+
Blue Pill amenaza muertos? ... Eso es una ilusión Joanna Rutkowska, el reconocido investigador rootkit en invisibles las cosas laboratorio con sede en Polonia, ha encendido gran interés en el malware basado en la virtualización con su creación llamada píldora azul. El año pasado en la conferencia Sombrero Negro se hizo una presentación sobre la píldora azul, y al Negro Sombrero de la semana pasada de 2007, se anunció que está haciendo la píldora nuevo azul, que, entre otras cosas, se pueden ejecutar decenas de píldoras azules dentro de la otra, disponibles para fines de investigacion. Aceptando el reto para tratar de detectar rootkits sigilosos, los investigadores de Symantec. Raíz de laboratorio, y Matasano, que dio su propia presentación en Sombrero Negro titulado "Do not Tell Joanna, el rootkit virtualizado está muerto", son el objetivo de demostrar que pueden detectar la píldora azul y cualquier otro rootkit virtualizado con el software que han colaborado en llamado Samsara. Pero nadie está declarando la victoria aún en la detección de la píldora azul. En el siguiente ensayo, Rutkowska comparte algunas observaciones acerca de las cosas que no se ven fácilmente. - Ellen Messmer Por Joanna Rutkowska, Invisible Things Lab Desde la conferencia Sombrero Negro del año pasado, cuando presenté el primer malware basado en la virtualización de hardware, el nombre clave de "Blue Pill", el debate sorprendente ha estado ocurriendo. Varios investigadores de seguridad decidieron probar que la amenaza de virtualización de software malicioso es inexistente. Algunos fueron incluso tan lejos como para anunciar que el "rootkit virtualizado está muerto. Curiosamente, ninguno de estos investigadores han presentado ninguna solución para ser utilizado ya sea para la virtualización de prevención o detección de malware. En primer lugar, resultó que los "asesinos de píldoras azules" confundidos detección de virtualización con la detección de rootkits de virtualización. Espera un segundo - pero no es que lo mismo, usted puede pedir? Después de todo, los rootkits basados en virtualización necesitan hacer uso de la virtualización, por lo que mediante la detección de virtualización (inesperado) detectamos el malware basado en la virtualización, así, ¿verdad? Bueno, no del todo - que es un poco como decir que cada programa que hace uso de las redes es un agente botnet, simplemente porque los agentes de botnets tienen que utilizar las redes. Como la tecnología de virtualización de hardware se vuelve más y más extendido, muchas máquinas va a correr con el modo de virtualización habilitada, ambos servidores y equipos de sobremesa, no importa si "bluepilled" o no. En ese caso, la píldora azul-como malware no deberá tener ningún esfuerzo especial para pretender que la virtualización no está habilitado, ya que en realidad es de esperar que la virtualización se utiliza para algunos propósitos legítimos. Esto significa que el código de rootkit se puede simplificar en gran medida. El uso de un "detector de pastilla azul" que en realidad es sólo un detector de virtualización genérico es por lo tanto completamente inútil aquí. Obviamente, en este tipo de escenarios, la píldora azul-como el malware debe ser compatible con hipervisores anidados. Y esto es lo que hemos implementado en nuestra nueva prueba píldora azul del concepto y presentado en la reciente conferencia Sombrero Negro. Podemos correr decenas de píldoras azules dentro de la otra y que todo el trabajo y cada uno de ellos piensa que es el verdadero hipervisor! En realidad se puede tratar en casa, ya que decidimos hacer que el código fuente de la píldora azul Nueva disposición del público. Seguimos sin correr en Virtual PC 2007 (el único producto de Windows hemos encontrado hasta ahora que hace uso de la virtualización de hardware) como un hipervisor anidada, pero esperamos tener esto esté arreglado en las próximas semanas. Por cierto, tenga en cuenta que Virtual PC hipervisor no bloquea la píldora azul de la carga. Curiosamente, también resultó que la mayoría de los métodos de detección de virtualización presentados en los últimos meses por varios investigadores (y anunciados como detectores de virtualización de software malicioso) simplemente no son fiables. En muchos casos, pueden ser derrotados por los rootkits de virtualización y por lo general necesitan una gran cantidad de mejoras a ser fiable (pero, de nuevo, que sería capaz de detectar una única virtualización). Hemos discutido los problemas técnicos reales durante nuestra reciente presentación Sombrero Negro. Usted podría preguntarse por qué todo este debate sobre los rootkits basados en la virtualización crea tantas emociones, por eso algunos investigadores anuncian el problema lo resuelve, sin tener que presentar ninguna solución, y por qué algunos de ellos van incluso tan lejos como para usar los ataques personales en el conjunto debate. Pues bien, la virtualización es una nueva tecnología de gran alcance que promete mucho no sólo en términos de tecnología, sino también en términos de negocio. Por desgracia, la gente empezó a conectar las palabras:. "Píldora azul" y "virtualización" con la palabra "amenaza", sin llegar a entender lo que esto es realmente todo sobre Como resultado tenemos una situación en la que algunas personas podrían ser en realidad miedo de virtualización, porque escucharon algún lugar sobre el mal "amenaza píldora azul." Esto está mal - la gente no debe pensar en una virtualización como algo malo, al igual que nadie va a decir que la red es mala, simplemente porque tenemos, por ejemplo, las redes de bots. La virtualización es una gran tecnología y uno de sus principales usos es aumentar efectivamente la seguridad de nuestros sistemas. Sólo tenemos que pensar más en cómo hacer que sea inmune a diversas amenazas. Por suerte todavía tenemos tiempo, ya que la virtualización de hardware es todavía rara vez se utiliza. Anunciando sin embargo, que esta amenaza está "muerto" ya no hace ningún bien - esto sólo se puede poner a la muerte de nuestra vigilancia, que es exactamente lo que los investigadores de seguridad no deben hacer, a menos, que realmente tienen una buena solución al problema. Más información acerca de este tema
No comments:
Post a Comment