Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 105 reacties, 48.874 views •
Bron: invisiblethings, submitter: Ateq

Joanna Rutkowska, een Poolse security-onderzoekster die voor het Singaporese Coseinc werkt, heeft een proof-of-concept beschreven van een technologie waarmee het mogelijk is malware zodanig te verbergen dat deze zo goed als onmogelijk ontdekt kan worden. Om dit te bereiken wordt gebruikgemaakt van AMD's SVM-virtualisatietechnologie om een zeer kleine hypervisor te installeren. Hierna wordt het actieve besturingssysteem overgezet naar een virtuele machine die bovenop de hypervisor draait. Dit levert geen performanceverlies op en alle hardware blijft op dezelfde manier beschikbaar voor het actieve besturingssysteem. Doordat een en ander echter binnen een virtuele machine draait, kunnen via de hypervisor nieuwe machines worden toegevoegd die bijvoorbeeld voor malware-activiteiten zouden kunnen worden ingezet. Vanuit een virtuele machine is het vrijwel onmogelijk te bepalen of er bovenop een hypervisor gewerkt wordt en of meer virtuele machines actief zijn, wat ervoor zorgt dat dit proof-of-concept in theorie voor lastige problemen kan zorgen.

Rutkowska heeft een werkend prototype van Blue Pill, zoals ze de technologie genoemd heeft, voor Windows Vista x64 Beta 2 op de plank liggen. Doordat er geen misbruik gemaakt wordt van bugs in dit besturingssysteem, zou de technologie in theorie ook met andere 64bits OS'en moeten werken. Tijdens de SyCan Conference in Singapore aan het einde van juli zal de security-onderzoekster het proof-of-concept presenteren en uitleggen hoe Blue Pill precies werkt. Zeker is dat dit totaal anders is dan de bekende rootkits die gebruikmaken van virtuele machines, zoals het door Microsoft Research ontwikkelde SubVirt. Die kit draait bijvoorbeeld alleen op x86-hardware en is daarom niet volledig virtueel, omdat binnen de x86-instructieset bepaalde commando's niet virtualiseerbaar zijn. Tijdens de presentatie in Singapore zal overigens ook worden ingegaan op een generieke methode om code in de kernel van Windows Vista x64 Beta 2 te injecteren. Daarmee zou de door Microsoft vereiste digitale ondertekening om code in de kernel te injecteren niet langer nodig zijn.

 
Onvindbare malware

Reacties (105)

Reactiefilter:-11050100+179+218+36
Moderatie-faq Wijzig weergave
Zie niet in wat er valt te fixen aangezien dit een feature van de hardware is... En wij denken dat virtualisatie een systeem veiliger maakt! Ik vraag me trouwens af of dit proof of concept ook van toepassing is bij detechniek die Intel gebruikt voor virtualisatie?
lijkt me gewoon een questie van op letten wat er met je bootsector gebeurt.
dat virtueele OS moet ergens staan namelijk, en moet een keer worden opgestart.

de bios bootsector protectie zou hier al afdoende bescherming tegen bieden, en een klein controle programa op bootable floppy/cd/usb stick zou dit ook makelijk kunnen detecteren.
valt dus allemaal wel mee.
virtualisatie kan je systeem wel degenlijk veiliger maken.

(p.s. the title van deze proof of consept ' blue-pill' is echt geniaal natuurlijk.)
En wat als nou niet je bootsector overschreven wordt, maar bijvoorbeeld je NTloader, of je grub.
Of mischien nog leuker, een BIOS-flash van je mainboard/netwerkkaart.
Kortom er zijn meer dingen mogelijk.
Welliswaar wat minder waarschijnlijk, omdat het zich dan minder snel zal kunnen verspreiden, maar zeker niet onmogelijk.

Daarnaast zijn er ook genoeg wormen en zo die diverse systeemfiles van Windows overschrijven, dus zo lastig zal het niet zijn.
En wat als nou niet je bootsector overschreven wordt, maar bijvoorbeeld je NTloader, of je grub.
maar dat is dus weer wel detecteerbaar vanaf het gevirtualizeerde OS, en dus te bestrijden met traditionele anti virus/spyware programams.
En wat als nou niet je bootsector overschreven wordt, maar bijvoorbeeld je NTloader, of je grub.
bij mijn weten is grub read only, tenzij voor super user. aangezien hier de user een actie moet doen (super user psw ingeven) zal dit niet ongemerkt gebeuren.
helaas draaien op de meeste windows systemen de gebruikers standaard als admin, waardoor dit bij ntloader wel eens mogelijk is.
trouwens, als het in grub staat. is het te vinden. dus deze gebruikt een andere manier dan de boot loader.
Vergeet niet je Partitie-tabel, BIOS, Firmwares, en bv: x86 SMM-lek ( ironisch genoeg non-WinXP :7 ) Er zijn veel 'patch-momenten'.

Afhankelijk van het wel of niet betrouwbaar kunnen detecteren van een hypervisor is SVM is dan juist het begin, of juist weer einde van de 'veiligheid'.

En een volledig virtualiseerbare instructieset kan zowel voor alswel tegen een 'Trusted-Chain' vanaf computer aan t/m OS running gebruikt worden. Als in: Domino-effect linksom of rechtsom :Y)
heb bericht suggereert dat het tijdens runtime wordt geďnstalleerd (heb de bron niet bekeken). Dat zou een bug kunnen zijn.

Misschien vergelijkbaar met beveiliging van HDD's? BIOS moet daarbij ook een commando geven om de beveiliging uit te schakelen, als het dat niet geeft kan iemand anders er een wachtwoord op zetten. Oeps...
en hoe vaak staat de bootsector-controle nu aan in de BIOS?
tja door dit bericht natuurlijk vanzelf een stuk vaker.

en bij de meeste bootsector bescherming krijg je meteen ene keuze menu te zien tegenwooridg waar je ja toestaan of nee weigering in kan vullen dus zo in de weg zit het nou ook niet.
als ze bij die bios keuze menu een goed text bij zetten dan denk ik dat we al een heel eind zijn.

en bedrijven zouden kunnen zeggen, we willen een optionneel menu maar we willen ook alle bootsector wijzigingen op voorhand kunnen weigeren als die optie aan staat in de bios.
Het zal inderdaad niet meevallen om het in een trojan/virus te bakken die compleet ongemerkt je systeem aanvalt en aanpast, maar het lijkt me zeker niet onmogelijk.
Vaak zijn er delen ongebruikt (niet eens gepartitioneerd) op de schijf en hoe vaak staat de bootsector-controle nu aan in de BIOS?
Dat zit alleen maar in de weg voor de meeste gebruikers bij de installatie van je OS enzo.
Daarnaast zou je op veel meer manieren de boel in het bootproces kunnen proppen, ipv de bootsector aanpassen.
maak je geen illusies, het gros van de gebruikers komt NOOIT in de BIOS, ze weten meestal niet eens wat het is...
misschien niet maar de meeste mensen hebben wel iemand die ze kennen die wel weet wat ze doen, en die kunnen dat binnen 2 minute voor ze instellen.

en ik kan me voorstellen dat PC fabricanten waar een preinstalled OS op staat standaard die optie aan zetten in de bios als het om PC's met virtualizatie technieken gaat.

en binnen bedrijven mag ik hopen dat ze ook mensen in dienst hebben die weten wat ze doen.

net als nu bijna iedereen een virus scanner en firewall heeft zal ook deze fix gemeen goed worden over een tijdje.
Daar kun je toch films kijken, zeker nieuwe versie van Windows Media Player :o

EDIT: reactie op Zaphod69
Kun je dit gehele veiligheidsprobleem niet oplossen door juist gebruik te maken van het 'veiligheidslek'? Als je de SVM technologie gebruikt om het systeem altijd onder een hypervisor te starten, dan zijn de rollen ineens omgedraaid. Dan kan het voor een exploit wel lijken of ie het systeem over gaat nemen, maar in werkelijkheid zit ie opgesloten in een virtuele box en bepaalt de beheerder wat al of niet mogelijk is.
Zie ook de post van Ralph Smeets (iets verderop)
Dat wil je niet. Hoe kan je anders 'windows-in-een-venster' krijgen als je Linux-distro het hoofd-systeem is? En wie wordt er dan hyper-visor?
In principe kan deze techniek gebruikt worden op elk platform waarop een virtueel systeem kan draaien, zonder dat die virtualisatie op de hoogte moet zijn van een eventuele hypervisor.
Dus op het meerendeel van de huidige processoren zal dit nog niet zo'n gevaar vormen, maar op de processoren die bijv VT-techniek (of de AMD-variant) aan boord hebben kunnen dus meerdere besturingssystemen tegelijk naast elkaar draaien.

Op de "oudere" processoren zal een virtueel systeem dus moeten kunnen omgaan met een hypervisor.
Kijk maar eens naar de documentatie van XEN.
Dan heb je een Hypervisor (Dom0) en een of meerdere virtualisaties. (DomU)
Soort van VMware, maar dan in hardware.
Zal wat detail-aanpassingen vereisen om op Intel's VT te werken, maar in grote lijnen zal het hetzelfde zijn (aangezien VT in grote lijnen hetzelfde is als SVM).

Verder lijkt het me niet geheel onmogelijk dit te detecteren: zorg dat je een systeem draait dat zelf ook hypervisor-ondersteuning heeft (bijvoorbeeld iets van een Xen kernel). Als je dan geen toegang meer hebt tot de ring-0 functies (of hoe je dat ook noemt netjes) dan weet je dat je op een gevirtualiseerd platform draait.

Of denk ik nu te simpel?
[edit]Lol, het is zeker het tijdstip om op dit soort ideeen te komen... :) [edit2]Hmmm, en als je nog een tiental posts verder omlaag scrollt zegt TD-er ook al zoiets... :D
Virtualisatie heeft geenszins te maken met een verbeterde beveiliging. Het enige waar het voor bedoeld is, is om een virtualisatie laag te presenteren die de software loskoppelt van de hardware.

De veiligheidsrisico's blijven hetzelfde als voorheen.
En toegegeven, de virtualisatie architectuur kan ook weer z'n eigen exploits bevatten.

Het enige wat virtualisatie niet betekent, is een bevorderde beveiliging.

-R-
Geweldige foto van de code, trouwens!
8-)
eigenlijk hadden ze er iets moeten neer zetten zodat als je het selecteert het tevoorschijn komt :D
Nee, dan is het niet onvindbaar meer :+
Sterker, selecteer het maar en ik zie een spatie (Malware) :+
Idd, die afbeelding! :o
eerst zien dan geloven.
Enige probleem wat ik zie is dit doen zonder reboot. Verder is dit exact waar die virtualisatie voor is ontwikkeld: zorgen dat je als virtueel proces op een computer kan werken zonder het door te hebben.
Dat niemand eerder na heeft gedacht over het veiligheidsrisico hiervan vind ik gekker dan het bestaan van Blue Pill, eerlijk gezegd.
Volgens mij is het niet de bedoeling dat je een hypervisor kan installeren zonder dat dit gemeld wordt aan de gebruiker. Dát is in weze hier het probleem.
MBR virussen bestaan al veel langer dan vandaag. Code injecteren buiten het OS is dus geen probleem. En voor een virus is er geen enkel probleem om op een reboot te wachten, de meeste home users zullen dit toch wel om de zoveel tijd doen.
@MBV
Enige probleem wat ik zie is dit doen zonder reboot.
The presentation will first present how to generically (i.e. not relaying on any implementation bug) insert arbitrary code into the latest Vista Beta 2 kernel (x64 edition), thus effectively bypassing the (in)famous Vista policy for allowing only digitally singed code to be loaded into kernel. The presented attack does not require system reboot.
Bron: http://www.blackhat.com/h...6-speakers.html#Rutkowska
Zo, jouw probleem is ook weer opgelost :9
Dat gaat over het ándere deel van de presentatie, namelijk de injectie van unsigned code in de kernel, niet over het runnen van het OS bovenop de hypervisor, want dat zie ik je toch echt niet zomaar zonder reboot doen hoor.
Mwah, gebruikers laten rebooten moet niet moeilijk zijn. Gewoon een melding van windows faken dat ie hersteld is van een "Critical ERROR" en dat de computer nu op nieuw opgestart moet worden om schade te voorkomen :7 Ja, dan ben je ook gek als gebruiker als je hem NIET opnieuw opstart...
"Dat niemand eerder na heeft gedacht over het veiligheidsrisico hiervan"

Uhm, dacht je dat dit idee uniek was?
Het idee bestaat al een tijd, maar dit is het eerste POC afaik.
Dude, hij heeft een proof-of-concept geschreven en het lijkt me dat die wel enigsinds bevestigd zijn voordat zo'n soort 'hoax' in een tweakers.net nieuwsbericht verschijnd.
Herstel.. ZIJ heeft een proof-of-concept geschreven
that's my woman :) (wishfull thinking)
"Rutkowska heeft een werkend prototype van Blue Pill, zoals ze de technologie genoemd heeft, voor Windows Vista x64 Beta 2 op de plank liggen. Doordat er geen misbruik gemaakt wordt van bugs in dit besturingssysteem, zou de technologie in theorie ook met andere 64bits OS'en moeten werken. Tijdens de SyCan Conference in Singapore aan het einde van juli zal de security-onderzoekster het proof-of-concept presenteren en uitleggen hoe Blue Pill precies werkt."

Nu jij even goed lezen... Z
Is that's my bitch niet beter van toepassing

ik vind mal-ware-schrijvers nogal triest..laat ze lekker games maken ofzo :z
Dude ZIJ - |:(

tis een chick
Hier een echte foto !!!!
1
2
tis wel een chick :+ ;)
hahaha lol een chick

http://www.go.art.pl/ranking/zdj/13837967.jpg
Zal dr wel niet zijn maargoed :o
rest mij nog 2 vragen,
is ze nog single?
en zo ja, wat is haar telefoon nummer?
wat ouderwets zech, een telefoon nummer, weet je wel niet wat dat kost naar polen bellen ? , doe mij maar d'r msn adres :+
Reactie verwijderd
Eh, waarom? Het is een aankondiging, het enige wat er in de schaal is gelegd totnutoe is de reputatie. Van iemand ik waar ik nog nooit van gehoord heb.
[Er zijn ook al bvb aankondigingen van XBoX360-hacks geweest op tweakers die achteraf ook niet gekomen zijn --- geen enkele nieuwsbron is feilloos.]

Dat gezegd zijnde, zie ik niet direct een reden tot twijfelen; ze heeft wel degelijk een baan en gaat naar de conferentie, dus het ingestuurde abstract van haar praatje zal wel juist zijn.
Maar goed, heel leuk allemaal maar hoe gaan we dit buiten weten van de gebruiker om installeren? Ik heb begrepen dat Vista nu net zoals OS X is geworden en dat als er dus een ingrijpende wijziging wordt uitgevoerd dat er dan om de admin account gevraagt wordt ongeacht of de admin al in is gelogd.

@J.J.J. Bokma:
Wouw jij bent me daar toch eens 1337!
Maar kun je het ook in het Nederlands typen?
"Maar goed, heel leuk allemaal maar hoe gaan we dit buiten weten van de gebruiker om installeren?"

Fre33 P00rrn viewerrr!!1111oneoneeleven!!
"Van iemand ik waar ik nog nooit van gehoord heb."

Dan mag je wel eens vaker op een blackhat komen... in het voorjaar heeft ze nog in het kras gestaan... (en ik blijf erbij, haar engels en presentatieskills zijn echt VER onder de maat... gelukkig heeft ze andere skills om te compenseren ;) )
ehm... enigzins.... PoC = enkelvoud -> is... verschijnt....
ABN = moeilijk :(
dat zien dat kan dus niet ;)
Hey, ken jij dat "haha"? Bedankt om eigenhandig de mop te verneuken. ;)
Toch zijn er op aarde heel veel mensen die geloven in iets dat je niet kan zien :)
Maar dit werkt dus alleen op een 64-Bit OS.

Ben ik dan bijvoorbeeld vatbaar hiervoor? Ik heb wel een 64 Bit CPU, maar draai een 32 bit OS.
Je hebt hier een AM2 Athlon voor nodig, met pacifica. Dus geen Socket 754 of 939. Dus waarschijnlijk niet op jouw systeem.

Ik weet niet in hovere een 32 bits OS hier al dan nier gebruik van kan maken.
Intel CPU's met Vanderpool Technology zouden dit ook moeten kunnen.
De Intel 900-serie bijvoorbeeld.
Ik heb niet een proof-of-concept, maar het is met die VT-technologie gewoon mogelijk om elk OS te draaien in zo'n virtualisatie.
Met oudere processoren moet het OS wat in een virtuele machine draait op de hoogte zijn van zo'n hypervisor, maar wanneer je dus die VT-techniek in de processor hebt zitten, hoeft het OS dus niet op de hoogte te zijn van zo'n hypervisor en dan is het vrijwel onmogelijk om vanuit zo'n virtualisatie te zien dat je in een virtualisatie draait.
In feite is de enige manier om dat te kunnen zien, door te proberen zelf een hypervisor te starten. Dat gaat dan niet lukken.

Die VT-technologie lijkt heel erg op de i386-protected mode bit, wat gebruikt wordt om aan te geven of je op dat moment de kernel draait of een gewoon proces.
Het is gewoon een extra bit die aangeeft of je op dat moment als hypervisor draait of niet.

* TD-er heeft (samen met een paar anderen) een server draaien met daarop een dergelijke virtualisatie (XEN), zodat in geval van inbraak/rootkit-installatie het systeem in notime weer vanuit een image terug gezet kan worden.

@Pietje Puk:
Of het ongemerkt geinstalleerd zou kunnen worden, weet ik niet. Gezien hoe de meeste spyware of virussen op de systemen komen kun je dat echter al snel "ongemerkt" noemen.
De enige manier om het te kunnen detecteren is door te proberen zelf een hypervisor te starten. Als dat lukt weet je zeker dat die techniek nog niet draaide. Als dat niet lukt, weet je eigenlijk nog niets, want een hoop processoren ondersteunen die virtualisatie nog niet.
Van de 'onderzoekster' zelf:

'I decided to implement Blue Pill on AMD64 processor and I spent my time on doing this. Unfortunately I'm only single-threaded, when it comes to programming, so I did not develop a code for Intel at the same time. Indeed it *seems* possible to implement Blue Pill on Intel VT, but I haven't done this yet.

As to why I decided to choose AMD and not Intel - I followed the alphabetic order ;)'


Conclusie: Net zo hard mogelijk met Vanderpool.
Het is de vraag of het met de intel technologie ook ongemerkt geinstalleerd kan worden en of het detecteerbaar is als het draait. Zonder goede kennis van de werking van de techniek is het onmogelijk om hier een zinnig antwoord op te geven. Dus inderdaad: Een suggestieve stelling
dat is dus wel jouw concusie en niet die van haar, anders had ze dat zelf wel gezegd.
"....it seems...."
|:(
dat is dus wel jouw concusie en niet die van haar, anders had ze dat zelf wel gezegd.
Correct. Maar so what?

it *seems* possible zal ze ook tegen zichzelf gezegd hebben, toen ze aan dit stukje 'proof-of-concept' begon op haar AMD systeem. En vervolgens 'I spent my time on doing this'.

Nu zegt ze weer it *seems* possible en begint ze aan haar stukje 'proof-of-concept' of een Intel systeem.

Vanderpool en Pacifica zijn zo goed als identiek, de uitkomst is mij dus al bekend :+. Als deze dame er maar genoeg tijd aan besteed lukt het haar ook met Vanderpool.
geheel sugestief, of heb jij een proof-of-concept?
Het lijkt me sterk dat virualisatie alleen werkt met een 64 bit OS, dus waarschijnlijk is zoiets ook te maken voor een 32 bit OS.

Maar als ik me niet vergis dan heeft intel ook virtualisatie op de planning staan(of hebben ze het al in de cpu's verwerkt), dus dit lijkt me geen AMD-only probleem.
Volgens mij is het proof of concept voor een x64 systeem,

maar met bijvoorbeeld een VT-enabled Intel processor en met Xen 3.0 kan je Windows XP gewoon gevirtualiseerd draaien.

Ik geloof er eigenlijk weinig van dat x86 niet volledig virtualiseerbaar is.

Bovendien is virtualisatie naar mijn mening de beste manier om beveiligingen zoals DRM te omzeilen: draai je DRM-enabled OS gevirtualiseerd zonder dat deze daarvan op de hoogte is, en lees in je hypervisor de ongecodeerde geheugenstukken uit die corresponderen met de gegevens die je wilt hebben.

De vraag is? Wat doet virtualisatie technologie met een TPM module? wordt die ook gevirtualiseerd?
x86 is prima virtualiseerbaar, maar dan zul je het in software moeten doen. De x64 heeft er hardware ondersteuning voor, zodat het makkelijker te coden is, en je veel minder tot geen performance verliest aan overhead.
Als de benodigheden zijn een 64 bit cpu en OSen je hebt een 32-bit OS, nee dus.........
Dan heb je het niet begrepen.
Als je processor in de hardware ondersteuning biedt voor een dergelijke virtualisatie, dan kan je in een virtuele instantie dus elk OS draaien, wat ook normaal gesproken op je processor kan draaien.

De virussen/trojans zullen dan echter wel een stuk complexer moeten worden, omdat ze ook een soort OS mee moeten installeren in een andere virtuele machine.

Om dan een beetje "besmettelijk" te kunnen zijn, zal je dus ofwel flink wat hardware support moeten inbouwen, of op een of andere manier de virtuele installatie van je windows of linux moeten kunnen infecteren.
Dan kun je bezig blijven om de boel te verwijderen, maar dan krijg je het niet goed weg, totdat je die hypervisor weg haalt.
Zulke software zal toch ergens op je harde schijf moeten staan. Lijkt me niet geheel onopspoorbaar dus...

edit:
@TD-er: Zou het dan niet mogelijk zijn om dan met een soort unattended cd een 'virusscan' te doen?
Wel als je virtuele systeem, waarin je werkt, die sectoren niet eens ziet. Dan kan je echt lang zoeken.
Pas wanneer je het zou bekijken op een niet-geinfecteerd systeem, dan zou je het kunnen zien/vinden.

@TheShadow:
Als je zekerheid hebt dat je virtualisatie op geen enkele manier gestart wordt voordat je boot vanaf je live-CD (bijvoorbeeld Knoppix of BartPE), dan kun je het ook in het geinfecteerde systeem detecteren.
Maar hoeveel van de gebruikers die last van een virus oid. hebben, booten op die manier?
Op het moment dat een dergelijk 'virus' je computer probeert te veranderen kun je het dus herkennen.
De meeste reacties hier zijn erop gebaseerd dat je het niet ziet als het geinstalleerd is en je pc inderdaad draait via die virtualisatie.
De bestrijding moet dus ook niet achteraf maar aan de deur plaats vinden, om te voorkomen dat zo'n VM geinstalleerd kan worden.
Okay, ff alles op een rijtje, want door sommige posts hier raak ik helemaal in de war;

Als je een AMD x64 systeem hebt loop je het risico om zeer gevaarlijke malware op je systeem geinstalleerd te krijgen die niet traceerbaar is?

Dan snap ik een paar dingen niet,

1. Waarom alleen een AMD systeem? is dat vanwege AMD's SVM-virtualisatietechnologie en zijn daarom Intel systemen gevrijwaard van dit probleem?

2. Volgens het nieuwsitem staat dit los van het besturingssysteem, maar er wordt toch de indruk gewekt dat het te maken heeft met windows Vista x64?

3. Er wordt ook gezegt dat het risico beperkt blijft tot x64 OS's maar in de reacties wordt er ook gesproken over x32?

Als iemand dit misschien voor mij zou willen ophelderen?
dank u.
1. Waarom alleen een AMD systeem? is dat vanwege AMD's SVM-virtualisatietechnologie en zijn daarom Intel systemen gevrijwaard van dit probleem?
Een paar posts hoger staat het antwoord:
Van de 'onderzoekster' zelf:

'I decided to implement Blue Pill on AMD64 processor and I spent my time on doing this. Unfortunately I'm only single-threaded, when it comes to programming, so I did not develop a code for Intel at the same time. Indeed it *seems* possible to implement Blue Pill on Intel VT, but I haven't done this yet.

As to why I decided to choose AMD and not Intel - I followed the alphabetic order ;)'

Conclusie: Net zo hard mogelijk met Vanderpool.
2. Volgens het nieuwsitem staat dit los van het besturingssysteem, maar er wordt toch de indruk gewekt dat het te maken heeft met windows Vista x64?

3. Er wordt ook gezegt dat het risico beperkt blijft tot x64 OS's maar in de reacties wordt er ook gesproken over x32?
Waarschijnlijk is dit ongeveer hetzelfde als het AMD en Intel verhaal: het is alleen getest op windows Vista X64, maar in theorie moet het op elk besturingssysteem kunnen(dus ook 32 bit).
2. Volgens het nieuwsitem staat dit los van het besturingssysteem, maar er wordt toch de indruk gewekt dat het te maken heeft met windows Vista x64?
Het heeft een 64bit OS nodig om volledig te kunnen werken. Het werkt dus niet op een 32bit OS, zoals Windows XP.

Maar dat is alles. Hij had ook een ander 64bit OS kunnen gebruiken. Net zo min een bewuste keuze, als een AMD processor te gebruiken.
Volgens mij zijn er op al je vragen hierboven al antwoord gegeven
edit:
Was weer te langzaam
Ik heb de oplossing!!
Een TPM chippie op je moederbord die alle niet-microsoft (micro)kernels uitsluit!

*rent voor leven*
leuk voor alle *nix gebruikers :P
Och dan draai je die toch in een virtualisatie ;)
Dat verhaal klopt helemaal. Ik noem het de successor van de rootkit. Zo hebben de gebroeders X86 en X64 elk een andere truuk om virtualisatie toe te passen. Bij een X64 kan dat vrijgegeven worden door de nieuwe specificaties welke bij het X86 platform onmogelijk zijn volgens het artikel.

Schaak!

Dat betekend dus dat de zwart een sterke zet kan doen en wij moeten onze opening verdedigen.

Maar hoe moe wordt ik van dit soort meldingen? Heel moe om 2 redenen:

1. Het is spelen met het kwaad. Nu dit openbaar is hebben nu meer mensen de mogelijkheid om te gaan knutselen aan een nieuw leuk appje. Toen ik wist dat een auto lekker reed bleef ik rijden.

2. Als je gewoon de security voorschriften van Microsoft in acht neemt en niet oeverloos gaat tweaken is je systeem veilig genoeg om vrij zorgeloos te kunnen computeren. Het ligt meestal aan je eigen gedrag wát er op je PC komt. Sommige PC spiegelen de rommelige werkkamer van pietje.

Mijn PC blijft brandschoon, tot de laatste snik als het moet! (8>

PS: Ook internet explorer valt goed in te stellen.
1. Het is spelen met het kwaad. Nu dit openbaar is hebben nu meer mensen de mogelijkheid om te gaan knutselen aan een nieuw leuk appje. Toen ik wist dat een auto lekker reed bleef ik rijden.
Ook al zovaak gehoord, denk maar niet dat je veiliger bent als potentiele veiligheidsproblemen niet wil onderkennen.
2. Als je gewoon de security voorschriften van Microsoft in acht neemt en niet oeverloos gaat tweaken is je systeem veilig genoeg om vrij zorgeloos te kunnen computeren. Het ligt meestal aan je eigen gedrag wát er op je PC komt. Sommige PC spiegelen de rommelige werkkamer van pietje.
idd, niets downloaden, geen werkende netwerkinterfaces en geen externe software en voila: windows is veilig, alleen jammer dat sommige eikels t ook nog voor meer willen of nog erger; moeten gebruiken :P

Instellingen != veiligheid, een ernstige remote te misbruiken root exploit op windows gaat niet zomaar weg door het aanpassen van je gedrag
De titel van dit stuk is weer enigzins misleidend, aangezien in het verhaal meerdere malen wordt gesproken over "bijna onvindbaar" en "vrijwel onmogelijk" (dus wel te vinden, maar erg moeilijk.)
Logisch ook, alles wat je kan maken zal op een of andere manier sporen achterlaten en is dus te tracen, al dan niet met behulp van zeer complexe zoekmethoden.

@TD-er
Wat valt er te begrijpen, als in het stuk duidelijk wordt gesproken over een 64-bits cpu en eender welk 64-bits OS? Maw, het stuk suggereert helemaal niets over een 32-bits OS.
Mischien was "niet begrijpen" een wat ongelukkig gekozen term.
Dit stukje beschrijft een proof-of-concept van een techniek om ongemerkt je systeem te verhuizen naar een virtualized omgeving.
Dus puur binnen de grenzen van dit artikel zou je dus Windows Vista nodig hebben en een AMD-64 met AMD's Pacifica.

Op de vraag of je met dit-en-dat systeem er ook vatbaar voor bent, kun je echter niet antwoorden met "nee, want je hebt een 32-bits OS"
Het probleem wat hier namelijk uitgewerkt wordt is namelijk iets groter.
Alle systemen met dergelijke virtualisatie-technieken aan boord zijn voor dit probleem vatbaar.
Op dit moment zijn er echter nog niet echt veel processoren die beschikken over dergelijke virtualisatie-technieken en de CPU's die dat wel hebben zijn 64-bits processoren.
De gebruikte technieken zijn echter niet specifiek 64-bits en het gebruikte OS hoeft ook niet 64-bits te zijn.
Dus als er 32-bits processoren zouden zijn met die virtualisatie-technieken aan boord, zou je het daarmee ook kunnen gebruiken (niet dit proof-of-concept, maar een vergelijkbaar iets) en aangezien je elk OS wat in principe ook draait op de processor ook in een virtualisatie kunt draaien is het ook niet beperkt tot een 64-bits OS.
"Dit levert geen performanceverlies op en alle hardware blijft op dezelfde manier beschikbaar voor het actieve besturingssysteem."

Oh dan zou ik al mijn software daar draaien, levert toch geen performance verlies op :)
Oh dan zou ik al mijn software daar draaien, levert toch geen performance verlies op
Ik zie het nog wel gebeuren dat dat op kleine schaal ook wel gaat gebeuren ook.
Denk aan een web-server.
Dan draai je apache in de ene virtualisatie, mysql in de andere en FTPd etc. in weer een andere.
Het voordeel is dan dat je de boel over meerdere virtuele machines verdeeld hebt en ze dus ook makkelijk kunt splitsen naar een fysiek andere machine, wanneer je meer performance nodig hebt.
Wanneer een van de delen gehackt wordt, dan kun je besluiten om alleen dat deel weer van de backup terug te zetten en dan weet je dat de rest niet geinfecteerd kan zijn.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True