'Hardwarematige rootkitdetectie onbetrouwbaar'

De Poolse securityonderzoekster Joanna Rutkowska zet vraagtekens bij hardwarematige rootkitbeveiligingen. Op de Black Hat-conferentie liet ze zien dat een image van het geheugen vervalst kan worden.

Joanna Rutkowska op de BlackHat-conferentie Volgens Rutkowska lijden softwarematige rootkitdetectors aan een fundamentele tekortkoming: malware die met dezelfde privileges draait kan dergelijke programmatuur betrekkelijk eenvoudig voor de gek houden - naast het probleem dat forensische tools om malware op te sporen, geen data naar de te onderzoeken machine mogen schrijven noch de cpu bezig zouden moeten houden. Hardwarematige tools zouden een oplossing moeten bieden. De veiligheidsonderzoekster presenteerde (pdf) echter een aantal manieren waarop hardwarematige 'memory sniffers', zoals pci-kaarten of firewire-oplossingen eveneens om de tuin geleid kunnen worden en iets anders voorgeschoteld kunnen krijgen dan de geheugeninhoud waar de cpu mee werkt. In het eenvoudigste scenario crasht de machine als een detectietool het geheugen uit wil lezen. Ook demonstreerde ze het voeren van 'troep' aan de hardware die het geheugen probeert uit te lezen, maar Rutkowska acht het een 'full replacing attack' door de malwarebakker ook mogelijk: daarmee krijgt de het detectieapparaat 'gewone' data voorgeschoteld en denkt het dat er niets aan de hand is.

Volgens de onderzoekster maakt de huidige computerarchitectuur het onmogelijk om op betrouwbare wijze het geheugen uit te lezen. 'Dat moet wellicht veranderen, zodat computersystemen verifieerbaar correct werken', zo hield ze het Black Hat-publiek voor. Rutkowska besloot met een opmerking voor de hardwareindustrie: 'Moederbordfabrikanten moeten nadenken over het mogelijk maken van directe - en dan ook echt directe - toegang tot het RAM-geheugen, en wellicht ook tot een aantal andere kritieke zaken zoals cpu-systeemregisters en caches'.

IT-banen

Reacties (30)

Bor Coördinator Frontpage Admins / FP Powermod 5 maart 2007 11:19

Moederbordfabrikanten moeten nadenken over het mogelijk maken van directe - en dan ook echt directe - toegang tot het RAM-geheugen, en wellicht ook tot een aantal andere kritieke zaken zoals cpu-systeemregisters en cache

En op dat moment is de data nergens meer veilig en kan de veiligheid ook niet meer met een beveiliginsapplicatie gegarandeerd worden. Zo maak je het keyloggers en andere malware wel heel erg makkelijk.

catfish @Bor • 5 maart 2007 11:42

men heeft het hier over hardware toegang,
als men een pci-kaart keylogger is je pc steekt, is er wel meer aan de hand denk ik dan wat malware

Yalopa @catfish • 5 maart 2007 12:09

Maar als men een foutje vind in een driver van een pcikaart die directe toegang heeft dan hoef je helemaal geen extra hardware te plaatsen..

stumperd @Yalopa • 5 maart 2007 12:11

Waarom zou je voor een kaart met directe toegang een driver gebruiken? Als de kaart directe toegang tot het geheugen heeft is er helemaal geen interactie met het os voor nodig.

TD-er

@Yalopa • 5 maart 2007 12:16

en hoe geeft die kaart dan weer dat er iets niet goed is?
Een sirene en knipperende lampjes zijn niet altijd de meest ideale oplossing

stumperd @Yalopa • 5 maart 2007 14:00

Die kaart kan een ethernet interface hebben en een snmp trap afgeven als er een probleem word geconstateerd.

TheCapK @Bor • 5 maart 2007 14:55

Het gaat hier wel over speciale kaarten die alleen maar zijn om het systeem uit te lezen en niet een kaart die Piet of Klaas even bij de computerboer op de hoek gaan halen.

Een maat van mij heeft zelf zijn computerbedrijfje waar hij PC's samenstelt en assembleert uit lossen componenten op basis van de wensen van de klant. Hij maakt gebruik van een insteekkaart, van een paar duizend euro, om hardwarematig alles te controleren voordat hij er software opzet. Zo weet hij dat alles werkt als hij een PC aflevert.

Ik denk dat je hier aan een vergelijkbaar iets moet denken.

Olaf van der Spek @Bor • 5 maart 2007 11:37

En op dat moment is de data nergens meer veilig en kan de veiligheid ook niet meer met een beveiliginsapplicatie gegarandeerd worden.

Als jouw hardware niet beveiligd is (tegen fysieke inbraak enzo), dan is je systeem toch al niet veilig. Daar veranderd niks aan.

Verwijderd 5 maart 2007 11:12

'Moederbordfabrikanten moeten nadenken over het mogelijk maken van directe - en dan ook echt directe - toegang tot het RAM-geheugen, en wellicht ook tot een aantal andere kritieke zaken zoals cpu-systeemregisters en caches'.

Wat moet ik me hier bij voorstellen? Alles is toch al (direct) aangesloten aan elkaar?

ajhaverkamp @Verwijderd • 5 maart 2007 11:18

Windows NT, 2000, XP, Server 2003, Vista gebruiken een HAL (Hardware Abstraction Layer). Software mag dus niet rechtstreeks de hardware benaderen. Dit moet via het OS. Hierdoor is het systeem veel stabieler. Twee programma's kunnen hierdoor niet tegelijkertijd dezelfde resource aanspreken, het OS regelt dit.
Als het OS echter gemanipuleert wordt, via een rootkit, is er op direct hardware niveau niks aan te doen.

Wellicht wil ze weer terug naar Windows 9x?

Dutch_Razor @ajhaverkamp • 5 maart 2007 16:33

Ik neem aan dat ze een soort micro-pc in een pc wil zetten die alleen een virusscanner/anti-malware draait. Niet eens zo'n gek idee.

Madthijs @Verwijderd • 5 maart 2007 11:19

Voor zover ik weet kan een PCI kaart niet direct praten met het geheugen... Dat gaat altijd via een (geheugen)controller en schijnbaar is die dus voor de gek te houden via software(volgens deze mevrouw)...

@reactie hierboven: Is dat waar? Moet alle hardware via software met elkaar praten? Ik weet het niet hoor, maar het lijkt me dat bijv. bij het opstarten (bios) ook direct wordt gecommuniceerd (zonder tussenkomst van Windows, maar misschien is dan dus in software geregeld in het bios en dan is het alsnog indirect via software)

Olaf van der Spek @Madthijs • 5 maart 2007 11:33

Dat gaat altijd via een (geheugen)controller en schijnbaar is die dus voor de gek te houden via software(volgens deze mevrouw)...

Het is de CPU die de geheugencontroller programmeerd en zo bepaald tot welke delen van het geheugen een randapparaat toegang heeft. Het voordeel hiervan is dat een 'slecht' randapparaat geen schade kan toebrengen aan de rest van het systeem.

Moet alle hardware via software met elkaar praten?

Software is 'slechts' de code die uitgevoerd wordt door (onder andere) de CPU.

Silent7 @Madthijs • 5 maart 2007 11:38

BIOS = Basic Input/Output System of Basic Integrated Operating System
(http://en.wikipedia.org/wiki/BIOS)

tser @Verwijderd • 5 maart 2007 11:27

Een extra interface voor bijvoorbeeld digitaal forensische onderzoek, zodat de volgende keer als er een gevalletje van bouwfraude is en er een draaiend systeem wordt aangetroffen het interne geheugen echt vlekkeloos gekopieerd kan worden....

Zodat de aangetroffen informatie als bewijs opgevoerd kan worden.

Timfonie 5 maart 2007 12:44

{Off-topic}
Eindelijk! Een vooroordeel wordt hier ongedaan gemaakt. In de diepste diepte van de IT-wereld lopen dus ook hele mooie vrouwen rond.

Jaco69 @Timfonie • 5 maart 2007 15:05

Vast wel... Maar deze lijkt op Micheal Jackson!

Ne0fr0g @Jaco69 • 5 maart 2007 16:06

nooit alleen afgaan op je eerste indruk

kijk hier maar

TD-er

5 maart 2007 12:22

Als een hardware oplossing direct, dus buiten het OS om, het geheugen moet kunnen bekijken, dan moet je toch ook de data in het geheugen kunnen interpreteren. Kortom als je een OS gebruikt wat de toewijzing van variabelen en executie-code op een niet standaard plek neerzet, om de toepasbaarheid van buffer-overflows tegen te gaan, dan moet die kaart dat ook snappen.
Verder moet die kaart dan ook nog het geheugen in de gaten houden en werkt dat nog steeds wanneer je heel snel nieuwe threads start die telken maar heel kort draaien en dan weer vernietigd worden? Het doorgeven van een nieuwe thread en de geheugen-info daarvan heeft namelijk last van een (lage) latency en loopt dus altijd achter de feiten aan, of de machine gaat er veel langzamer van worden.

jcvw 5 maart 2007 12:39

Joanna Rutkowska geeft op de NLUUG voorjaarsconferentie op 10 mei in Ede de keynote speech...

Voor NLUUG student-leden is de toegang gratis (hele dag, incl lunch). Voor studenten (niet NLUUG-lid) is de toegang EUR 26 (hele dag, incl lunch).

Het abstract van haar keynote:

Virtualization - The Other Side of the Coin
Joanna Rutkowska
COSEINC

The idea behind Blue Pill is simple: your operating system swallows the Blue Pill and it awakes inside the Matrix controlled by the ultra thin Blue Pill hypervisor. This all happens on-the-fly (i.e. without restarting the system) and there is no performance penalty and all the devices, like graphics card, are fully accessible to the operating system, which is now executing inside virtual machine. This is possible thanks to the latest virtualization technology from AMD called SVM/Pacifica.

The presentation will present the idea and details of Blue Pill implementation as well as some thoughts about defense against such virtualization based malware.

Verwijderd 5 maart 2007 13:31

Bizar dat je met zó weinig code stukken systeemgeheugen voor een apparaat op de PCI-bus onzichtbaar kunt maken. Aan de andere kant, die bus is bij mijn (leken)weten ook nooit ontworpen met als doel een robuuste en veilige pathway naar het systeemgeheugen te creëren.

arjankoole @Verwijderd • 5 maart 2007 20:31

Aan de andere kant, die bus is bij mijn (leken)weten ook nooit ontworpen met als doel een robuuste en veilige pathway naar het systeemgeheugen te creëren.

klopt, als het over een wire gaat (of door de lucht natuurlijk), is het te sniffen. (tenzij je ook daar quantum crypto gaat gebruiken - unlikely)

fryelectro 5 maart 2007 11:29

moest het haar in de security niet meer lukken, hier een vacature voor kuisvrouw

Verwijderd 5 maart 2007 13:01

Als ik het goed begrijp is het probleem dat ze beschrijven dat, terwijl een OS runt, malware kan detecteren dat een geheugen-check (software of hardware matig) wordt uitgevoerd.

Een simpele ( ? ) manier daar omheen zou via een boot disk geheugen checks te starten, zodat het (mogelijk onbetrouwbare) OS niet runt, en de verkregen gegevens dus betrouwbaar zijn. Niks nodig van verandering van hardware
(Maar helaas wel te ingewikkeld voor de grote meerderheid aan particuliere computergebruikers)

thegve @Verwijderd • 5 maart 2007 20:01

Ik denk dat er niet veel bijzonders meer in het geheugen staat ook na een reboot

.... Veel malware doet zijn werk door geintjes uit te halen met het geheugen, uitlezen of aanpassen van geheugenwaardes van andere software... Een rootkit gebruikt ook geheugen, maar zal dit proberen te verbergen voor het OS. Een hardwarematige scanner zou dit moeten kunnen controleren, maar dat kan omzeilt worden dus volgens deze mevrouw.
RAM is leeg na een reboot....

KingNothing 5 maart 2007 13:17

Lekker ding

Verwijderd 5 maart 2007 17:01

'Dat moet wellicht veranderen, zodat computersystemen verifieerbaar correct werken',

Als mijn neus mij niet bedriegt ruik ik totale controle over jouw machine en heeft weinig tot niets te maken met virussen, malware etc etc.

Op dit item kan niet meer gereageerd worden.

'Hardwarematige rootkitdetectie onbetrouwbaar'

Lees meer

IT-banen

Reacties (30)

Sorteer op:

Weergave: