![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.png){kind=icon}
![[quick]](http://tweakimg.net/g/if/icons/world_link_cropped.png){kind=icon}
Onderzoekers van Microsoft Research en de universiteit van Michigan hebben samen een prototype ontwikkeld voor een rootkit, gebaseerd op een virtual-machine, zo meldt eWeek. Middels fouten in het draaiende besturingssysteem, weet deze rootkit controle over de bootprocedure te krijgen. Dit geeft de rootkit de mogelijkheid om een virtual-machine (VM) te installeren en het huidige besturingssysteem in deze VM te starten. Het is nu heel erg lastig om vanuit het besturingssysteem eventuele kwaadaardige software te detecteren die parallel wordt uitgevoerd met de VM, omdat deze software niet buiten de VM kan kijken. Het kan zelfs al lastig zijn om te detecteren of het besturingssysteem zich überhaupt in een VM bevindt.
Het eerste prototype, genaamd SubVirt, gebruikte VMWare om een Linux-systeem te infecteren en voor een Windows-systeem werd Microsofts eigen VirtualPC-applicatie gebruikt. Deze rootkit bevatte vier onderdelen: een phishing webserver, een applicatie die alle toetsaanslagen registreerde, een applicatie die het bestandssysteem doorzocht naar gevoelige informatie en een systeem om VM-detectiesystemen om de tuin te leiden. Aangezien het maken en gebruiken van SubVirt vrij eenvoudig was, kunnen dit soort rootkits volgens de onderzoekers in de toekomst een reëel gevaar gaan vormen:
"We believe the VM-based rootkits are a viable and likely threat," the research team said. "Virtual-machine monitors are available from both the open-source community and commercial vendors ... On today's x86 systems, [VM-based rootkits] are capable of running a target OS with few visual differences or performance effects that would alert the user to the presence of a rootkit."
Dat huidige VM's een minimaal effect op het uiterlijk en de prestaties van een systeem hebben, is al bewezen door de onderzoekers zelf. Tijdens het onderzoek heeft één van de onderzoekers een tijd op een besmet systeem gewerkt, zonder dit te merken. Mogelijke oplossingen kunnen in twee hoeken gezocht worden. De eerste is door nog een laag onder de VM te scannen met behulp van hardware. AMD en Intel hebben beide al hardware gepresenteerd die kan helpen bij het detecteren van VM's. Een andere techniek zorgt ervoor dat de bootprocedure niet misbruikt kan worden. Dit kan door bijvoorbeeld van een niet herschrijfbaar medium te starten, of door een VM monitor te starten voor de bootprocedure, die het systeem controleert op rootkits.
 19:59 |
Bugs in GnuPG zorgen voor veiligheidsproblemen |
 21:58 |
Brussel vindt MS-documentatie nog steeds onvoldoende |
Door 
het idee van een rootkit is dat bepaalde onderdelen van het besturingssysteem eruit zien alsof ze normaal werken, maar eigenlijk zijn ze vervangen door kwaadaardige software. Bij unix was dit makkelijk omdat je gewoon de standaard tools als cat/ls/ps of zels bash kon vervangen. Bij moderne besturingssystemen werd dit lastiger vanwege de complexe grafische interfaces, maar met huidige VM technologie is het dus geen obstakel meer om zelfs de hele omgeving te vervangen.
The Matrix has you.
