Rutkowska geeft kraakles aan professionele Vista-hackers

Joanna Rutkowska, een Poolse securityonderzoeker, zal tijdens de Black Hat Briefings van 28 juli tot en met 2 augustus een sessie leiden waarin ze ingaat op manieren om veiligheidsfuncties, zoals de BitLocker-encryptie, in Windows Vista te omzeilen.

Joanna Rutkowska op de BlackHat-conferentie In het verleden heeft Rutkowska al meerdere malen gaten ontdekt in enkele van de nieuwe veiligheidsfunctionaliteiten in Windows Vista en eerdere Windows-releases. Zo moest eerder de User Account Control-feature het al ontgelden en presenteerde ze al eens rootkits die zelfs niet door hardwarematige detectie ontdekt kunnen worden. In haar lezing tijdens de Black Hat Briefings zal Rutkowska een aantal aanvallen op de kernel van de 64bit-editie van Windows Vista demonstreren en zal ze laten zien hoe de BitLocker-techniek, waarmee de inhoud van een volledige harde schijf versleuteld kan worden, omzeild kan worden. Onder de titel 'Understanding Stealth Malware' zal Rutkowska aan een select gezelschap van professionele hackers, forensisch onderzoekers en ontwikkelaars van besturingssystemen haar verhaal vertellen. Via haar weblog heeft de Poolse onderzoeker aangegeven dat ze discretie belangrijk vindt en dat niet iedere bezoeker van de Black Hat Briefings haar sessie zal mogen bezoeken.

Reacties (61)

fevenhuis 2 mei 2007 00:33

Inschrijving voor een uitnodiging geschiedt door het desbetreffende formulier op de HD van Mevr. Rutkowska in te vullen .'=/

Verwijderd @fevenhuis • 2 mei 2007 07:47

Dan heb je die les niet meer nodig

Damic @Verwijderd • 2 mei 2007 13:51

Tis op de standard windows (xp) pc van mevr

MahRain @fevenhuis • 2 mei 2007 09:41

Ik kan me niet voorstellen dat zij Windows gebruikt

jopiek @MahRain • 2 mei 2007 09:46

niet professioneel, ws. alleen als hobby

Maar goed het bevestigd mijn Windows vooroordelen weer eens. Op nieuwe werk hebben we ook alleen Windows, maar goed als docent Advanced programming kan ik misschien de blik van vele studenten verbreden...

Nik 2 mei 2007 00:36

Georganiseerde criminaliteit dus. Sinds wanneer wordt dat gedoogd? Ik wil helemaal niet de moraalridder uithangen, maar als ík vandaag besluit om een cursus "hoe steel ik een auto, en omzijl ik de bewaking*" ga geven, weet ik zeker dat ik niet lang mee vrij rond loop (alhoewel in Nederland, daar kom ik er natuurlijk weer vanaf met één of andere domme taakstraf, waar ik vervroegd mee mag stoppen).

Dit is toch eigenlijk te gek voor woorden? Waarom kan dit zomaar?

* of enig ander soort van cursus op grijs- of zwart gebied

Luppie @Nik • 2 mei 2007 00:41

Ethical hacking wordt niet gedoogd, maar is gewoon legaal. Het omzeilen van beveiliging is wat anders dan het 'kraken'van beveiliging. Ook wordt juist door dit soort mensen nogmaals duidelijk gemaakt wat er allemaal evt. nog opgelost moet worden aan security-bugs aan div. OS'en.

fevenhuis @Luppie • 2 mei 2007 01:58

I claim ethical immunity and claim silence under the fifth patent and expect a diplomatic response due to my ethnical background and my wheelbound grandma and an adolescent childhood resulting in my unknowing the consequences of my actions and it's my legally claimed job.

Vertaling:
Ik beroep mij om ethische redenen op immuniteit en berust mij stilaan op het vijfde patent en verwacht een diplomatieke reactie om mijn ethnische achtergrond en mijn wielgebonden grootmoeder en een puberale opvoeding zodat ik niet beter weet en omdat het mijn legale arbeidsopgave is.

m_w_mol @fevenhuis • 2 mei 2007 08:28

[thesaurus mode]
Als je dan toch grappig wilt zijn, doe het dan goed: het is "fifth AMENDMENT" [/thesaurus mode]

Verwijderd @fevenhuis • 2 mei 2007 10:03

@ m_w_mol

Volgens mij is 'patent' juist sarcastisch bedoeld...? (Zoals de hele tekst, overigens.)

martijnve @Nik • 2 mei 2007 01:00

Zo'n cursus mag je geven, niets illegaals aan.

alienfruit @martijnve • 2 mei 2007 01:21

Nou waarom kreeg ik dan een leger advocaten op mij toen ik een artikel wilde publiceren over de problematiek van een niet nader te noemen software beveiliging?

Aaargh! @alienfruit • 2 mei 2007 08:49

Nou waarom kreeg ik dan een leger advocaten op mij toen ik een artikel wilde publiceren over de problematiek van een niet nader te noemen software beveiliging?

Als een bedrijf het niet fijn vind dat je zoiets publiceerd over hun software, dan kunnen ze idd. een leger advocaten op je af sturen. Dat wil niet zeggen dat die advocaten een poot hebben om op te staan maar meestal is het voldoende om te dreigen.

ATS @alienfruit • 2 mei 2007 09:12

Zolang het de politie niet is heb je op strafrechtelijk gebied weinig te vrezen zou ik zeggen. Dit soort cursussen zijn gewoon legaal, in elk geval in NL. Je kan ook gewoon een cursus lockpicking doen in als je dat leuk vind (wordt gegeven in Amsterdam). Gebruik maken van die vaardigheden om in te breken mag natuurlijk niet, maar dat wil niet zeggen dat je de vaardigheid niet mag hebben of opdoen.

Confusion @alienfruit • 2 mei 2007 21:08

Omdat sommige mensen je graag willen doen geloven dat het illegaal is en ze daar ook mee weg zijn gekomen?

Verwijderd @Nik • 2 mei 2007 00:39

Georganiseerde criminaliteit dus. Sinds wanneer wordt dat gedoogd?

Hoezo

Dit lijkt me toch puur voor eigen info-doelen only... net zoals wat er op de meeste sites met exploits en dergelijk staat "For own information purposes only".

Grannd @Verwijderd • 2 mei 2007 01:38

Hoezo Dit lijkt me toch puur voor eigen info-doelen only... net zoals wat er op de meeste sites met exploits en dergelijk staat "For own information purposes only".

Net zoals dat er op al die warez sites staat: 'only download if you own the original.'

onox @Grannd • 2 mei 2007 09:16

Yup, kun je ten minste nog eens RA2 onder Linux spelen, want met de standaard .exe gaat dat niet

Rey Nemaattori @Grannd • 2 mei 2007 12:09

Alleen ik het kopieren van software verboden, al had je een heel pallet in huis aan legale versies

bij audio&video is't een ander verhaal...

D-Three @Nik • 2 mei 2007 00:47

Je hebt niet goed gelezen:

Onder de titel 'Understanding Stealth Malware' zal Rutkowska aan een select gezelschap van professionele hackers, forensisch onderzoekers en ontwikkelaars van besturingssystemen haar verhaal vertellen. Via haar weblog heeft de Poolse onderzoeker aangegeven dat ze discretie belangrijk vindt en dat niet iedere bezoeker van de Black Hat Briefings haar sessie zal mogen bezoeken.

Mocht je nog niet begrijpen wat er bedoeld wordt, maakt een quote uit het originele artikel misschien meer duidelijk:

Rutkowska said she, too, is aware of the need for discretion. "For ethical reasons we want to limit the availability of this course to only 'legitimate' companies," she said in a post on her blog, Invisible Things.

Zoals in de titel al gezegd wordt, gaat het om professionele hackers. Een simpel voorbeeld; dit zijn onder andere personen die in dienst zijn van politie om in te breken in de beveiligde PC's van criminelen.

Mentalist @Nik • 2 mei 2007 01:56

Georganiseerde criminaliteit dus. Sinds wanneer wordt dat gedoogd?

Pfff, hier doen ze het tenminste nog in een afgesloten ruimte. In de UK doen ze het op de publieke televisie. En ik ben blij dat dat niet verboden is, The Real Hustle rockt

Verwijderd @Nik • 2 mei 2007 11:35

Dit is toch eigenlijk te gek voor woorden? Waarom kan dit zomaar?

Ik heb ooit een keer mijzelf buiten de auto van mijn ouders gesloten, die op 50 km afstand woonden van waar ik mij toen bevond. Het was 11 uur 's avonds. Had de Wegenwacht toen moeten zeggen: 'Sorry meneer, maar wij maken de auto niet voor u open, want dat vereist kennis die wij niet legaal mogen opdoen'?

Ik stel voor dat je grote woorden als 'georganiseerde criminaliteit' bewaart voor zaken die met mafia of drugshandel te maken hebben.

Verwijderd @Nik • 2 mei 2007 08:52

maar als ík vandaag besluit om een cursus "hoe steel ik een auto, en omzijl ik de bewaking*" ga geven, weet ik zeker dat ik niet lang mee vrij rond loop

Op Geenstijl heeft een tijd geleden een lijst gestaan met 10 tips hoe effectief winkeldiefstal te plegen zonder gepakt te worden. Daar kwam wel protest op, maar geen juridische actie.

Informatie geven mag. Hooguit zal men in het huidige hysterische klimaat iemand aanpakken die uitlegt hoe je explosieven moet maken.

4play @Nik • 2 mei 2007 10:28

Staat in het bericht. Profecionele hackers zijn ook de nerds van de politie die gelockte laptopst kraken om daar gegevens af te halen en mensen van speciale bedrijven die kwijtgeraakte data kunnen recoveren.

Niet alle hackers zijn slecht en gemeen er zijn situaties waar je echt een hacker nodig hebt om data te krijgen.

Verwijderd @Nik • 2 mei 2007 12:41

Dat is niet waar. Elk jaar houdt de Fietserbond een demonstratie voor aankomende studenten "zo worden fietsen gestolen", met een erkende dief als demonstrator.

Is nog nooit iemand om gearresteerd.

Scorpion1984 @Nik • 2 mei 2007 07:38

Lijkt mij geen georganiseerde criminaliteit: De mensen die het bijwonen gebruiken het alleen voor goede dingen. Forensisch onderzoekers hebben het nodig voor het oplossen van een zaak (moord, doodslag, afpersing, enz), os-ontwikkelaars kunnen het gebruiken voor de verbetering van hun beveiliging, en professionele hackers kunnen het gebruiken om te kijken of het bedrijf waarvoor ze werken wel goed beveiligd is.

gumkop 2 mei 2007 08:56

Mbt bitlocker neem ik aan dat het alleen gaat om de variant dat je gebruik maakt van de TPM chip en alleen een pincode nodig hebt (en deze waarschijnlijk omzeilt gaat worden)? Als je geen TMP chip hebt staat de key op een USB stick en dan ben ik toch echt wel heel erg benieuwd hoe ze dat wil omzeilen ...

OpenMinded @gumkop • 2 mei 2007 09:52

dan moet je naar de sessie gaan

jcvw 2 mei 2007 09:10

En tijdens de NLUUG voorjaarsconferentie rond het thema virtualisatie is ze de keynote spreker: "Virtualization - The Other Side of the Coin". Voor een overzicht: de NLUUG site. Voor studenten is de toegang EUR 26 voor de hele dag, inclusief lunch. Voor NLUUG student-leden is de toegang gratis, inclusief lunch (wel even aanmelden ivm badge en conferentiemateriaal).

Haar abstract: The idea behind Blue Pill is simple: your operating system swallows the Blue Pill and it awakes inside the Matrix controlled by the ultra thin Blue Pill hypervisor. This all happens on-the-fly (i.e. without restarting the system) and there is no performance penalty and all the devices, like graphics card, are fully accessible to the operating system, which is now executing inside virtual machine. This is possible thanks to the latest virtualization technology from AMD called SVM/Pacifica.

The presentation will present the idea and details of Blue Pill implementation as well as some thoughts about defense against such virtualization based malware.

prostar @jcvw • 2 mei 2007 10:17

Haar Blue Pill idee is simpel, maar als je er iets verder op ingaat zijn er toch een aantal randvoorwaarden:
- Blue Pill is enkel mogelijk op een PC met Pacifica (of Intel VT extensies)
- Pacifica mag niet uitgeschakeld zijn in de BIOS
- Er mag nog geen virtualizatie draaien op de PC

In situaties waar men dus al virtualisatie op het systeem draait of waar men de functie uitgeschakeld heeft in de BIOS (omdat men het niet gebruikt) werkt het principe van Blue Pill niet.

Verwijderd 2 mei 2007 10:19

Even concreet dit:

Mocht je Vista willen dan hoeft niets je tegen te houden, zelfs haar bericht niet. Waarom?

Download dotnet en Vlite en strip Vista van Defender en UAC. Installeer je eigen vertrouwde programm's in Vista zoals je virusscanner en firewall. Gebruik het netzoals XP. Strip het en customize het, dat is het geheim van nooit besmet zijn zoals ik.
Ga reviews af en scan elk verdacht bestand met Jotti, maak van Jotti een favorit van en maak de gewoonte alles te lezen en te snappen en dat mag als tweaker geen punt zijn en hier is geld geen issue want er zijn prima vero freeware scanners op de markt. Dan nog je verstand erbij en ik denk dat Vista wel door de beugel kan. Ik denk..want dit is een moeilijk en heikel onderwerp

Fiander @Verwijderd • 2 mei 2007 11:03

wel jammer dat als je jou richtlijnen aanhoud, je slechts 10% gedaan krijgt van wat je anders zou kunnen doen.

raphidae @Verwijderd • 2 mei 2007 18:49

Sorry hoor, maar in de 17 jaar dat ik met computers bezig ben heb ik nog nooit een virusscanner geinstalleerd en altijd alle standaard beveiligingsmeuk uitgezet. En nog nooit een trojan gehad oid.

Gewoon weten waar je op klikt en de updates op tijd erop gooien.

Personal firewalls zijn wel het ergste wat de veiligheid van computers kon overkomen, want je hebt er geen reet aan. Behalve dan dat jan de boerenlul in paniek raakt omdat er allemaal warnings verschijnen als iemand een poortscan doet.

Virusscanners iets minder, maar over het algemeen richt een nieuwe trojan de meeste schade aan voordat er defs voor gemaakt zijn, en daarnaast pakken de meeste sowieso hoogstens 80%.

Als ik een bestand binnenkrijg wat ik niet helemaal vertrouw dan gaat de debugger erop en weet ik precies wat het wel of niet doet.

plakbandrol 2 mei 2007 00:37

Als ik MS was zou ik zorgen dat ze dit soort figuren in dienst worden genomen.

CherandarGuard @plakbandrol • 2 mei 2007 00:53

Als 'die figuren' daar zin in hebben ja.

jjkewl @plakbandrol • 2 mei 2007 10:16

Ik zou niet willen dat een werkgever de bugs die ik vind stil houdt. Want vaak is dat de goedkoopste weg voor ze.

fevenhuis @plakbandrol • 2 mei 2007 00:58

Of dat echt zo slim zal zijn ....

In hoeverre wil je mensen die al zoveel met je spulletjes kunnen rommelen nog meer met je spulletjes laten rommelen door ze je huissleutel ook nog even te geven.

Vaak is het zo dat men niet voor altijdt bij één bedrijf werkt, dan kan de aanvankelijke meerwaarde verkregen bij het zo iemand in dienst nemen toch al snel weer in een minderwaarde veranderen.

fsfikke @fevenhuis • 2 mei 2007 07:13

Dit gebeurd zo vaak?
Bij welk anti virus bedrijf werkt tegenwoordig geen voormalige hacker? Dat is juist goed voor een bedrijf. Ze moeten mensen natuurlijk niet een contract aanbieden met als functieomschrijving: 'Hier is de source code van Vista, ga je gang, doe wat je wilt, en als je iets vind, post het vooral overal op het net'
Je moet juist samenwerken, dat kan door ze in dienst te nemen, zij is goed in dit soort dingen dus daar heb je wat aan, als zij even flink kan wroeten in Windows kan Microsoft alle problemen die ze vind oplossen.

Verwijderd @fevenhuis • 2 mei 2007 09:26

Je hebt in ieder geval meer zekerheid dat die mensen dan aan juiste kant van de lijn goed/slecht werken. Je voorkomt dat dit soort mensen door trage respons van MS proof of concept zaken publiceren om MS te dwingen problemen aan te pakken terwijl tussen de publicatie en patch er een behoorlijk vulnerability periode ligt.

Als dit soort mensen de gelegenheid wordt gegeven om te hacken te documenteren en te adviseren voor patching hoeven wij niet te wachten totdat een of andere mobster het gebruikt voor een keylogger/botnetclient bij ons installeert eer dat het probleem wordt aangepakt en de schade reeds gedaan is.

Tha_Butcha 2 mei 2007 02:14

Nou waarom kreeg ik dan een leger advocaten op mij toen ik een artikel wilde publiceren over de problematiek van een niet nader te noemen software beveiliging

Ooit gehoord van FUD?

MahRain @Tha_Butcha • 2 mei 2007 09:42

FUD is meer richting consumenten, zoals lui die roepen "Mac OS X is net zo onveilig als Windows!", ik vind jouw citaat meer intimidatie.

scsirob @MahRain • 2 mei 2007 09:58

Roepen dat 'X beter dan Y' is, is geen FUD maar reclame.

FUD is het inspelen op angsten. De CFO van een bedrijf is heel gevoelig voor zaken als "Goh, als u Linux gaat gebruiken en uw OpenOffice legal document blijkt niet goed leesbaar, gaan die nerds u dan ook helpen?"

Of: "Weet u wel heel zeker dat uw volgende revisie server hardware ook door Linux ondersteunt wordt?"

Of: "Ik heb gehoord dat bedrijf XYZ op omvallen staat, kunnen ze over drie jaar nog wel service bieden?"