vendredi 10 octobre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Liens connexes

Dépêche modérée par

Dépêche éditée par

: Faille conceptuelle majeure dans la virtualisation matérielle

Posté par moramarth (). Modéré le 04 juillet 2006.
0
Si vous suivez un peu l'actualité de la sécurité informatique, vous vous souvenez probablement de SubVirt, un prototype de rootkit utilisant des machines virtuelles logicielles (permettant de faire tourner par-dessus plusieurs SE simultanément) pour prendre le contrôle de l'ordinateur. Sachez qu'on a réussi pire.

Une chercheuse en sécurité informatique, Joanna Rutkowska, étudie un autre prototype, le sien : Blue Pill (en référence à la pilule bleue dans Matrix qui permet de ne plus se souvenir de rien et d'être de nouveau dans la réalité factice quoique plus vraisemblable que la réalité). Ce prototype-là peut être installé à la volée. Du coup, pas de redémarrage nécessaire, partant, pas de changement à faire dans le bootloader ou autre partie du disque dur, cette activité pouvant toujours être surveillée par un logiciel spécialisé contre les malwares.

Blue Pill a été testé sur la technologie Pacifica de virtualisation matérielle d'AMD. Faute de temps aucun test n'a encore été effectué sur la technologie concurrente Intel VT. Mais Joanna pense que Blue Pill fonctionnera très probablement aussi avec cette technologie. Elle pense qu'il est possible de contrer des rootkits basés sur Blue Pill. Grâce à ses prochaines démonstrations sur SyScan et Black Hat. On y trouvera sûrement, on l'espère, la parade.

Joanna Rutkowska s'est notamment illustrée avec Red Pill ou klister, des logiciels de détection de rootkits plus classiques. Ses recherches sont actuellement financées par COSEINC Research…

> Lire la suite (30 commentaires, moyenne: 4,6).   [dépêche : 961 caractères]

Clairement, pour les pirates de tous poils, l'avenir est aux rootkits. Ils ont fait leurs preuves pour contrôler l'utilisateur parce qu'ils se logent dans les couches les plus inaccessibles du système, et parce que d'après Blue Pill, ils ont beaucoup de potentiel.

La meilleure preuve de cela étant que les grandes firmes elles-même se tournent vers ce type de solutions pour leurs basses ½uvres (cf l'affaire du rootkit de Siny pour la plus célèbre.).

Les linuxiens, avec ces rootkits nouvelles générations sont aussi concernés, vu que ce sont des malwares de moins en moins dépendants du système d'exploitation.

Comme cette faille de très bas niveaux semble ici bien involontaire, on n'atteindra pas le sommet de la manipulation du consommateur que représente potentiellement TCPA/Palladium. Les fondeurs se chargeront de trouver une solution digne de ce nom avant la démocratisation de ces technologies. Pas d'inquiétude particulière à priori, donc.

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Avec XEN

Posté par Fabien Engels (page perso, ) le 04/07/2006 à 20:49. (lien). Évalué à 6.

Une question que je me pose, est qu'avec un XEN en dom0, ce rootkit pourrai "cohabiter" ? ou est ce que la presence de XEN dans le ring 0 empecherait l'éxecution de ce rootkit ? (enfin je sais pas si j'ai été trés clair :D )

Doute ?

Posté par _alex () le 04/07/2006 à 21:09. (lien). Évalué à 4.

D'après l'article sur son blog, elle pose la question : est-ce que l'OS doit fonctionner dans une VM ?

Dans un des commentaires :


On AMD64, any attempt to enable hardware virtualization inside a virtualized session will trap out to the top level hypervisor. The current implementation of Pacifica isn't capable of nesting VMs natively.


Donc si je comprends bien, si l'OS s'installe dès le début dans une VM, le problème est réglé : lorsque la pillule bleue voudra faire son tour de passe passe, elle sera bloquée par l'OS (le "top level hypervisor" que je suppose être le code gérant les VM).

Donc il "suffit" que les OS soit mis à jour et le problème est réglé (sachant qu'il n'y a pas de perte de performance d'après son blog).

J'ai pas lu les spéc de Pacifica, donc j'ai peut être loupé quelque chose ?

(Ca me rappel EMM386 qui faisait tourner le DOS en mode protégé VM86 pour faire des switch de page RAM rapidement)

incomprehensible

Posté par kaouete (page perso, ) le 04/07/2006 à 21:22. (lien). Évalué à 10.

Je sais que cet article est destiné à des personnes ayant un minimum de connaissances dans le domaine, mais pour un article de premiere page, je trouve que ca reste vraiment incomprehensible.

Si quelqu'un pouvait me (et à d'autres) expliquer un peu plus de quoi il en ressort, ce serait cool.

Je tiens particulierement à etre eclairé sur ces phrases et notions :
prototype de rootkit
(je sais ce qu'est un prototype mais on sait jamais si ca peut avoir un autre sens dans le domaine de la suce)

cette activité pouvant toujours être surveillée par un logiciel spécialisé contre les malwares.
je ne suis pas sur de bien saisir de quelle activitée on parle.

Ces phrases et notions peuvent peut etre etre comprise avec un peu de reflexion.

Par contre ce que je ne saisis vraiment pas, c'est comment il opere en tant que rootkit : il s'installe comme un os supplementaire a coté des autres os qui tournent dans leur vm ? Il peut compromettre les os qui tournent dans leur vm ou alors sa seule visibilité est sa vm, et donc il ne sert a rien ?

Voila, en ecrivant ce commentaire je comprend un peu mieux mais j'aurais preferé ne pas avoir eu a le faire :]
et puis ca aidera peut etre d'autres a comprendre.

Tempérer les effets d'annonce

Posté par L () le 05/07/2006 à 01:52. (lien). Évalué à 10.

Premièrement, une information qui n'est pas précisée dans cette nouvelle (à l'heure ou j'écris ce commentaire en tout cas) est que cet exploit n'est possible que sur les futures architectures x86 64 bits. Certe, ceux qui maîtrisent les technologies des processeurs ou qui ne sortent pas le dimanche auront compris cela à l'évocation du mot Pacifica (virtualisation AMD x64), mais pas tout le monde n'est expert en processeur.

Deuxièmement, cet exploit n'aurait été implémenté à l'heure actuelle que sous Windows Vista Beta 2 sur un AMD64. La chercheuse précise tout de même pour les mauvaises langues que cet exploit n'est pas le fruit d'une faille de Windows Vista Beta 2. Elle ne verrait aussi aucune raison pour que ce ne soit pas possible sous Linux ou *BSD sur x64, mais de l'hypothèse à l'implémentation, aussi compétente soit-elle, ça laisse une marge. Déjà, comparé à la nouvelle publié ici, c'est déjà beaucoup plus nuancé.

Troisièmement, et sans vouloir discréditer les dires de cette chercheuse, je pense qu'on saura ce que ses travaux valent réellement quand ils seront passés sous les mains expertes de ses confrères dont les critiques confirmeront la crédibilité de tout cela ... ou pas d'ailleurs.

Donc bref, pas de quoi crier au loup ... pour l'instant.

relations entre TCPA et logiciels indésirables ?

Posté par Grumbl (page perso, ) le 05/07/2006 à 04:27. (lien). Évalué à 4.

TCPA ne permettrait-il pas d'éviter l'installation d'hyperviseurs arbitraires, dès lors que le matériel en est correctement équipé et que la mise à la clé du hard est faite dans de bonnes conditions

Les VM et les failles de X

Posté par _alex () le 05/07/2006 à 11:34. (lien). Évalué à 3.

Il y a 2 mois, une news indiquait un problème de sécurité avec x.org ( http://linuxfr.org/2006/05/15/20813.html )

Je me demande si il n'y aurait pas moyen de se protéger de ses attaques justement en faisant tourner linux/*bsd dans une VM ?

L'article de Loïc Duflot indique 2 méthodes pour : par SMM ou par reprogrammation de l'ouverture graphique. Les 2 méthodes passent par des accès IO que le superviseur pourait intercepter.

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.1434s (dont 0.0275 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !