Ciao a tutti, posto un articolo tratto da Hacher Journal, un'intervista fatta a Joanna Rutkowska.
Poi sotto darò le mie opinioni al riguardo, e ovviamente aspetto le vostre!!








Nei mesi scorsi Joanna ha fatto scalpore ai Black Hat Briefings, quando ha mostrato un modo di infettare Windows Vista con un rootkit e ha presentato Blue Pill, un modo di usare teconologia di virtualizzazione per creare malware 100 percento non individuabile. Joanna è un personaggio interessante e merita di essere ascoltata.



Hacker Journal: ti vuoi presentare?

Joanna Rutkowska: Sono una ricercatrice specializzata in teconologia stealth e riconoscimento di insidie ai sistem. Mi occupo di rootkit a livello di kernel, malware stealth e comunicazioni nascoste di rete. Vivo a Varsavia, in Polonia, e lavoro per COSEINC, una azienda di sicurezza con sede in Singapore.



HJ:A che età hia avuto il primo computer? Ce lo puoi descrivere?

JR: Avevo 11 anni. Era un PC AT-286, 2MB di RAM e disco da 40MB (sì, megabyte!). Per qui tempi era una buona macchina di alto livello, ma la scheda grafica non era buona e così, siccome non ci si riusciva a giocare, ho iniziato a imparare il BASIC e la programmazione. Più avanti mi sono occupata di che cosa fare, e come difendersi, dopo che un attacco ha avuto successo: backdoor di kernel, rootkit, canali di trasimissione nascosti e così via.




HJ:Che sistema operativo usi? Usi software di sicurezza?

JR:La mia macchina principale usa Windows XP x64. Non uso alcun antivirus, perchè non mi piace il loro approcio. Bloccano il malware che conoscono. Non credo neanche nei sistemi di riconoscimento delle intrusioni. Ogni tanto controllo con Wireshark se il mio traffico è a posto e poi sto molto attenta.




HJ: Quando hai incontrati i rootkit?

JR: Invece di pensare a come prendere il controllo del sistema, pensavo a che fare dopo. Ho scoperto l'eesistenza di alcuni rootkit per Linux come Knark o Adore e ho iniziato a chiedermi come avrei potuto accorgermi della loro installazione.




HJ: Creare rootkit offensivo non aiuta i cattivi?

JR: No, se stimola persone oneste a sviluppare difese più efficaci.




HJ: Secondo te i dettagli di un attacco devono essere resi pubblici?

JR: Dipende se è utile per sviluppare meglio una difesa. Nel caso di Blue Pill, avere a disposizione il sorgente non aiuterebbe nessuno, quindi non ho reso pubblico il codice. In altri casi, specie se stimola una Microsoft, per dire, a produrre una patch, è meglio farlo.




HJ: Consideri i rootkit via macchina virtuale un attacco pericoloso? Perchè?

JR: La virtualizzazione è una teconologia molto potetene molto nuova. È importante capire come può essere pericolosa. Blue Pill ne è una prova: un programmino che crea una macchina virtuale nell'hardware e poi sposta i sistema operativo in cui Blue Pill è stato creato nella macchina virtuale stessa, mentre lui assume i poteri di supervisor. Il tutto dura circa un millisecondo e il sistema operativo non si rende neanche conto di essere stato inserito in una macchina virtuale. Programmi come Blue Pill potrebbero essere fermati se il sistema operativo avesse un suo supervisor...ma oggi non ce l'ha, e potrebbe passare anche qualche anno prima di vedere un progresso di questo tipo.




HJ:Greg Hoglund, un esperto di rootkit, ha dichiarato che un rootkit in virtualizzazione non è una vera minaccia. Sei d'accordo?

JR: Probabilmente si riferiva ai rootkit bastai su virtualizzazione software, come SubVir. È diverso da quelli in virtualizzazione hardware, come Blue Pill o Vitriol di Dino dai Zovi (http://www.matasano.com). Molti "esperti" diranno che questo pericolo non esiste perchè non lo vedono, in quanto il rootkit riesce a nascondersi perfettamente...




HJ: Come ha reagito Microsoft di fronte al tuo attacco contro Vista?

JR: Ho illustrato tre suluzioni possibili, sconsigliandone una perchè è una soluzione solo temporanea. Nella versione pià recente di Vista che ho avuto in mano, Microsoft ha adottato esattamente quella.




HJ: Che cosa pensi degli scanenri di rootkit che esistono oggi?

JR: Come ho detto, non mi piacciono. Cercano software cattivo invece di preoccuparsi che lo stato generale del sistema sia buono. Per esempio vanno a cercare i processi nascosti, quando si può creare un malware stealth molto potente senza neanche far partire un processo. La minaccia di Blue Pill è che non modifica neanche un bit del kernel. Si possono controllare tutti i processi del mondo e intato il malware sta seduto sopra i controlli!




HJ: Dobbiamo preuccuparci del malware stealth? Pensi che questa minaccia crescerà?

JR: Questo tipo di malware è preoccupante perchè inganna l'interso sistema operavito, il quale diventa totalmente inaffidabile e insicuro, per definizione. In una situazione di attacco seria, potrebbe non esserci nemmeno un metodo valito per capire se il sistema è stato compromesso.

Che la minaccia cresca o meno, lo trovo irrilevante. Se verranno attaccati centro computer o cento milioni. Il punto è che questi attacchi sono possibili e sono pericolosi. Dobbiamo fare qualcosa per fermarli prima che la tecnologia adatta finisca in mani sbagliate. E dobbiamo farlo presto.







Questo è l'articolo.

Cosa pensate dei malware stealt? Credete siano una minaccia?
Siete d'accordo su Joanna, sul fatto che gli anti-virus non servano a nulla?
Cosa pensate di Blue pill? E della virtualizzazione?


Bhe..io penso che questo tipo di malware, siano davvero molto, ma molto pericolosi, perchè come ha detto Joanna nell'intervista, non si riesce a capire se il sistema è stato compromesso... e per noi utenti "normali", con non molte conoscenze, e non esperti nel settore, credo sia davvero difficile, se non impossibile accorgerci della presenza di questo malware!!

Sugli anti-virus posso dire che non servono a molto!! ..Ma lo tengo ugualmente..anche se mi blocca solo il malware che conosce.

La virtualizzazione trovo che sia affascinante..e al tempo stesso, molto pericolosa!! Mi piacerebbe studiare bene e a fondo, la virtualizzazione e i malware stelath.

..bhe, io ho esposto solo queste domande..se ne avete altre..dite pure!!

ciao a tutti!!

Beh, posso solo dire che quando ho letto "rootkit" mi è salita la bile.


Qualche tempo fa, il mio caro e vecchio computer è stato letteralmente distrutto da questo figlio di una mignotta di virus, che era contenuto dentro ad un CD di The Sims, ma tu pensa.

Non ho letto l'articolo fino in fondo, dopo giuro che lo faccio, e per una parte posso azzardare di concordare con sta tipa. La parte degli antivirus.

Quando ho avuto la mia esperienza co 'sto rootkit, avevo Avast, e ancora non ho capito come faceva a rilevarlo (già, il rootkit è invisibbbbol) ma non lo eliminava. Quante scansioni, modalità provvisorie & company! Ma niente, restava imperterrito. Quindi giungo alla conclusione che gli antiviri non servono ad un cazzo, però non è fanno male tenerli nel pc, quindi per preucazione..

Probabilmente non era ben nascosto..in teoria non ci si dovrebbe accorgere di nulla.

Il problema ora come ora, credo sia...

come possiamo fidarci do software anti-virus?
..uso avg, ma non rileva nulla da tempo..e se avessi un rootkit installato sul pc?..magari a virtualizzazione hardware?...(la vostra risposta sarà.."bhe..allora se sfigato..")..
...e se avessi del malware stealth sul pc?

..come possiamo accorgerci di un tale problema?

...bhe...non ho ancora piene risposte a queste domande...e preferisco sentire i vostri pareri!!

Intanto comincia con cancellare AVG e mettere un antivirus migliore (da quanto è schifoso non ci sta neanche nei top 15), e passa all'Avira Antivir Free che secondo gli ultimi test prende il 99,25% dei virus (il che è un risultato perfetto per un antivirus gratuito) e soprattutto basta avere più controllo del proprio computer, tenendo sempre un occhio ai programmi di P2P, perchè eMule è diventato un covo di virus e di roba porno
Comunque per questa faccenda dei rootkit, santa pazienza, chi ha Windows resterà nel terrore MWAHAHAHAH

Bhe, ora dire che è schifoso mi sembra un pochino azzardata la cosa...e se hai un malware stealth sul pc, non penso proprio venga rilevato dai software antivirus, visto che non modificano nulla!

..come ci accorgiamo di questo tipo di malware?