[Ms WinVista] - Un rootkit invisibile persino a vista

[realtebo]

Link:
Info sulla sicurezza di Vista
Blog dove si parla di Blue Pill

Avrete sicuramente sentito parlare delle nuove funzionalità in tema di sicurezza del nascituro Windows Vista, che includono anche l'utilizzo di una firma digitale per gli eseguibili in kernel space. Ebbene, anche se tali accorgimenti sembrerebbero essere un ottimo deterrente per attacchi eseguiti sfruttando i famosi rootkit, c'è chi è già riuscito ad aggirare questo tipo di protezioni. Del resto era ovvio che accadesse. Le regole sono fatte per essere infrante e le protezioni pure. :-)

Coma verrà mostrato alla prossima SyScan Conference di Singapore, e successivamente ai Black Hat Briefings di Las Vegas, il ricercatore Joanna Rutkowska ha infatti creato Blue Pill, un rootkit eseguito sfruttando le tecnologie sviluppate da AMD (stiamo parlando di SVM/Pacifica), in grado di creare un sottilissimo strato di virtualizzazione utile per prendere il completo controllo del sistema operativo senza che questo si accorga di nulla. Il malware è infatti definito come irriconoscibile al 100% anche sul nuovo Vista a 64 bit.

Se ancora non vi è venuto in mente, l'idea è in qualche modo connessa, almeno a livello di ispirazione, alla famosa scelta fra la pillola blu, che rappresenta l'illusione e quella rossa, che invece rappresenta la realtà nel film Matrix, proposta fatta al protagonista Neo. In altre parole, senza alcun riavvio del sistema viene creata una macchina virtuale estremamente performante che rende disponibili al sistema operativo tutte le sue risorse originarie, compresa la scheda video, assoggettandole però al controllo dell'eventuale attacker. Una sorta di Matrix a misura di PC. In questo modo, anche dopo che il codice del malware viene identificato e reso disponibile, non è possibile difendersi in alcun modo, perché non c'è modo di capire se il sistema è in esecuzione nativa o meno. Nelle parole di Morpheus: "Hai mai fatto un sogno tanto realistico da sembrarti vero? E se da una sogno così non ti potessi più svegliare, come potresti distinguere il mondo dei sogni da quello della realtà?"

Alcuni di voi potrebbero ricordare SubVirt, il rootkit sviluppato alcuni mesi fa da Microsoft Research e dall'Università del Michigan, che sembrerebbe avere delle somiglianze con Blue Pill. Per evitare malintesi, il creatore di quest'ultimo malware tiene a sottolinearne le differenze con la sua realizzazione, come l'impossibilità di un attacco effettuato al volo e lo sfruttamento di tecnologie come VMware, con conseguente possibilità di rilevazione della macchina virtuale sottostante, possibile peraltro grazie al programma Red Pill, sviluppato sempre da Rutkowska. Inoltre, Blue Pill non ha bisogno di sfruttare nessun bug in particolare, il che lo rende ancora più interessante.

Come citato nel blog ufficiale di Rutwoska, non sarà possibile avere a disposizione il codice di Blue Pill, per fortuna
Pare però che verranno organizzati dei corsi durante i quali sarà possibile visionarlo, oltre che ottenere dettagli sull'intera tecnologia.