[MIRA] Windows Vista, jaqueado en Black Hat

05/08/2006 - 23:50 por Nomen Nescio | Informe spam
Fueron por lana y salieron trasquilados. Tal y como estaba previsto, Microsoft
habló sobre la seguridad de Windows Vista en Black Hat. Mientras tanto, en una
sala contigua, la investigadora polaca Joanna Rutkowska (en la foto) mostraba
cómo utilizar su técnica Blue Pill (más detalles técnicos aquí) para insertar
código malicioso en las mismísimas entrañas de una copia de Windows Vista
versión 64-bit.

Rutkowska encontró una forma de traspasar el polémico mecanismo con el que Microsoft
intenta que sólo se puedan cargar en el kernel de Vista los drivers digitalmente firmados...

Según informa CNet, la investigadora afirmó que "el hecho de que ese mecanismo fuera
traspasado no significa que Vista sea completamente inseguro. Sólo que no es tan seguro
como se ha anunciado".

Microsoft, por su parte, afirmó estar investigando soluciones para proteger la versión
final de Vista de los ataques demostrados, al tiempo que trabaja con sus socios en
hardware para investigar formas de prevenir el ataque de virtualización desarrollado por
Rutkowska.
http://www.kriptopolis.org/node/2688


Comentario:

Ahora dira el experto sr. Tella Llop que esta información es capciosa, y yo solo le digo a
él y gente que piensa como él (bastantes diria yo), que Microsoft deje de
vender humo y se ponga a diseñar un sistema operativo seguro, fiable y ligero.



Mas info:

(Español) http://www.hispamp3.com/noticias/no...hp?noticia 060805182552
(Inglés) http://news.com.com/2100-7349_3-6102458.html
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
06/08/2006 - 00:07 | Informe spam
Además me ha gustado que pongas esa noticia. Vamos a comentarla en
profundidad, ya que por lo que veo hay muchas paginas (sobre todo las de
habla hispana) que están bastante despistadas no solo con la traduccion,
sino con la interpretacion ya que periodistas puede que sean, pero no son
precisamente informaticos. Es periodismo basura...

Vamos a comentar que quiere decir drivers de kernel, en donde se pide
certificado y de *que tipo es* y sobre todo que es la Virtualizacion, cuando
y como se usa y que procesadores la soportan. Todo esto es necesario para
dar sentido a lo comentado en los articulos.

Veamos: Windows Vista de 64, *solo el de 64* exige que los drivers de kernel
(es decir los necesarios para bootear la maquina, y solo esos) sean
certificados. Windows Vista de 32 no lo exige.

* ¿que quiere decir certificados?. Simplemente que llevan inbuido en el
codigo una certificacion: *no* es necesaria en este caso la certificacion de
WHQL, sino que cualquier certificado vale. Simplemente pagamos por uno en
Verisign y nos serviría para certificar nuestro "driver". Microsofto no ha
decidido todavia que tipo de certificado ni quien debe emitirlo en la
version final de Vista 64. Solamente está probando la tecnologia. Seria
logico presuponer que en la version final hace falta el certificado de WHQL
con lo cual le habria sido imposible a nadie meter ese troyano.

* evidentemente, ademas de lo anterior, para meterlo es necesario hacerlo
con atributos de Administrador. No hay que perder esto de vista tampoco.

* Y para que funcione el control de la maquina tal y como ha demostrado
Rutkowska, la maquina debe admitir Virtualizacion. ¿que es esto?: pues el
famoso bit VT (en Intel) o Pacifica (en AMD) que traen *solo* los
procesadores de ultimisima generacion. ¿en que consiste?: recordemos que un
procesador tiene 4 modos de funcionamiento en kernel: 0, 1, 2, 3. En modo 0.
se tiene control absoluto de la maquina y es donde se ejecutan los drivers y
el nucleo del sistema operativo. En modo 1, se tienen menos privilegios, en
modo 2, menos que los anteriores -no se usan debido a que las transiciones
de fase son caras- y en modo 3, es el llamado modo user en el cual se
ejecutan los programas de usuario. Si uno de ellos casca, el modo 0 tiene
control absoluto sobre el modo 3 y puede hacer lo que quiera. Ahora bien, si
en modo cero, casca algo...pantallazo azul. Esta restringido solo al sistema
operativo y drivers.

Para poder virtualizar toda la maquina, haría falta un modo todavia mas
potente que el 0. Es decir un modo -1 de funcionamiento del procesador y lo
que allí se ejecutase tendría todo el control sobre el sistema operativo.
Absolutamente todo. Sería, todo lo hay ahora del sistema operativo, una
simple maquina virtual sobre el software que se ejecute en modo -1. Este
modo es el que se acaba de implementar en los ultimos procesadores y que se
llama VT o Pacifica (en aquellos que lo traigan). Ademas, la Bios debe
soportarlo. Y ademas debe activarse en la Bios (viene desactivado por
defecto) y posteriormente apagar la maquina y encenderla -apagarla quitando
el cable de corriente, no solo de boton, ya que sino no se activará.

La idea de Rutkowska es buena, muy buena, muy imaginativa simplemente
adquiere un certificado a nombre de Perico de los Palotes, y cra un codigo
malicioso como drivers de boot firmandolo con dicho certificado. Lo instala
y ese codigo pone a funcionar la maquia *que tenga activado el VT* -sino no
funciona- en modo virtual como invitado sobre el verdadero host que toma
control: el codigo malicioso de ese driver que se ejecuta en ese supermodo
kernel.

Y ya sabes, Anonimo, o Nomen. o quien seas... acabas de aprender
algo. si es que eres capaz de entender algo y no solo copiar y pegar sin
pensar :-)


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



"Nomen Nescio" wrote in message
news:
Fueron por lana y salieron trasquilados. Tal y como estaba previsto,
Microsoft
habló sobre la seguridad de Windows Vista en Black Hat. Mientras tanto, en
una
sala contigua, la investigadora polaca Joanna Rutkowska (en la foto)
mostraba
cómo utilizar su técnica Blue Pill (más detalles técnicos aquí) para
insertar
código malicioso en las mismísimas entrañas de una copia de Windows Vista
versión 64-bit.

Rutkowska encontró una forma de traspasar el polémico mecanismo con el que
Microsoft
intenta que sólo se puedan cargar en el kernel de Vista los drivers
digitalmente firmados...

Según informa CNet, la investigadora afirmó que "el hecho de que ese
mecanismo fuera
traspasado no significa que Vista sea completamente inseguro. Sólo que no
es tan seguro
como se ha anunciado".

Microsoft, por su parte, afirmó estar investigando soluciones para
proteger la versión
final de Vista de los ataques demostrados, al tiempo que trabaja con sus
socios en
hardware para investigar formas de prevenir el ataque de virtualización
desarrollado por
Rutkowska.
http://www.kriptopolis.org/node/2688


Comentario:

Ahora dira el experto sr. Tella Llop que esta información es capciosa, y
yo solo le digo a
él y gente que piensa como él (bastantes diria yo), que Microsoft deje de
vender humo y se ponga a diseñar un sistema operativo seguro, fiable y
ligero.



Mas info:

(Español)
http://www.hispamp3.com/noticias/no...hp?noticia 060805182552
(Inglés) http://news.com.com/2100-7349_3-6102458.html

Preguntas similares