• IL NOSTRO NETWORK:
  • Indigo Communication
  • Technopolis
  • ictBusiness.it
  • TAB Magazine
logo
logo
  • News
    • Hardware
    • Software
    • Servizi
    • Mercati
  • Focus
    • Applicazioni
    • Big Data
    • Business Intelligence
    • Cloud e Virtualizzazione
    • Data Center
    • Gestione Documentale
    • Mobility
    • Networking
    • Privacy
    • Resource Management
    • Sicurezza
    • Sistemi Operativi
    • Storage
  • Scenari
  • Storie di successo
  • Spunti di vista
  • Canale
  • Lavoro
    • Professioni
    • Carriere
    • Corsi
  • Eventi
  • Ti trovi in:
  • Home Page
  • Focus
  • Sicurezza

Superare le protezioni hardware

Pubblicato il 01 febbraio 2010 da Redazione Pagine: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17

Superare le protezioni hardware

TH: Con "red pill", invece, hai mostrato come sia possibile capire se un'applicazione sta girando dentro a "The Matrix", cioè l'ambiente virtualizzato nascosto di BluePill. Nella tua dimostrazione, sembra che basti usare l'istruzione SIDT per esaminare i dati IDTR.

Joanna: C'è una differenza tra individuare una virtualizzazione qualsiasi rispetto ad uno specifico hypervisor, come BluePill. RedPill cerca virtualizzazioni basate sul sofware, e infatti usavamo prodotti VMWare, prima che AMD e Intel introducessero le loro tecnologie, nel 2006. La prima versione di RedPill risale al 2004, e non era in grado d'individuare la virtualizzazione a livello hardware.

Altri ricercatori hanno presentato strumenti capaci, a volte, d'individuare la virtualizzazione a livello hardware, nel 2006 e nel 2007, dopo la mia prima presentazione di BluePill al Black Hat (nel 2006).

TH: Quattro anni e mezzo dopo, quindi, abbiamo al possibilità di identificare le macchine virtuali, grazie a strumenti avanzati, ma il concetto resta lo stesso.

Joanna: Sì, questo accade perché anche se praticamente ogni macchina in commercio oggi supporta VT-x alcuni prodotti usano ancora la virtualizzazione software. Credo che VMWare Workstation la usi ancora con i sistemi a 32-bit. I nuovi identificatori di virtualizzazione, la prossima generazione di RedPill, possono riconoscere la virtualizzazione VT-x o AMD, ma in genere sono "timing based" o "caching based".

TH: Se sei nella squadra dei buoni, probabilmente ti preoccupa il malware con accesso di livello Ring -1. Identificare la presenza di una macchina virtuale, quindi, può essere un aiuto importante. Se non ci dovrebbero essere macchine virtuali attive, dopotutto, trovarne una è un ottimo campanello di allarme.

Joanna: Certo, ma non dimentichiamo che la virtualizzazione sta diventando un fenomeno di massa, usata persino su sistemi desktop Xen Client Initiative (conosciuto anche come Project Independence) o Phoenix HyperCore.

TH: Detto questo, se fossi uno dei cattivi, potresti alterare i risultati per mantenere nascosto il malware? Se l'antivirus vedesse un'applicazione che richiede l'IDT e la successiva linea di codice è "il risultato comincia con 0xc0 o 0x80", altererebbe i risultati. Come ci possiamo proteggere da questo tipo di attacco?

Joanna: Non si può. Questi attacchi però partono dal presupposto che l'attaccante conosca il codice del programma usato per l'individuazione. In altre parole, dovrebbe avere un database con tutti i possibili codici d'identificazione, e conoscere quali frammenti di codice dovrebbero essere ingannati, così da far credere all'applicazione che non ci sia virtualizzazione. Questi sono attacchi specifici per certe implementazioni, ma si adattano male ad un uso generale. Il loro uso non è necessariamente legato alla virtualizzazione invisibile, quanto piuttosto alla disabilitazione di popolari programmi antivirus.

Dal punto di vista dai buoni, purtroppo, non c'è modo di prevenire attacchi del genere se si lavora con privilegi uguali o minori a quelli usati dal malware. Ecco perché gli antivirus stanno perdendo la battaglia con i rootkit a livello kernel, che spesso sono in grado di disabilitare la modalità kernel dell'antivirus, almeno per i prodotti più conosciuti, proprio perché sono famosi, e facili da analizzare e neutralizzare. Quando c'è una nuova versione di un antivirus anche tutto il malware deve essere aggiornato, naturalmente, e quindi si tratta di una corsa senza fine, dove i criminali si divertono e si arricchiscono, così come i produttori di antivirus. L'obiettivo, proteggere gli utenti, non è però mai raggiunto veramente.

Indietro    Avanti

Continua nella lettura:

  • Pagina 1. Contro i veri hacker non c'è firewall che tenga
  • Pagina 2. Introduzione, continua
  • Pagina 3. Storia sintetica del malware
  • Pagina 4. Storia sintetica del malware, continua
  • Pagina 5. BluePill, la pillola blu
  • Pagina 6. BluePill, la pillola blu, continua
  • Pagina 7. BluePill, la pillola blu, continua
  • Pagina 8. Superare le protezioni hardware
  • Pagina 9. Superare le protezioni hardware, continua
  • Pagina 10. Il malware può flashare il BIOS?
  • Pagina 11. Strategie di difesa
  • Pagina 12. Strategie di difesa, continua
  • Pagina 13. Quanto è corretta la 'Sicurezza per correttezza'?
  • Pagina 14. Quanto è corretta la 'Sicurezza per correttezza'?, continua
  • Pagina 15. Quanto è affidabile un ecosistema eterogeneo?
  • Pagina 16. Quanto è affidabile un ecosistema eterogeneo?
  • Pagina 17. Qualche raccomandazione

 

SICUREZZA

  • 5G e oltre: il 2021 visto con la lente di Palo Alto Networks
  • Un’efficace sicurezza passa anche per i privilegi d’accesso
  • Presente e futuro del phishing, tra covid-19 e click farm
  • Le aree oscure e poco considerate per la sicurezza aziendale
  • Cloud, IoT e 5G, i fronti aperti per la cybersecurity post-Covid
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Eventi
Scopri Technopolis
L’IT agile si mette al servizio del business
Nuove regole per governare la crisi nelle Pmi, il digitale aiuta
La trasformazione digitale riparte dall’Erp con Agevole di SB Italia
Top news
  • Più lette
  • Ultime pubblicate
Per avvicinare le generazioni nasce il Servizio civile digitale
Controllare gli ambienti IT complessi è un’impresa possibile
Robot, analytics, computer vision: le carte vincenti del 2021
Spunti e stimoli per i Cio dal magma in movimento di Aws
L’App Store ha fruttato 200 miliardi di dollari ai suoi sviluppatori
La futura Apple Car self-driving potrebbe essere una Hunday
Elon Musk è l’uomo più ricco al mondo, sorpassato Jeff Bezos
Microsoft Teams migliora le riunioni di lavoro con la “vista dinamica”
Fintech e banche, che cosa ci aspetta nell’anno nuovo?
Infinidat entra in una nuova fase con la nomina di Phil Bullinger
Leggero, trasformabile e potente: ecco Surface Pro 7+ for Business
Smartwatch “soccorritori” e app per "superuomini" fra le novità del Ces
Exynos, ecco il chip di Samsung per gli smartphone Galaxy S21
La Tv si trasforma con il cloud di Amagi e la rete di Gtt
Mazzette ai dipendenti di Leonardo, indagata anche Google
Gli hard disk saranno importanti nel 2021, ecco perché
F5 si rafforza nella gestione dell’edge con l’acquisto di Volterra
Whatsapp, Facebook e la privacy: quali sono davvero i rischi?
Cinquanta chip per 500 computer: le novità Intel del 2021
Uno storage veloce per il calcolo scientifico dell’Università di Pisa
Azienda agile: tutti la vogliono, in pochi riescono ad averla
Mototrbo Ion è la radio smart che può affrontare situazioni estreme
Windows e il cloud di Azure mandano in orbita Microsoft
Europa vs Silicon Valley: Von der Leyen severa con i social network
Da Trend Micro la protezione del file storage nata per il cloud
Numeri telefonici di 553 milioni di utenti Facebook venduti online
Fake news su Twitter, un approccio “comunitario” per sconfiggerle
Huawei zittisce i rumors: agli smartphone Mate ed S non rinuncia
Google, Microsoft, Amazon & Co., paladini della lotta al covid
Nuova strategia di canale per Fujitsu, si punta sulle alleanze
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Scenari
Spunti di vista
Focus
Lavoro
Eventi
Storie di Successo
Partners
Indigo Communication
Technopolis
TAB Magazine
ictbusiness logo
© 2021 Indigo Communication - P.iva 04275830968