[MIRA] Windows Vista, jaqueado en Black Hat

Además me ha gustado que pongas esa noticia. Vamos a comentarla en
profundidad, ya que por lo que veo hay muchas paginas (sobre todo las de
habla hispana) que están bastante despistadas no solo con la traduccion,
sino con la interpretacion ya que periodistas puede que sean, pero no son
precisamente informaticos. Es periodismo basura...

Vamos a comentar que quiere decir drivers de kernel, en donde se pide
certificado y de *que tipo es* y sobre todo que es la Virtualizacion, cuando
y como se usa y que procesadores la soportan. Todo esto es necesario para
dar sentido a lo comentado en los articulos.

Veamos: Windows Vista de 64, *solo el de 64* exige que los drivers de kernel
(es decir los necesarios para bootear la maquina, y solo esos) sean
certificados. Windows Vista de 32 no lo exige.

* ¿que quiere decir certificados?. Simplemente que llevan inbuido en el
codigo una certificacion: *no* es necesaria en este caso la certificacion de
WHQL, sino que cualquier certificado vale. Simplemente pagamos por uno en
Verisign y nos serviría para certificar nuestro "driver". Microsofto no ha
decidido todavia que tipo de certificado ni quien debe emitirlo en la
version final de Vista 64. Solamente está probando la tecnologia. Seria
logico presuponer que en la version final hace falta el certificado de WHQL
con lo cual le habria sido imposible a nadie meter ese troyano.

* evidentemente, ademas de lo anterior, para meterlo es necesario hacerlo
con atributos de Administrador. No hay que perder esto de vista tampoco.

* Y para que funcione el control de la maquina tal y como ha demostrado
Rutkowska, la maquina debe admitir Virtualizacion. ¿que es esto?: pues el
famoso bit VT (en Intel) o Pacifica (en AMD) que traen *solo* los
procesadores de ultimisima generacion. ¿en que consiste?: recordemos que un
procesador tiene 4 modos de funcionamiento en kernel: 0, 1, 2, 3. En modo 0.
se tiene control absoluto de la maquina y es donde se ejecutan los drivers y
el nucleo del sistema operativo. En modo 1, se tienen menos privilegios, en
modo 2, menos que los anteriores -no se usan debido a que las transiciones
de fase son caras- y en modo 3, es el llamado modo user en el cual se
ejecutan los programas de usuario. Si uno de ellos casca, el modo 0 tiene
control absoluto sobre el modo 3 y puede hacer lo que quiera. Ahora bien, si
en modo cero, casca algo...pantallazo azul. Esta restringido solo al sistema
operativo y drivers.

Para poder virtualizar toda la maquina, haría falta un modo todavia mas
potente que el 0. Es decir un modo -1 de funcionamiento del procesador y lo
que allí se ejecutase tendría todo el control sobre el sistema operativo.
Absolutamente todo. Sería, todo lo hay ahora del sistema operativo, una
simple maquina virtual sobre el software que se ejecute en modo -1. Este
modo es el que se acaba de implementar en los ultimos procesadores y que se
llama VT o Pacifica (en aquellos que lo traigan). Ademas, la Bios debe
soportarlo. Y ademas debe activarse en la Bios (viene desactivado por
defecto) y posteriormente apagar la maquina y encenderla -apagarla quitando
el cable de corriente, no solo de boton, ya que sino no se activará.

La idea de Rutkowska es buena, muy buena, muy imaginativa simplemente
adquiere un certificado a nombre de Perico de los Palotes, y cra un codigo
malicioso como drivers de boot firmandolo con dicho certificado. Lo instala
y ese codigo pone a funcionar la maquia *que tenga activado el VT* -sino no
funciona- en modo virtual como invitado sobre el verdadero host que toma
control: el codigo malicioso de ese driver que se ejecuta en ese supermodo
kernel.

Y ya sabes, Anonimo, o Nomen. o quien seas... acabas de aprender
algo. si es que eres capaz de entender algo y no solo copiar y pegar sin
pensar :-)


Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



"Nomen Nescio" wrote in message
news:

Fueron por lana y salieron trasquilados. Tal y como estaba previsto,
Microsoft
habló sobre la seguridad de Windows Vista en Black Hat. Mientras tanto, en
una
sala contigua, la investigadora polaca Joanna Rutkowska (en la foto)
mostraba
cómo utilizar su técnica Blue Pill (más detalles técnicos aquí) para
insertar
código malicioso en las mismísimas entrañas de una copia de Windows Vista
versión 64-bit.

Rutkowska encontró una forma de traspasar el polémico mecanismo con el que
Microsoft
intenta que sólo se puedan cargar en el kernel de Vista los drivers
digitalmente firmados...

Según informa CNet, la investigadora afirmó que "el hecho de que ese
mecanismo fuera
traspasado no significa que Vista sea completamente inseguro. Sólo que no
es tan seguro
como se ha anunciado".

Microsoft, por su parte, afirmó estar investigando soluciones para
proteger la versión
final de Vista de los ataques demostrados, al tiempo que trabaja con sus
socios en
hardware para investigar formas de prevenir el ataque de virtualización
desarrollado por
Rutkowska.
http://www.kriptopolis.org/node/2688


Comentario:

Ahora dira el experto sr. Tella Llop que esta información es capciosa, y
yo solo le digo a
él y gente que piensa como él (bastantes diria yo), que Microsoft deje de
vender humo y se ponga a diseñar un sistema operativo seguro, fiable y
ligero.



Mas info:

(Español)
http://www.hispamp3.com/noticias/no...hp?noticia 060805182552
(Inglés) http://news.com.com/2100-7349_3-6102458.html

http://www.kriptopolis.org/node/2688

No se puede andar sin saber idiomas por este mundo. Si lee la
información original verá que difiere ligeramente y además está
incompleta:
"To stage the attack, however, Vista needs to be running in
administrator mode, Rutkowska acknowledged. That means her attack would
be foiled by Microsoft's User Account Control, a Vista feature that
runs a PC with fewer user privileges. UAC is a key Microsoft effort to
prevent malicious code from being able to do as much damage as on a PC
running in administrator mode, a typical setting on Windows XP.

"I just hit accept," Rutkowska replied to a question from the audience
about how she bypassed UAC. Because of the many security pop-ups in
Windows, many users will do the same without realizing what they are
allowing, she said."

Simple curiosidad: ¿La versión del Vista que ronda por ahí no es una beta
para que los usuarios la prueben y se puedan descubrir así fallos que no se
han detectado en el laboratorio?. ¿Entonces a qué tanto revuelo?.

Quien no se sienta seguro con MS, quien quiera un s.o. barato y, según
dicen, "más seguro", no tienen más que usar Linux, que no es de MS, es
gratuito y dicen que a prueba de hackers.

Yo seguiré con mi XP Pro, con mi anti-virus, firewall y software
correspondiente y tan tranquilo. Y el dia que mi ordenador soporte Windows
Vista, ya veremos que hago, porque con lo que hacemos el 99% de los usuarios,
me parece que la versión "Vista" nos irá grande a más de uno y de dos
millones de usuarios.

Saludos,
jordimc


"Nomen Nescio" escribió:

Fueron por lana y salieron trasquilados. Tal y como estaba previsto, Microsoft
habló sobre la seguridad de Windows Vista en Black Hat. Mientras tanto, en una
sala contigua, la investigadora polaca Joanna Rutkowska (en la foto) mostraba
cómo utilizar su técnica Blue Pill (más detalles técnicos aquí) para insertar
código malicioso en las mismísimas entrañas de una copia de Windows Vista
versión 64-bit.

Rutkowska encontró una forma de traspasar el polémico mecanismo con el que Microsoft
intenta que sólo se puedan cargar en el kernel de Vista los drivers digitalmente firmados...

Según informa CNet, la investigadora afirmó que "el hecho de que ese mecanismo fuera
traspasado no significa que Vista sea completamente inseguro. Sólo que no es tan seguro
como se ha anunciado".

Microsoft, por su parte, afirmó estar investigando soluciones para proteger la versión
final de Vista de los ataques demostrados, al tiempo que trabaja con sus socios en
hardware para investigar formas de prevenir el ataque de virtualización desarrollado por
Rutkowska.
http://www.kriptopolis.org/node/2688


Comentario:

Ahora dira el experto sr. Tella Llop que esta información es capciosa, y yo solo le digo a
él y gente que piensa como él (bastantes diria yo), que Microsoft deje de
vender humo y se ponga a diseñar un sistema operativo seguro, fiable y ligero.



Mas info:

(Español) http://www.hispamp3.com/noticias/no...hp?noticia 060805182552
(Inglés) http://news.com.com/2100-7349_3-6102458.html

JM Tella Llop [MVP Windows] escribió:

Además me ha gustado que pongas esa noticia. Vamos a comentarla en
profundidad, ya que por lo que veo hay muchas paginas (sobre todo las de
habla hispana) que están bastante despistadas no solo con la traduccion,
sino con la interpretacion ya que periodistas puede que sean, pero no son
precisamente informaticos. Es periodismo basura...

Entre otras cosas, parece que a los super-mega-expertos de kriptópolis y
a su leal lector Nomen Nescio (aunque a este último se le pueda perdonar
por no saber de estas cosas) se les "olvida" mencionar que el problema
viene del hardware no de windows, y que tambien afectaría a Linux y a
otros sistemas operativos

viene del hardware no de windows, y que tambien afectaría a Linux y a
otros sistemas operativos

Efectivamente...de la misma manera podria "virtualizarse" cualquier sistema
operativo y colarte un verdadero Rootkit que en este caso si que seria
totalmente ilocalizable y que tendria todo el poder sobre el sistema. :-P

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



"Diego Calleja" wrote in message
news:

JM Tella Llop [MVP Windows] escribió:

Además me ha gustado que pongas esa noticia. Vamos a comentarla en
profundidad, ya que por lo que veo hay muchas paginas (sobre todo las de
habla hispana) que están bastante despistadas no solo con la traduccion,
sino con la interpretacion ya que periodistas puede que sean, pero no son
precisamente informaticos. Es periodismo basura...

Entre otras cosas, parece que a los super-mega-expertos de kriptópolis y a
su leal lector Nomen Nescio (aunque a este último se le pueda perdonar por
no saber de estas cosas) se les "olvida" mencionar que el problema viene
del hardware no de windows, y que tambien afectaría a Linux y a otros
sistemas operativos