citazione di altri SO. Già in passato, ero intervenuto in maniera simile anche in thread su Linux in cui si dileggiava Windows (andando, appunto, OT)





Mi sento di intervenire come addetto ai lavori

L'obiettività di un articolo non è direttamente correlata alla voglia del giornalista di voler essere o no neutrale. Purtroppo, come saprete, le pressioni dietro a un qualsivoglia articolo sono notevoli, per cui troveremo sempre grandi utenti di sistemi GNU/Linux, ad esempio, scrivere tutto il meglio (forzando i termini in maniera quasi zelante) su Windows e viceversa.

L'unica strada è: o scrivere indipendentemente sul web o tirarsela un po' e spingere le redazioni a cercarti (in tal caso, è chiaro, dovresti avere una fama enorme nel settore).

Il consiglio, ma in questo caso lo sapete meglio di me, è di soffermarvi alla sola spiegazione del problema (giusto per comprenderlo in linee generali) e tralasciare commenti e paroloni altisonanti (fortunatamente, esistono comunità e blog specializzati più neutrali in cui poter cercare approfondimenti).

Senza tralasciare che ci sono anche alcune testate, sponsorizzate direttamente da software-house di antivirus, che fanno dell'allarmismo un ottimo metodo per obbligare a utilizzare antivirus

[WarDuck]

Quote:

Originariamente inviato da 3nTr0p1a

Era ovvio che intendevo ottenere le credenziali di admin da remoto! E cmq se l'utente rende privati i propri file, neanche l'admin può occedere a questi file, almeno su xp è così(se il so è avviato ovviamente). Ma è possibile decriptare oppure ottenere direttamente le chiavi.

Ad oggi non mi risultano falle aperte in Windows Vista/Seven in grado di far ottenere i privilegi admin da remoto. Qui si parla di ben altra cosa.

Quote:

Originariamente inviato da 3nTr0p1a

Cmq senza antivirus, come li blocchi gli script potenzialemtne dannosi contenuti in una paina web? Non sempre un firewall è in grado di bloccare tutti gli script, senza parlare di alcuni firwall che non ci pensano nemmeno! Il problema non sta solo nel bloccare altre connessioni che non sono da te previste, ma impedire alle applicazioni in esecuizione di fare da lascia passare per script o sniffing o dumping ecc ecc. Quindi come minimo ti consiglio di utilizzare un blocca script, se usi firefox c'è un'estenzione apposita e funziona da dio. Ti renderai immediatamente conto di quante decine di script dovrai lasciar passare per fare le cose più banali.

E io ti pongo un'altra domanda... in quali siti sono presenti script potenzialmente dannosi? E soprattutto dannosi in che modo?

In Vista e Seven sia IE che Chrome sfruttano il modello degli integrity level per non consentire ad un loro processo di andare a scrivere in parti del sistema non competenti a loro e dunque creare una specie di sandbox nella quale il browser ha accesso esclusivo in scrittura solo alla cartella dei temporanei (tuttavia la grandissima joanna rutowska fa notare che non c'è impedimento in lettura). Anche Mozilla ha dichiarato che in futuro vorrà usare questa feature del SO (sarebbe ora dico io).

Cmq uso Firefox con il semplice AdBlock... mai beccato nulla (Java è disattivato ovviamente) .

In realtà il problema che poni è estendibile a tutti i software che sono presenti in una data macchina, poiché spesso il bersaglio non è il codice stesso del SO, ma piuttosto l'applicazione che gira sopra. Voglio dire al CanSecWest Windows è stato bucato per una falla presente in Flash (e in Java), tra l'altro portabile anche sul pinguino.

Quote:

Originariamente inviato da riazzituoi

[..]
Chi ha poi ha tirato fuori il confrono con linux semplicemente non sa quel che dice, infatti che bosogno ho di fare tutto questo casino quando il suo kernel è lì in bella mostra, in quanto opensource, e quindi patchabile e modificabile da chiunque (ne abbia le competenze)? [poi non mi pare che su linux siano implementate soluzioni DRM di protezione dei contenuti]

Allora bisogna distinguere 2 tipologie di attaccanti:

a) quelli che lo fanno per dimostrare qualcosa al mondo
b) quelli che lo fanno con lo scopo di rubare dati sensibili.

Converrai con me che nel secondo caso, una falla del genere se l'hd è criptato non sposta il problema, ma lo risolve alla radice.

Quello che mi stupisce è che mai nessuno si pone domande sulla natura degli attacchi.

Ora se vogliamo vederlo come un esperimento fine a se stesso per dimostrare qualcosa è un conto, se vogliamo essere un po' più realisti la conseguenza fondamentale di un accesso di questo tipo alla macchina è il furto di dati.

[riazzituoi]

.

[3nTr0p1a]

@WarDuck
Mi hai smerdato e poi hai capito che il discorso che facevo io non è legato solo al so, ma in generale a tutto il software!!!!
Per i siti se vuoi te ne passo quanti ne vuoi, però ti sconsiglio di aprirli da windows, non si sa mai!
Cmq, la falla c'era ma non ricordo quale, credo fosse legata al browser ed è stata usata dalla mia facoltà(sicurezza informatica di milano) per vincere la gara di hacking tenutasi a las vegas circa un anno fa, anche in Capture The Flag di DEFCON, quelle sono state riparate, ma qualcos'altro c'è sempre, non trovi?. Cmq con un semplice sniffing è abbastanza facile reperire dalla cache di firefox ad esempio, login e password di un forum, ad esempio. Per esperienza personale le password usate sono sspesso le stesse, anche per il login di windows! Per questo dico sempre in generale che si possono ottenere le credenziali, devo spiegarmi meglio. Tu hai detto ottenere privilegi, che non è corretto per quello che mensionavo io, saprai anche tu che è un'altro paio di maniche!

E' ovvio che se disattivi java il problema dello sniffing delle credenziali è già più difficile. Ti consigli di usare anche no-script, blocca davvero tutto. A me ha rotto le palle perchè ogni sito nuovo dovevo sbloccare diversi script

[Ignorante Informatico]

Quote:

Originariamente inviato da riazzituoi

..un aspetto interessante riguarda i DRM e la protezione dei contenut multimediali..

Da quando l'hai scritto la prima volta (la terza questa ), è l'aspetto che più ho attenzionato, in quanto (anche secondo me) potrebbe dar vita a controversie ancor più accese delle attuali

[WarDuck]

Quote:

Originariamente inviato da riazzituoi

Un'infinità, ce n'è per tutti i gusti, dalla violazione della sicurezza alla privacy

Si è in particolare quali contenuti ospitano quei siti?

Ve lo chiedo perché è di fondamentale importanza capire questo, ed è altrettanto fondamentale capire il perché molta gente va su quei siti.

E soprattutto ripeto, in che modo agiscono?

Quote:

Originariamente inviato da riazzituoi

Essendo una funzionalità dell'OS puoi già usarla adesso anche su Firefox, non c'è bisogno di aspettare quando la implementeranno

Si ci ho provato ma non funziona bene, sia Chrome che IE lanciano un processo padre in Medium Integrity Level e creano figli a Low Integrity Level... Firefox usa un solo processo e questo è un problema perché se imposti di farlo girare a Low Integrity Level ti viene chiesta l'autorizzazione per eseguirlo ogni volta... un po' noioso, per cui me lo tengo così.

Quote:

Originariamente inviato da riazzituoi

e i meccanismi di protezione di windows dove erano/sono?

Non conosco i dettagli della falla di Flash e di Java, per cui non te lo saprei dire, ma considerando che l'attacco è stato condotto con impostazioni del SO a default... ad esempio DEP non è attivato di default per tutti i programmi, ma solo quelli del SO.

Intendiamoci, queste configurazioni di default troppo permissive le considero come te un problema, non una giustificazione.

Quote:

Originariamente inviato da riazzituoi

Invece di togliere la sporcizia, la nascondi. Questo è spostare il problema, non risolverlo, in quanto il processo di boot resta trusted ma è "coperto" dal TPM, quindi l'attacco si sposterà qui. Tra l'altro non stiamo parlando di una funzionalità di default, che è lo stato che bisogna considerare quando si parla di una vulnerabilità, altrimenti come soluzione potrei piazzare il PC in una stanza blindata con guardie armate fino ai denti a solvergliarlo, e di sicuro sarebbe più sicuro del bitlocker. Ma il problema rimarrebbe comunque

L'attacco in questione non riguarda il furto dei dati (mi pare di averlo già scritto tre volte ). Se riuscite a guardare oltre all'accesso fisico, come a molti piace ripetere , capirete la vera natura di questo attacco, vale a dire bypassare le misure di protezione di un OS, senza lasciare tracce e senza far scattare allarmi. In pratica prenderne completamente il possesso e decidere come questo si debba "comportare" (ad esempio un aspetto interessante riguarda i DRM e la protezione dei contenut multimediali)...

Ogni SO è vulnerabile da locale, proprio perché le difese vengono messe in piedi nel processo di boot (in qualunque SO)... l'unico modo che avrebbe il SO per proteggersi sarebbe usare un hypervisor che tenga sotto controllo il processo di boot e la sua memoria.

Dici: è attaccabile pure lui.

Esatto. Hai finalmente capito che nel mondo del software TUTTO è violabile.

La natura dell'attacco è quella che è, agendo al boot PRIMA che le difese vengano messe in piedi (e cmq tieni presente tra l'altro che è possibile resettare la password anche senza questo mirabolante programmino).

Non riesco a vedere altro, perché da remoto l'attaccante dovrebbe riuscire a modificare il boot loader, il che mi pare abbastanza improbabile, specialmente se con privilegi limitati.

Quote:

Originariamente inviato da 3nTr0p1a

@WarDuck
Mi hai smerdato e poi hai capito che il discorso che facevo io non è legato solo al so, ma in generale a tutto il software!!!!
Per i siti se vuoi te ne passo quanti ne vuoi, però ti sconsiglio di aprirli da windows, non si sa mai!

Ti ho smerdato?!? Voglio semplicemente farvi arrivare a capire la natura di quei siti web di cui parli.

Quote:

Originariamente inviato da 3nTr0p1a

Cmq, la falla c'era ma non ricordo quale, credo fosse legata al browser ed è stata usata dalla mia facoltà(sicurezza informatica di milano) per vincere la gara di hacking tenutasi a las vegas circa un anno fa, anche in Capture The Flag di DEFCON, quelle sono state riparate, ma qualcos'altro c'è sempre, non trovi?.

E' ovvio che una falla NEL BROWSER possa portare a danni nel momento in cui uno javascript la sfrutti. In tutti gli altri casi si suppone che tutte le falle conosciute siano state risolte (e questo vale in particolare per Firefox), per questo non mi preoccupo.

Quote:

Originariamente inviato da 3nTr0p1a

Cmq con un semplice sniffing è abbastanza facile reperire dalla cache di firefox ad esempio, login e password di un forum, ad esempio. Per esperienza personale le password usate sono sspesso le stesse, anche per il login di windows! Per questo dico sempre in generale che si possono ottenere le credenziali, devo spiegarmi meglio. Tu hai detto ottenere privilegi, che non è corretto per quello che mensionavo io, saprai anche tu che è un'altro paio di maniche!

E' ovvio che se disattivi java il problema dello sniffing delle credenziali è già più difficile. Ti consigli di usare anche no-script, blocca davvero tutto. A me ha rotto le palle perchè ogni sito nuovo dovevo sbloccare diversi script

Chiaro, ma si presume appunto che tu abbia accesso a quelle informazioni, e ripeto, non mi risultano attualmente falle in remoto tali da renderti possibile accedere ad esempio alla cache di Firefox.

Tra l'altro login e la password in genere vengono memorizzate in un cookie, e in genere siti seri non lasciano la password in chiaro... poi è ovvio che un conto sono le credenziali di un forum, un conto le credenziali della propria banca.

Riguardo a No-Script, non ne ho mai sentito l'esigenza... mi basta l'AdBlock.

Edit: dimenticavo, in firefox i cookies me li gestisco manualmente .

[3nTr0p1a]

Quote:

Originariamente inviato da Ignorante Informatico

Da quando l'hai scritto la prima volta (la terza questa ), è l'aspetto che più ho attenzionato, in quanto (anche secondo me) potrebbe dar vita a controversie ancor più accese delle attuali

Ma non c'è da preoccuparsi a livello pratico, perchè qualsiasi limitazione verrà sempre abbattuta(a meno che non tirino fuori il maledetto tcpa, lì ci sarà da divertirsi). Per le polemiche, andrà tutto a sfavore di microsft, la gente passerà a linux pur di scaricare canzoni. Bisogna vedere se queste DRM sono nuove e che tipi di restrizione adottano.