Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 30 reacties
Bron: ZDNet

De Poolse securityonderzoekster Joanna Rutkowska zet vraagtekens bij hardwarematige rootkitbeveiligingen. Op de Black Hat-conferentie liet ze zien dat een image van het geheugen vervalst kan worden.

Joanna Rutkowska op de BlackHat-conferentie Volgens Rutkowska lijden softwarematige rootkitdetectors aan een fundamentele tekortkoming: malware die met dezelfde privileges draait kan dergelijke programmatuur betrekkelijk eenvoudig voor de gek houden - naast het probleem dat forensische tools om malware op te sporen, geen data naar de te onderzoeken machine mogen schrijven noch de cpu bezig zouden moeten houden. Hardwarematige tools zouden een oplossing moeten bieden. De veiligheidsonderzoekster presenteerde (pdf) echter een aantal manieren waarop hardwarematige 'memory sniffers', zoals pci-kaarten of firewire-oplossingen eveneens om de tuin geleid kunnen worden en iets anders voorgeschoteld kunnen krijgen dan de geheugeninhoud waar de cpu mee werkt. In het eenvoudigste scenario crasht de machine als een detectietool het geheugen uit wil lezen. Ook demonstreerde ze het voeren van 'troep' aan de hardware die het geheugen probeert uit te lezen, maar Rutkowska acht het een 'full replacing attack' door de malwarebakker ook mogelijk: daarmee krijgt de het detectieapparaat 'gewone' data voorgeschoteld en denkt het dat er niets aan de hand is.

Volgens de onderzoekster maakt de huidige computerarchitectuur het onmogelijk om op betrouwbare wijze het geheugen uit te lezen. 'Dat moet wellicht veranderen, zodat computersystemen verifieerbaar correct werken', zo hield ze het Black Hat-publiek voor. Rutkowska besloot met een opmerking voor de hardwareindustrie: 'Moederbordfabrikanten moeten nadenken over het mogelijk maken van directe - en dan ook echt directe - toegang tot het RAM-geheugen, en wellicht ook tot een aantal andere kritieke zaken zoals cpu-systeemregisters en caches'.

Moderatie-faq Wijzig weergave

Reacties (30)

Moederbordfabrikanten moeten nadenken over het mogelijk maken van directe - en dan ook echt directe - toegang tot het RAM-geheugen, en wellicht ook tot een aantal andere kritieke zaken zoals cpu-systeemregisters en cache
En op dat moment is de data nergens meer veilig en kan de veiligheid ook niet meer met een beveiliginsapplicatie gegarandeerd worden. Zo maak je het keyloggers en andere malware wel heel erg makkelijk.
men heeft het hier over hardware toegang,
als men een pci-kaart keylogger is je pc steekt, is er wel meer aan de hand denk ik dan wat malware
Maar als men een foutje vind in een driver van een pcikaart die directe toegang heeft dan hoef je helemaal geen extra hardware te plaatsen..
Waarom zou je voor een kaart met directe toegang een driver gebruiken? Als de kaart directe toegang tot het geheugen heeft is er helemaal geen interactie met het os voor nodig.
en hoe geeft die kaart dan weer dat er iets niet goed is?
Een sirene en knipperende lampjes zijn niet altijd de meest ideale oplossing :)
Die kaart kan een ethernet interface hebben en een snmp trap afgeven als er een probleem word geconstateerd.
Het gaat hier wel over speciale kaarten die alleen maar zijn om het systeem uit te lezen en niet een kaart die Piet of Klaas even bij de computerboer op de hoek gaan halen.

Een maat van mij heeft zelf zijn computerbedrijfje waar hij PC's samenstelt en assembleert uit lossen componenten op basis van de wensen van de klant. Hij maakt gebruik van een insteekkaart, van een paar duizend euro, om hardwarematig alles te controleren voordat hij er software opzet. Zo weet hij dat alles werkt als hij een PC aflevert.

Ik denk dat je hier aan een vergelijkbaar iets moet denken.
En op dat moment is de data nergens meer veilig en kan de veiligheid ook niet meer met een beveiliginsapplicatie gegarandeerd worden.
Als jouw hardware niet beveiligd is (tegen fysieke inbraak enzo), dan is je systeem toch al niet veilig. Daar veranderd niks aan.
'Moederbordfabrikanten moeten nadenken over het mogelijk maken van directe - en dan ook echt directe - toegang tot het RAM-geheugen, en wellicht ook tot een aantal andere kritieke zaken zoals cpu-systeemregisters en caches'.
Wat moet ik me hier bij voorstellen? Alles is toch al (direct) aangesloten aan elkaar?
Windows NT, 2000, XP, Server 2003, Vista gebruiken een HAL (Hardware Abstraction Layer). Software mag dus niet rechtstreeks de hardware benaderen. Dit moet via het OS. Hierdoor is het systeem veel stabieler. Twee programma's kunnen hierdoor niet tegelijkertijd dezelfde resource aanspreken, het OS regelt dit.
Als het OS echter gemanipuleert wordt, via een rootkit, is er op direct hardware niveau niks aan te doen.

Wellicht wil ze weer terug naar Windows 9x?
Ik neem aan dat ze een soort micro-pc in een pc wil zetten die alleen een virusscanner/anti-malware draait. Niet eens zo'n gek idee.
Voor zover ik weet kan een PCI kaart niet direct praten met het geheugen... Dat gaat altijd via een (geheugen)controller en schijnbaar is die dus voor de gek te houden via software(volgens deze mevrouw)...

@reactie hierboven: Is dat waar? Moet alle hardware via software met elkaar praten? Ik weet het niet hoor, maar het lijkt me dat bijv. bij het opstarten (bios) ook direct wordt gecommuniceerd (zonder tussenkomst van Windows, maar misschien is dan dus in software geregeld in het bios en dan is het alsnog indirect via software)
Dat gaat altijd via een (geheugen)controller en schijnbaar is die dus voor de gek te houden via software(volgens deze mevrouw)...
Het is de CPU die de geheugencontroller programmeerd en zo bepaald tot welke delen van het geheugen een randapparaat toegang heeft. Het voordeel hiervan is dat een 'slecht' randapparaat geen schade kan toebrengen aan de rest van het systeem.
Moet alle hardware via software met elkaar praten?
Software is 'slechts' de code die uitgevoerd wordt door (onder andere) de CPU.
BIOS = Basic Input/Output System of Basic Integrated Operating System
(http://en.wikipedia.org/wiki/BIOS)
Een extra interface voor bijvoorbeeld digitaal forensische onderzoek, zodat de volgende keer als er een gevalletje van bouwfraude is en er een draaiend systeem wordt aangetroffen het interne geheugen echt vlekkeloos gekopieerd kan worden....

Zodat de aangetroffen informatie als bewijs opgevoerd kan worden.
{Off-topic}
Eindelijk! Een vooroordeel wordt hier ongedaan gemaakt. In de diepste diepte van de IT-wereld lopen dus ook hele mooie vrouwen rond. O+ ;)
Vast wel... Maar deze lijkt op Micheal Jackson!
nooit alleen afgaan op je eerste indruk :P
kijk hier maar
Als ik het goed begrijp is het probleem dat ze beschrijven dat, terwijl een OS runt, malware kan detecteren dat een geheugen-check (software of hardware matig) wordt uitgevoerd.

Een simpele ( ? ) manier daar omheen zou via een boot disk geheugen checks te starten, zodat het (mogelijk onbetrouwbare) OS niet runt, en de verkregen gegevens dus betrouwbaar zijn. Niks nodig van verandering van hardware
(Maar helaas wel te ingewikkeld voor de grote meerderheid aan particuliere computergebruikers)
Ik denk dat er niet veel bijzonders meer in het geheugen staat ook na een reboot :).... Veel malware doet zijn werk door geintjes uit te halen met het geheugen, uitlezen of aanpassen van geheugenwaardes van andere software... Een rootkit gebruikt ook geheugen, maar zal dit proberen te verbergen voor het OS. Een hardwarematige scanner zou dit moeten kunnen controleren, maar dat kan omzeilt worden dus volgens deze mevrouw.
RAM is leeg na een reboot....
Bizar dat je met z weinig code stukken systeemgeheugen voor een apparaat op de PCI-bus onzichtbaar kunt maken. Aan de andere kant, die bus is bij mijn (leken)weten ook nooit ontworpen met als doel een robuuste en veilige pathway naar het systeemgeheugen te creren.
Aan de andere kant, die bus is bij mijn (leken)weten ook nooit ontworpen met als doel een robuuste en veilige pathway naar het systeemgeheugen te creren.
klopt, als het over een wire gaat (of door de lucht natuurlijk), is het te sniffen. (tenzij je ook daar quantum crypto gaat gebruiken - unlikely)
Als een hardware oplossing direct, dus buiten het OS om, het geheugen moet kunnen bekijken, dan moet je toch ook de data in het geheugen kunnen interpreteren. Kortom als je een OS gebruikt wat de toewijzing van variabelen en executie-code op een niet standaard plek neerzet, om de toepasbaarheid van buffer-overflows tegen te gaan, dan moet die kaart dat ook snappen.
Verder moet die kaart dan ook nog het geheugen in de gaten houden en werkt dat nog steeds wanneer je heel snel nieuwe threads start die telken maar heel kort draaien en dan weer vernietigd worden? Het doorgeven van een nieuwe thread en de geheugen-info daarvan heeft namelijk last van een (lage) latency en loopt dus altijd achter de feiten aan, of de machine gaat er veel langzamer van worden.
Joanna Rutkowska geeft op de NLUUG voorjaarsconferentie op 10 mei in Ede de keynote speech...

Voor NLUUG student-leden is de toegang gratis (hele dag, incl lunch). Voor studenten (niet NLUUG-lid) is de toegang EUR 26 (hele dag, incl lunch).

Het abstract van haar keynote:
Virtualization - The Other Side of the Coin
Joanna Rutkowska
COSEINC

The idea behind Blue Pill is simple: your operating system swallows the Blue Pill and it awakes inside the Matrix controlled by the ultra thin Blue Pill hypervisor. This all happens on-the-fly (i.e. without restarting the system) and there is no performance penalty and all the devices, like graphics card, are fully accessible to the operating system, which is now executing inside virtual machine. This is possible thanks to the latest virtualization technology from AMD called SVM/Pacifica.

The presentation will present the idea and details of Blue Pill implementation as well as some thoughts about defense against such virtualization based malware.
'Dat moet wellicht veranderen, zodat computersystemen verifieerbaar correct werken',
Als mijn neus mij niet bedriegt ruik ik totale controle over jouw machine en heeft weinig tot niets te maken met virussen, malware etc etc. :7
kan iemand de taalfoutjes even uit het artikel halen?
waarvan acte. bedankt voor de tip Joanna :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True