Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 177 reacties

Beveiligingsonderzoekers hebben een lek in Windows 7 gevonden dat kan worden gebruikt om een systeem met dit besturingssysteem over te nemen. De kwetsbaarheid zou niet door Microsoft verholpen kunnen worden.

Beveiligingexperts Vipin en Nitin Kumar demonstreerden een proof-of-concept van de exploit tijdens The Box Security Conference in Dubai, schrijft Networkworld. Ze lieten zien hoe ze met de door hun geschreven code, VBootkit 2.0 genaamd, een virtuele Windows 7-machine tijdens het booten konden overnemen. "Repareren kan niet, het is een ontwerpfout", beweerde Vipin Kumar. VBootkit 2.0 zou gebruikmaken van het feit dat de Windows 7-ontwerpers ervan zijn uitgegaan dat Windows 7 tijdens de bootprocedure niet voor een aanval vatbaar is.

Dat uitgangspunt klopt gedeeltelijk en de impact van de exploit is daarom beperkt: een aanvaller moet namelijk fysiek toegang hebben tot de machine die hij wil overnemen, en na een reboot verliest hij de controle over het systeem. VBootkit 2.0 wijzigt de Windows 7-bestanden die tijdens het booten in het systeemgeheugen geladen worden; de code laat de bestanden op de harde schijf echter met rust. Hoewel de data in het systeemgeheugen bij een reboot wordt verwijderd, betekent het feit dat VBoot hier plaatsneemt ook dat de code moeilijk te detecteren is.

VBoot stelt een aanvaller na een geslaagde overname in staat om het systeem op afstand te beheren, zich meer rechten toe te kennen en een gebruikerswachtwoord te verwijderen. De code kan er ook voor zorgen dat het wachtwoord na een reboot weer hersteld wordt, zodat de hack moeilijk te detecteren is. De beveiligingsonderzoekers toonden overigens al in 2007 tijdens de Europese Black Hat-conferentie een vroege versie van VBoot, die Windows Vista-systemen kon overnemen.

Moderatie-faq Wijzig weergave

Reacties (177)

1 2 3 ... 7
(waarde)Loze dreiging. Een kwaadwillend persoon moet dus gewoon fisieke toegang hebben. Onzin dus. Volgens mij is dit alleen maar een teken dat windows 7 een vooruitgang gaat worden op gebied van beveiliging, want blijkbaar konden ze nog niet iets ernstigers vinden.

Bovendien is elke bug te fixen.

Ik vind het jammer dat tweakers af en toe dit soort artikelen plaatst. Het heeft nauwelijk nieuwswaarde maar helpt vooral de "fame" van die zogenaamde onderzoekers op te krikken.

[Reactie gewijzigd door ravenamp op 25 april 2009 10:41]

Hoeveel mensen hebben niet daadwerkelijk fysiek toegang tot een PC, of heb je daar niet bij stil gestaan ? En als zo een PC aan het net hangt, 24/7 draait dan is het dus ook mogelijk om daar vandaan het netwerk te infiltreren zonder dat men iets ontdekt, pas voor dat het te laat is.

Wil Win7 doordringen tot het kantoor gebeuren dan zullen ze snel met een fix moeten komen anders komt het er gewoon niet op te staan. Fraude en bedrijfspionage word nog steeds hevig onderschat onder de lezers hier en dat aantal gevallen ligt velen malen hoger dan dat men dat misschien wel zou denken.

Bottom line, er zijn veel bedrijven waarvan de PC aan het net hangt en daarbij zeker overheidsinstellingen en dat baart mij best wel zorgen want diefstal en het openleggen van de privacy gegevens word ik per saldo niet vrolijker van, zeker niet als je bedenkt dat steeds meer werkgevers gebruik maken van het internet om personeel nog een tandje verder dan gewenst doorlichten met alle gevolgen van dien.

Voor een thuisgebruiker zal het weinig effect hebben, wij booten gemiddeld meer dan het doorsnee kantoor personeel. We gaan het zien, ik vind dit bericht geen stemmingsmakerij maar verdiend gewoon wat meer aandacht. Word tijd dat de crew eens wat gaat testen en hier uitslag over doet, sterker nog, mocht het daadwerkelijk zo "gevaarlijk" zijn dan zou ik een EU verbod nog niet eens zo gek vinden, totdat MS het op lost :)
Maar wacht even, waarom werkt dit niet bij linux, ouder versies van windows, etc?

Want ik zou niet in zien waarom dit niet zou werken bij andere OS'en, zoals Linux of MacOS, etc.

Sterker nog, als je fysieke toegang hebt tot een computer waar je een CD kan laten booten, kan je vaak al wachtwoorden lezen, etc. Linux zou je dan het wachtwoord van de root user kunnen resetten:
http://www.linuxforums.or...r-root-user-password.html

Dus deze 'hack' is een beetje bullshit.
Hoeft het niet eens te resetten OPHcrack leest wachtwoord gewoon uit van XP of Vista machine (lokale gebruikers). Ook al zoiets.

Vindt beetje onzin wat die onderzoekers zeggen.
Hmmm, gevoelig puntje. Met de opkomst van virtualisatie kunnen dergelijke hacks misschien wel meer en meer opkomen. Als je op een of andere manier toegang kan krijgen tot een hypervisor machine, kan je op deze manier rechten krijgen op alle virtuele machines die gestart worden.

In de toekomst, wanneer er full hardware hypervisors zullen zijn en elk OS virtueel zal draaien (stel je voor een soort van alt-tab naar een ander besturingsysteem die ook volledig native draait) kan dit misschien voor grotere problemen zorgen, aangezien hardwarematige hypervisors misschien ook kwetsbaar kunnen zijn.
Met fysieke toegang is vrijwel elk systeem over te nemen.
Inderdaad, dan pak je toch gewoon je repairdisk reset je het adminwachtwoord en log je gewoon in, wat een onzin hack en heerlijk overdreven kop, ik snap sowieso niet waarom MS nu weer in zo'n kwaad daglicht gezet moet worden voor zo'n onhandige, onlogische neppe hack.

Edit: sterker nog, om deze hack te doen moet je ook nog het bios wachtwoord weten: of de pc moet ingesteld staan dat hij kan booten van cd of usb stick. Een normaal ingestelde publieke pc staat zo ingesteld dat hij alleen vanaf de hardeschijf kan booten en zul je dus tenzij je het bios wachtwoord weet never nooit deze hack kunnen uitvoeren, wat de waarde van de hack nog minder (eigenlijk 0) maakt.

Lekkere heisa!

[Reactie gewijzigd door roy-t op 24 april 2009 13:58]

toch wil ik mijn volgende gedachte niet negeren:

De hack is gedemonstreerd met een virtuele installatie van WIndows7. In hoevere zijn de andere OS-en hier vatbaar voor (server 2008) want dan zou ik met toegang tot de hypervisor deze exploit altijd kunnen uitvoeren op alle virtuele servers op de fysieke server...

ik zie wel mogelijkheden...
Bovendien stellen BIOS-wachtwoorden ook niet erg veel voor..
Hoezo stellen BIOS-wachtwoorden niet veel voor? Jij hebt een magische manier om er omheen te komen?

Buiten een BIOS reset waardoor je fysiek toegang moet hebben niet alleen tot de PC maar zelfs tot de binnenkant van de PC. Het lijkt me toch enigsinds opvallen als je een PC open staat te schroeven.

En als je dan toch de PC open schroeft kun je ook direct bij de HDD, daar heb je dan meestal veel meer aan.

Er bestaat geen veilig OS als de aanvaller fysiek toegang heeft tot de hardware en dat zal er ook nooit komen.
De meeste BIOS hebben ook een master password ingebouwd. Dus gewoon even in de lijstjes zoeken die online te vinden zijn en je hebt de user zijn wachtwoord voor BIOS niet nodig.

En past ook terug in het scenario waarbij er geen spoor nablijft aangezien je na het booten naar windows met software gewoon de boot volgorde terugzet.
Masterpassword is iets ouds dat tegenwoordig bij de betere fabrikanten niet meer toegepast wordt.

Bij systemen met een TPM is het met solderen of helemaal niet meer mogelijk.

De enige manier om je systeem fatsoenlijk te beveiligen als mensen toegang hebben tot de ruimte waar jouw server staat (denk aan datacenters) is door alle alternatieve boot opties uit te schakelen. Dus geen boot van CD/DVD, USB enz toestaan.
Als het bios dan netjes dicht gezet wordt met wachtwoorden is het toch wel behoorlijk moeilijk gemaakt om even snel een systeempje te kraken zonder dat het opvalt.

Het resetten van wachtwoorden was al een behoorlijke tijd mogelijk met behulp van een linux cd.

Het beste is natuurlijk nog altijd zorgen dat maar een heel select groepje fysiek bij de servers kan of met toegangsregistratie. Dan valt toch al wat makkelijker te traceren wie de schuldige zou kunnen zijn in geval van problemen

Bij ons zijn er maar 4 mensen die fysiek bij de aparatuur kunnen komen. Aangezien de servers alleen vanaf een bepaald medium op mogen starten en de biossen gelockt zijn wordt het toch al knap moeilijk.
Ik kan anders niet meer in mijn bios van de laptop (ja stom). Dat heet stringent security oid wat ik inderdaad aan heb gezet... Heb genoeg gezocht om te weten dat het echt jammer maar helaas is (of nieuw moederbord).

[Reactie gewijzigd door Rinzwind op 24 april 2009 15:39]

Ook zoiets valt meestal op te lossen door het batterijtje los te koppelen, al is dat bij een laptop vaak net iets lastiger.
Nier als er een TPM chip op zit. Die BIOSsen zijn zeer moeilijk kraakbaar. Je kunt wel instructies vinden op Internet maar daar zit altijd solderen bij.
@Xenan
Nou, heel erg handig dan zo'n TPM chip...
Voor een thuis computer heb ik liever iets wat altijd nog terug te zetten is. Dat het voor servers ofzo handig kan zijn ok, maar niet meer in de bios van je laptop kunnen komen, kan er vervelend zijn.

foutje met replyen...

[Reactie gewijzigd door Balachmar op 25 april 2009 12:22]

dat is niet helemaal waar... je kan ze uitlezen met een xbox eeprom lezer zonder solderen of pin 6 en7 kortsluiten van de eeprom.. het enige nadeel is dat je sommige uit elkaar moet schroeven.
Dat werkt al een hele poos niet meer.

De meeste business laptops gebruiken een apart geheugen voor het BIOS wachtwoord dat alleen via instructies via het toetsenbord is te resetten.

Dus het bios wachtwoord zit niet in het BIOS instellingen geheugen waardoor de batterij loskoppelen niet werkt en een jumper op het moederbord niet werkt.

HP had dit systeem al in laptops zitten met een Pentium 133 er in. Oftewel jaaaaaaaaaaaaren geleden. Dat waren o.a. de Omnibook 2000 en 5700.
Den kje dat ik dat niet geprobeerd heb... Dat is het eerste waar je aan denkt. En soldeerinstructies kon ik niet vinden (en begin ik ook niet aan :))

[Reactie gewijzigd door Rinzwind op 24 april 2009 16:08]

Dat valt nog vaak erg mee. Ik heb zelf laatst een Dell laptop onder handen gehad (samengesteld uit een aantal defecte exemplaren waar geen geschiedenis van bekend was) en daar laat zich het wachtwoord toch echt wel van resetten/kraken. Bij desktop computers en servers is dat vaak nog wat simpeler. Fysieke toegang is niet per definitie nodig.
"De meeste BIOS hebben ook een master password ingebouwd."

Maak daar maar van: "Heel heel heel soms had een bepaald type moederbord in het verleden een master password ingebouwd"
in de jaren 80 wel ja :+
Ja dat waren mooie tijden :) toen werkte de debug truc ook nog:
debug.exe <enter>
o 70 17 <enter>
o 71 17 <enter>
q<enter>

en zo resette je ook je bios maar werk ook al niet meer sinds computers niet meer van hout zijn :)
Er bestaat geen veilig OS als de aanvaller fysiek toegang heeft tot de hardware en dat zal er ook nooit komen.
Jawel hoor, (hdd) encryptie. Ik wil nog wel eens voor belangerijke klanten een hdd of partitie waar b.v. mail op binnenkomt encrypten. Dan mag jij rustig langs komen in het datacentre, de colo openschroeven en die hdd meenemen, veel zul je er niet aan hebben. Er zijn ook systemen die encryptie op bios level toe kunnen passen m.a.w. die je hdd encrypten en decrypten. Veilig kan best, maar je moet het er wel voor over hebben.
Dan kan je hem net zo goed meenemen :S DAn ga je hem toch niet staan open te schroeven.
Niet alleen hebben BIOS master passwords zoals Rizon al aangaf, maar kan een BIOS Password heel makkelijk "gereset" worden door de batterij van het moederbord te rukken.

Deze manier mag dan wel een uurtje kosten, maar als je al fysiek toegang tot een systeem hebt dan neem ik aan dat je ook meer dan een minuut de tijd hebt om aan je data te komen.

Kortom, als geen fysieke hardware hebt die een systeem blokkeren (kan me iets van een dongle die je in je USB moet proppen om toegang te krijgen) is het vrijwel altijd mogelijk om aan de data te komen die het systeem bevat.
Niet alleen hebben BIOS master passwords zoals Rizon al aangaf, maar kan een BIOS Password heel makkelijk "gereset" worden door de batterij van het moederbord te rukken.
Een beetje bedrijf heeft een computer-kast die op slot zit.
de meeste bedrijven hebben dat dus niet. De meeste bedrijven zijn geen IT bedrijven, en derhalve is alles wat IT heet overhead. Derhalve wil men er zo min mogelijk geld aan uitgeven, omdat er geen geld mee verdiend wordt.

Grotere bedrijven: ander verhaal, maar kleine bedrijfjes zijn in de meerderheid.
Ok, dan neem je ook een boormachine mee...? Misschein lukt het met een schroevendraaier al:P
En ook die kun je heel eenvoudig door middel van een paperclip en wat simpel gereedschap openen, zonder hem stuk te maken.. Dat was een sport bij ons op school. :)

[Reactie gewijzigd door Mr_Q op 24 april 2009 17:38]

Idd, hebben ze hier bij IBM ook op slot... echter de sleutel zit achter op de kast vast naast het slot :P
Deze manier mag dan wel een uurtje kosten
Dan moet jij zeker eers 55 minuten naar een schroevendraaier zoeken? meer als 5 min heb je daar echt niet voor nodig hoor. Iemand die weet wat hij doet zelfs niet meer als 2min ;)

Verder is deze "Hack" vrij nutteloos. Als je fysieke toegang heb tot de hardware, dan kom je er bijna altijd wel in..... tenzij je met deze methode ook kan inloggen op machines die beveiligd zijn met encryptie en TPM chips... dat zou idd wel knap zijn.

[Reactie gewijzigd door pfismvg op 24 april 2009 15:22]

Heb jij een uur nodig om je PC open te schroeven en het batterijtje er af te rukken? Doe je toch iets fout :p

Als je fysiek toegang tot een systeem hebt kun je ook doodleuk een linux live cd in de tray gooien, booten en vervolgens de windows partition plunderen.. beetje een kansloze hack dit.
Nou het kan een uur duren als:

- Je thumb screws hebt die muur vast zitten.

- Je een schroevendraaier gaat zoeken in je niet opgeruimde werkschuur.

- Je er achter komt dat je alleen een platkop schroevendraaier hebt gevonden die niet past.

- Je vervolgens naar een bouwmarkt moet om een passende kruiskop te kopen.

- Je er achter komt dat de bouwmarkt geen koopavond heeft op Zondag.

- Je dan maar naar een vriend gaat om er één te lenen.

- Je er eindelijk één hebt en terug naar huis rijdt.

- Je de kast eindelijk open hebt

- Je eerst nog je 2e SLI videokaart moet verwijderen omdat die net voor de BIOS batterij zit.

- Je uiteindelijk de batterij er uit hebt en 5 minuten hebt gewacht en daarna de batterij er weer in doet.

Oke dit is worst case scenario maar zo kan het een uur duren :+

[Reactie gewijzigd door Sunbeam-tech op 24 april 2009 22:53]

Dat scenario wordt nog een beetje slechter als je er vervolgens achter komt dat 5 minuten net niet lang genoeg was.

Batterijhouder kortsluiten werkt ook wat sneller dan gaan zitten wachten
Ik weet dat ze volop bezig zijn met het ontwikkelen van versleutelingsmethodieken voor het versleutelen van harddisks en het versleutelen van al het data verkeer op het moederbord.
Er komt een tijd dat het ook met fysieke toegang tot het systeem heel erg moeilijk gaat worden.
"bezig met" : lees ff over TPM en aanverwante technieken ;)
Probeer maar eens het BIOS wachtwoord van een IBM Thinkpad te kraken.
|:(

Denk je nou echt serieus dat ik zo'n reactie plaats en nog nooit heb uitgezocht hoe je het bios wachtwoord van een thinkpad kan kraken? Kom nou toch ..

Het punt is dat een Thinkpad een aparte chip gebruikt om het wachtwoord in op te slaan. Dit is bij sommige modellen te achterhalen maar daar komt het een en ander aan soldeerwerk bij kijken. Bij anderen is het weer helemaal niet te doen. Dus wat ik met Google moet..

[Reactie gewijzigd door Glashelder op 24 april 2009 15:43]

Helemaal mee eens! De tijd van een batterijtje loshalen of een jumpertje setten is iets van het vorige millennium.

NB Heb zelf ook een Thinkpad :)
Succes met de nieuwere biossen waar de security een stap hoger is gezet. Dat gaat je niet lukken (zie ook mijn reactie boven, betreft een HP nc6320). Spelen met accu's batterijen, hulpprogramma'tjes mag allemaal niet baten. Master passwords zijn er ook niet. Master passwords zijn sowieso bij fabrikanten uit de mode gezien het binnen de korste keren op internet staat.
Het gebeurt pas nadat het BIOS zijn werk heeft gedaan hoor, pak een trojan, doe deze exploit erin, en laat hem zich installeren bij de volgende restart.

Dan heeft de BOFH van dat systeem een hele slechte dag.
Het is ook niet aan te raden om je hypervisor allerlei functies te laten doen. Een gehackte hypervisor betekent nml het einde van alle veiligheid van alle virtual machines die onder die hypervisor draaien.
En dat is nou net wat Microsoft heel makkelijk maakt met Server 2008 en Hyper-V...
Geen totaal gestripte hypervisor waar verder geen services op draaien, maar een compleet OS waar van alles op draait en daarbij een hypervisor. En op deze manier is dus elke guest ook kwetsbaar. Uiteindelijk ligt de verantwoordelijkheid bij de beheerder van het systeem om een hypervisor zou kaal mogelijk te houden. In de praktijk zul je echter zien dat er veel meer gedaan wordt met zo'n machine en Microsoft support dat ook. Geef mij dan maar lekker Xenserver of VMWare...lean and mean...
En dat is nou net wat Microsoft heel makkelijk maakt met Server 2008 en Hyper-V...
Geen totaal gestripte hypervisor waar verder geen services op draaien, maar een compleet OS waar van alles op draait en daarbij een hypervisor.
Euh.. nee?
De Parent partition die jij bedoelt wordt gewoon een instance bovenop de hypervisor :)
Met Xen kan je het een en ander ook verprutsen met veiligheid. De hypervisor zelf draait buiten alle systemen, maar daaronder draait op het hoogste niveau Dom0. De Dom0 is het hoofdsysteem die management over alle andere domains heeft. Het is zeer verleidelijk om hier allerlei services in te stoppen omdat het een complete linuxomgeving is.
Ik houd het bij de Dom0 bij een kaal systeem met als enige extras de xen management tools en een mailserver die luistert op localhost die statusreports naarbuiten kan sturen (ja, ssmtp kan evt ook, maar dat vind ik niet prettig).
Scenario: virus infecteert iPod, of ander apparaat dat DMA kan doen. Virus detecteert een systeemreboot van de PC waar hij aanhangt en zet VBoot in het geheugen.

Vergezocht? dacht het niet.
Voor zover ik het begrijp moet je fysiek bij de machine aanwezig zijn om dit toe te kunnen passen, en kun je het niet zomaar automatiseren. Een beetje vergelijkbaar met de init= hack voor linux die ik hierboven al eens noemde, dat kun je niet automatisch doen want je moet in de bootloader extra parameters opgeven (nog voordat het OS begonnen is met laden).
you missed the point ;)
de iPod die ik als voorbeeld gebruikte IS fysiek aanwezig bij de machine (als in: hij hangt er aan, en heeft zijn eigen processing unit, en via dma toegang tot het geheugen)
ik snap sowieso niet waarom MS nu weer in zo'n kwaad daglicht gezet moet worden
Omdat het een ontwerpfout is [zou zijn]. Security is een state-of-mind! Iets dat MS nog steeds niet in de praktijk brengt, blijkbaar.
Dit geld niet specifiek voor Windows 7 of Microsoft. In feit is dit oud nieuws dat weer opgepiept is.Dezelfde truuk kun je ook met andere OSsen uithalen.
Dat haal ik nou weer niet uit de tekst.....

Heb je ook een link ? Ik kan daar nl niks over vinden.
Zonder dat ik een link naar een artikel kan geven, kan ik je wel zeggen dat fysieke toegang tot een machine het allergrootste risico is betreft beveiliging.
(Een Linux machine kan je ook overnemen met een Live-CD bv)
Het is ook om die reden dat de (betere) datacenters de toestellen van klanten in beveiligde hokjes hebben staan. Je komt als klant alvast niet tot aan de hokjes en als dat hokje niet van jou is, kan je aan die machines ook niets meer doen.

Beveiliging is, zoals The Van zei, een state of mind. Niets is 100% veilig maar je kan 't kwaadwilligen verdomd moeilijk maken zodat de daad veel tijd nodig heeft, tijd die jij dan weer kan gebruiken om actie(s) te ondernemen.
Een ontwerpfout? Nee hoor. Deze hack gaat er van uit dat je bootproces kan beinvloeden door fysiek bij de machine aanwezig te zijn. Alhoewel ik normaal wel kan lachen om berichten over MS en hun belabberde security, wordt ik van dit suggestieve bericht alleen maar sacherijnig. Zo ken ik er ook nog wel een paar... de init=/bin/bash boot parameter voor linux bv, instant root access...
Ik heb net ook een nieuwe kwetsbaarheid van windows-7 gevonden dat gebruikt kan worden om een windows-7 systeem permanent! onbruikbaar te maken. Ook deze kwestbaarheid kan niet door Microsoft verholpen worden.

Wanneer er op enig moment met een moker net zolang op de pc wordt ingeslagen dat er ergens kortsluiting ontstaat of er een vitaal onderdeel van het moederbord wordt geraakt zal windows-7 niet meer werken. Dit probleem kan niet gerepareerd worden omdat er een design fout in windows zit die er van uit gaat dat er niet iemand met een moker op het systeem staat in te slaan. Windows 7 zou ook kwetsbaar zijn voor explosieven en knuppels. Er zijn zelfs georganiseerde groepen hackers (of zijn het script kiddies) die van deze kwetsbaarheid misbruik maken. bron

Onderzoekers zijn nog steeds op zoek naar een manier om PC's die door deze kwetsbaarheid onklaar zijn gemaakt weer bruikbaar te maken. bron

[Reactie gewijzigd door jmzeeman op 25 april 2009 23:49]

ik begrijp niet helemaal waarom de hacker fysieke toegang nodig heeft tot het systeem.

de kwetsbaarheid kan volgens mij prima gebruikt worden om een gehacked systeem definitief te ownen. de gebruiker van de pc, die fysieke toegang heeft tot het systeem, zal de pc heus wel een keer rebooten.

als de hacker via een conventionele wel repareerbare kwetsbaarheid zich middels een exploit al toegang verschaft heeft tot het systeem kan zij de toegang borgen door de reboot-exploit op scherp te zetten.

de reboot exploit werkt altijd. ms kan het volgens de onderzoekers niet repareren. zodoende heeft de black-hat zich dus definitief toegang tot het windows 7 systeem toegeeigend. de nietsvermoedende rebootende gebruiker in de fysieke nabijheid van de pc is gebruikt als proxy-operator in dat geval.
Dit klopt niet helemaal, de hack werkt alleen doordat hij in het werkgeheugen wordt geladen, de bescherming op de fysieke bestanden is nog gewoon intact, er zal dus een hack gevonden moeten worden om de windows opstart bestanden fysiek te veranderen zonder dat een virusscanner / Windows File Security dat merkt.
dat klopt wel, maar als de hacker al toegang tot het systeem verkregen heeft dmv een gewone repareerbare kwetsbaarheid dmv een 0 day exploit oid dan kan vervolgens de niet repareerbare kwetsbaarheid gebruikt worden als fall-back om de windows 7 machine definitief te ownen.
Hier is het punt: Om in het geheugen geladen te worden moet de code de reboot overleven... en dat kan niet in het geheugen. De traditionele exploit code zal dus de betreffende systeembestanden *op disk* moeten overschrijven om deze na de reboot geladen te krijgen. Maar daar wringt de schoen want die bestanden op disk worden gemonitord en als je die overschrijft dan detecteert Windows dat wel.

Je zal dus je de bestanden naar een niet gemonitorde (usb/cd-rom) schijf moeten schrijven en dan vanaf die device booten. Maar daarvoor moet je weer (vaak) de BIOS instellingen aanpassen.. waarvoor je weer moet rebooten!

Al met al lijkt me het nog niet zo eenvoudig om de boot explot te 'installeren' vanuit code om zo de machine definitief over te nemen.
Maar daar wringt de schoen want die bestanden op disk worden gemonitord en als je die overschrijft dan detecteert Windows dat wel.
En toen schakelde je de code die daarvoor verantwoordelijk is uit, zowel in het geheugen als op de schijf. Kan je lekker alle bestanden die je wilt wijzigen en geen haan die er naar kraait.
Alleen jammer dat Windows het nog steeds detecteert dat die code uitgeschakeld wordt, denk niet dat het zo simpel werkt.
Inderdaad. Met zulke fysieke toegang kan ik nog wel meer bedenken :S! Dan levert MS zijn eigen exploit al mee op DVD! Even booten van de Windows 7 installatie DVD, formatteren, herinstallatie, en ja hoor ik heb controle over het systeem :o

Tuurlijk kan de 'hacker' met de 'kwetsbaarheid' via de methode in het artikel nog wat extra dingen ten opzichte van een herinstallatie, maargoed zoals de vergelijking slaat deze exploit nog kant nog wal, en da's nou net het punt ;).
Jij hebt het volgens mij over andere controle over een systeem. Je hebt meestal geen zak aan een vers geinstalleerde machine, dat kan je thuis ook wel doen. Doorgaans gaat het bij dit soort zaken niet specifiek om toegang tot de machine maar om toegang tot de data.
Verder kan je het opstarten van alternatieve media beperken in het BIOS, wat vervolgens weer van een wachtwoord voorzien kan worden.
Maar doorgaans niet op elk tijdstip. En dat is na een eenmalige toegang wel het geval.
Wat een onzin, fysieke aanwezigheid... op dat moment haal ik als crimineel gewoon de hardeschijf eruit. In de meeste gevallen heb je dan alleen een kruiskopschroevendraaier nodig.
Alsof het gaat om data op de harddisk zelf.

Ik denk dat het interessanter is om toegang tot het systeem te hebben, zonder dat de gebruiker het doorheeft. Keyloggers, bankgegevens, toegang tot het bedrijfsnetwerk, botnet...
Wat waarschijnlijk zelfs nog sneller en doeltreffender is ook ;) Weet je tenminste zeker dat je alle data hebt.
Waarna het meteen duidelijk is dat er iets aan de hand is. Als je deze hack hebt uitgevoerd kan er gewoon onder jouw controle doorgewerkt worden op die machine.
Tja, als ontwerper ben je denk ik niet bezig met hoe je je eigen OS moet hacken :)
Als het goed is behoor je daar wel mee bezig te zijn. Je moet je tijdens het ontwerp al afvragen hoe mensen fouten in jouw werken kunnen misbruiken voor hacks etc.
Nee, want als je weet hoe ze jouw fouten kunnen misbruiken dan weet je dus dat er fouten zijn. Dan kan je beter de fout oplossen dan te zorgen dat de fout niet misbruikt kan worden. ;)
Niet echt. Als ontwerper voor een bank zul je (bijvoorbeeld) rekening moeten houden dat er op een dag een hacker langs kan komen die zijn saldo kunstmatig verhoogd.

Je weet nog niet hoe hij dat klaar gaat spelen maar je weet een mogelijke uitkomst. Dan zou je de vraag moeten stellen. Is dit erg, hoe ga ik het detecteren als een account kunstmatig opgehoogd wordt en welke technieken ga ik in het systeem inbouwen zodat de zaak teruggedaaid kan worden en er genoeg bewijs is om de dader op te sporen en aan te pakken. Je weet dan dus nog niet op welke plek je software kwetsbaar is, maar je kunt al wel vooraf een reactie bedenken op het manipuleren van kritische gegevens in het systeem.
Ik hoop dat jij nooit gaat werken in een bedrijf dat brandkasten maakt. 8)7

Nee, even serieus nu. Wist je dat sommige software bedrijven hackers aannemen die dan trachten de software proberen te 'kraken'! Elke Q&A afdeling zou zo'n mensen in dienst moeten hebben. Daar kan alleen de software maar beter van worden.
Daar ben ik het dus niet mee eens. Elke Q&A afdeling moet een goed testplan hebben en structureel de kwetsbaarheden in de applicatie in kaart brengen. "Hackers" zijn niets meer dan overbetaalde monkeytesters en aan het resultaat van hun testen kun je geen grote waarde hechten qua beveiliging van het systeem.
Dat uitgangspunt klopt gedeeltelijk en de impact van de exploit is daarom beperkt: een aanvaller moet namelijk fysiek toegang hebben tot de machine die hij wil overnemen, en na een reboot verliest hij de controle over het systeem.
In andere woorden: dit is gewoon een theoretisch gevaar, in de praktijk zal het allemaal wel loslopen, en in het ergste geval volstaat een reboot om het "probleem" op te lossen.

Lijkt me in de praktijk dus niet echt een heel erg groot probleem allemaal.
en in het ergste geval volstaat een reboot om het "probleem" op te lossen.
Als een aanvaller eenmaal toegang tot de PC heeft zal deze meer rechten kunnen toekennen aan zichzelf en dus ook het systeem verder infecteren met rootkit X.

De toegang zal misschien 'vervallen' na een reboot, echter lijkt het me sterk dat de aanvaller (wanneer deze toegang heeft verschaft op bovenstaande manier) niet een of andere backdoor in kan bouwen (remote desktop toegang opengooien bijvoorbeeld?).
Een reboot gaat dan niet meer helpen en vanaf dat punt kan hij zich zonder meer toegang verschaffen tot de PC.

Voorbeeld: laptops op school. Herstart de laptop van Jantje, gooi de bootkit erop, pas het systeem aan zodat je remote access kan krijgen en hoppa je bent binnen. Na een reboot is die bootkit inderdaad nutteloos, maar heb je nog steeds toegang via andere aanpassingen aan het systeem..

[Reactie gewijzigd door PeterSelie op 24 april 2009 13:53]

Als een aanvaller eenmaal toegang tot de PC heeft zal deze meer rechten kunnen toekennen aan zichzelf en dus ook het systeem verder infecteren met rootkit X.
True, maar dat is weer grotendeels te voorkomen door een combinatie van virusscanners op de PC"s, GPO's die de boel dichttimmeren, het niet gebruiken van local accounts, en firewalls op het bedrijfsnetwerk.

Ik vind dit eerlijk gezegd een beetje gezocht probleem. Iemand die fysiek toegang heeft tot een systeem kan altijd al het nodige doen, maar een beetje bedrijf zorgt ervoor dat wildvreemden niet zomaar fysieke toegang tot je systemen kunnen verkrijgen.
Ik zie niet in waar jij vandaan haalt dat het hier puur om bedrijven gaat?
Zoals in het artikel te lezen is gaat het over virtuele computers. Het merendeel daarvan word zakelijk gebruikt.

De meeste mensen (thuisgebruikers bedoel ik dan) weten niet eens wat virtualisatie is, en zullen dat dus ook niet gebruiken (VirtualBox, VirtualPC, VMware etc). En de thuisgebruikers die het wel gebruiken zijn meestal wel wat deskundiger.

Om bij een PC van een thuisgebruiker te komen zal iemand moeten inbreken of insluipen in de woning, om fysiek bij de machine te komen. Bij een inbraak heeft de bewoner meestal wel andere problemen dan zijn PC.
Volgens mij is het gedemonstreerd op een virtuele windows, maar er wordt niet gezegd dat het beperkt is tot virtuele systemen.
Tja, met fysieke acces zijn alle publieke pc's in gevaar. Op school, in de bibliotheek, etc..
Ken je het paswoord niet? Gewoon zo een VBootkit cd'tje erin en je bent vertrokken.

Kan je na de boot ook een nieuwe user aanmaken en/of een rootkit/keylogger installeren? Want dan wordt dit best wel gevaarlijk.

[Reactie gewijzigd door AndrewF op 24 april 2009 13:51]

tbh, ooit een publieke pc gezien waar je uberhaupt kunt booten van cd of usb stick, of dat je het bios wachtwoord weet.
De meeste publieke pc's loggen in op een centrale server. Je hebt er in dat geval dus niks aan als je een nieuw lokale gebruiker aan kan maken.

Zelfs als je dan een rootkit/keylogger installeert loopt het systeem nog weinig gevaar, omdat ook de programma's die de computer gebruikt worden geladen vanaf de centrale server. De keylogger krijgt dus niet de kans om op te starten.
nu nog niet, maar wireless USB mischien?

Ik bedoel, fysiek bij een pc staan is tegenwoordig al een ruim begrip.
Met een boot cd kan je ook zo'n beetje elk systeem overnemen, het houdt een keer op.
Tja dat vind ik nu een beetje vergezocht en is volgens mij alleen maar gedaan om media aandacht te krijgen. Het is toch een van de eerste principes inzake (computer) beveiliging dat indien iemand fysieke toegang heeft het per definitie niet meer veilig is.

[Reactie gewijzigd door Beretta1979 op 24 april 2009 14:11]

1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True