Journal Pirates & Windows : La fin annoncée d'un OS

Posté par  .
Étiquettes : aucune
-16
15
oct.
2009
Il fallait bien que cela arrive un jour (et je n'ai pas attendre jusqu'a demain pour vous en faire part et n'en ai trouvé aucune trace sur linuxfr... Pourtant l'info date, Aout 2009)

Mais le voila disponible (en fait depuis quelques temps déjà (mais la sortie de 7 le remet un peu au devant de la scène : Stoned BootKit !

"Pour rappel, Stoned Bootkit est un code Open Source malicieux localisé au sein du secteur de boot MBR."

Oui vous avez bien lu, Open Source, et en plus disponible sous la forme de LiveCD (générateur de bootkit, donc...)

Stoned Bootkit a joyeusement réussi aujourd'hui à compromettre les différentes distributions de Microsoft :

Microsoft Windows 2000 SP4, Windows XP SP2, Windows XP SP3, Windows Server 2003, Windows Server 2003 R2 SP2, Windows Vista, Windows Vista SP1, Windows Server 2008, Windows 7 Build 6801, Windows 7 Beta, Windows 7 RC et Windows 7

Ainsi Stoned Bootkit rend simple et aisé la génération de code malicieux. Un nouvel enfer se dessine pour les utilisateurs de Windows ...

Et peut etre en sonne le glas...

http://www.stoned-vienna.com/

  • # Un titre que j'ai pas d'idée

    Posté par  . Évalué à 10.

    C'est une peu une extrapolation sauvage ça non ?

    Cela fait plusieurs années que les différentes moutures de Windows sont comprises, qui par un bootkit, qui par un trojan vicieux et j'en passe et que windows accapare toujours 95% du marché (estimation au pif, j'ai la flemme d'aller voir les stats).

    je pense donc pour ma part que le glas de l'église microsoft se couvrira de poussière pendant encore quelques années.

    • [^] # Re: Un titre que j'ai pas d'idée

      Posté par  . Évalué à 1.

      certes le titre est un peu sauvage ;)

      par contre il est à noter que c'est la première fois que l'on trouve un tel bootkit en licence libre, et qui plus est livré sur un livecd pour en générer de nouveaux...

      et pour etre un peu plus précis sur le bidule :

      "A bootkit is a boot virus that is able to hook and patch Windows to get load into the Windows kernel, and thus getting unrestricted access to the entire computer. It is even able to bypass full volume encryption, because the master boot record (where Stoned is stored) is not encrypted. The master boot record contains the decryption software which asks for a password and decrypts the drive. This is the weak point, the master boot record, which will be used to pwn your whole system. No one's secure!"

      • [^] # Re: Un titre que j'ai pas d'idée

        Posté par  (Mastodon) . Évalué à 10.

        Future ideas:
        (...)
        TPMkit
        \o/

        Sinon, vu que c'est "libre", qui fait un rapport de bug chez gnewsense pour demander son inclusion par défaut sur le livecd ? (... okok je->)

  • # Vous devez entrer un sujet et un commentaire

    Posté par  (site web personnel) . Évalué à 10.

    Un nouvel enfer se dessine pour les utilisateurs de Windows ... Et peut etre en sonne le glas...

    extrait du site en question:
    The next version of Stoned is currently under development. The next version is going to be more sophisticated than ever. Features:
    (...)
    - Linux support - experimental

    • [^] # Re: Vous devez entrer un sujet et un commentaire

      Posté par  . Évalué à 2.

      j'allais le poster :D

      et comme les livecds sont assez prisés, ca risque aussi de faire mal.

      Sinon, ok, une menace de sécurité de plus. Plutot que de faire des trucs intéressants, des contributeurs vont devoir plancher sur le sujet. Je comprends l'histoire du chat et de la souris toussa, mais, au final, un gros gâchis.

      • [^] # Re: Vous devez entrer un sujet et un commentaire

        Posté par  . Évalué à 3.

        Bof ... Rien de nouveau ....

        Ca me fait penser aux virus MBR qui sévissaient dans les années 93-96 à la belle époque ou on s'échangeait des disquettes .... Ceci s'est tassé avec l'arrivée d'Internet, mais depuis l'essor des Live CD, je pense que ce genre d'infection ira en augmentant.

      • [^] # Solution ?

        Posté par  . Évalué à 2.

        « 3. How can Stoned be removed? — you can [...] run 'fixmbr' for Windows XP/2003 and 'bootrec /FixMbr' for Windows Vista. »

        → il suffit donc de récrire le MBR de temps en temps... mettre un appel à lilo ou grub dans son crontab, idéalement le binaire est stocké sur un support physiquement en lecture seule (clef usb avec un petit bouton de désactvation...)

        • [^] # Re: Solution ?

          Posté par  . Évalué à 3.

          Si le système est virussé, il est capable d'intercepter l'exécution de ce genre de programmes.

          • [^] # Re: Solution ?

            Posté par  (site web personnel) . Évalué à 2.

            Pas si tu les lances depuis un système sain, tel un CD.

            • [^] # Re: Solution ?

              Posté par  . Évalué à 5.

              ... que tu auras gravé avec un système contaminé qui va te contaminer ton mbr ....

          • [^] # Re: Solution ?

            Posté par  . Évalué à 2.

            Ok, alors 1 fois sur 20, dire à grub de redémarrer sur une mini rescue clef usb qui vérifie l'intégrité du MBR et qui redémarre ensuite automatiquement sur la partition habituelle si tout va bien ? C'est pas plus embêtant que le ext2.fsck qui se lance de temps en temps.

            → Un petit patch pour grub pour ajouter la fonction « vérification 1 fois tous les n montages » si elle n'y est pas déjà.

        • [^] # Re: Solution ?

          Posté par  . Évalué à 3.

          Je pencherais plutôt pour un script maison qui scannerait le MBR à intervalles réguliers, et qui préviendrait l'utilisateur si quelque chose a changé a un endroit qui devrait rester constant.

          • [^] # Re: Solution ?

            Posté par  . Évalué à 0.

            À moins que ton script soit un truc de ouf-gueudin directement pondu en assembleur, j'ai l'étrange impression qu'il sera autant vulnérable à l'infection qu'une réinstallation régulière de grub/lilo…

            • [^] # Re: Solution ?

              Posté par  . Évalué à 2.

              Pour récupérer le MBR, il suffit de faire «&nsbp;dd if=/dev/sda of=fichier bs=512 count=1 », c'est pas vraiment sorcier à faire.

              La différence étant que, comme c'est un script écrit à la volée et à posteriori, il a quand même beaucoup moins de chances de se faire rootkiter que des trucs standards et mis en place dès le départ comme LILO ou GRUB.

              En outre, la modification du MBR ne doit, en principe, jamais arriver (pas toute seule, en tout cas). Donc, si jamais ça arrive, je préfère être prévenu tout de suite et réparer mon MBR moi-même. Si ça devient trop fréquent pour le faire soi-même à chaque fois ... ben je préfère le savoir aussi ! Et là, il vaut mieux régler le problème en amont.

              Enfin, si c'est carrément le noyau qui est corrompu, de telle façon qu'une lecture du /dev correspondant te renvoie des données faussées, alors il n'y a pas de raison pour qu'une restauration via LILO ou GRUB donne de meilleurs résultats.

  • # Respect de la licence d'utilisation

    Posté par  (site web personnel) . Évalué à -10.

    J'ai du mal à comprendre certains usages ici.

    On défend le respect de la GPL, et on crache sur les boites qui utilisent du GPL (comme linux) dans leur matos (genre un routeur) sans redistribuer.

    A coté de ça, on saute sur la première occasion pour télécharger une vidéo que l'éditeur voulait proposer uniquement en streaming limité dans le temps... On viole donc la licence accordée par l'auteur, c'est pareil !

    Je sais, l'éditeur est pas sympa, il utilise du flash ou du wmv et capucaypalibre. Mais quelle autre solution a t'il si il veut mettre à disposition pendant un temps limité (c'est son choix, même si la technique est mauvaise).
    Le débat n'est pas sur les DRM ou assimilé qui ne sont pas cool, mais sur le respect de la volonté de l'auteur/éditeur.

  • # mouais

    Posté par  (site web personnel) . Évalué à 7.

    Ca suppose que l'attaquant est soit les droits d'administrateur soit un accès physique à la machine... et encore l'accès physique ne peut marcher que s'il n'y a pas de cryptage hardware. Conclusion, difficile de compromettre un serveur "sécurisé" avec ce machin sans avoir les droits administrateurs. Ca limite grandement l'intérêt.

    • [^] # Re: mouais

      Posté par  . Évalué à 1.

      Sur un serveur ou seuls normalement des gens qui savent ce qu'ils font et qui ne l'utilisent pour rien d'autre que des mises à jour / paramétrages, le risque est moins important mais quoi qu'on en dise toujours présent.

      Et même sans parler du coté serveur ou on va tous prendre des pincettes car c'est sensible, coté poste de travail même en étant un utilisateur averti c'est déjà moins évident...

      L'exploitation de la faille d'acrobat reader donnée en exemple montre bien que personne n'est à l'abri : oublier de mettre à jour une application ou tout simplement ne pas savoir qu'elle était vulnérable c'est à la portée de tous ;).

      De plus les failles permettant d'obtenir des droits administrateurs à distance existent également, et même si elles sont rapidement corrigée ça laisse le temps de se ramasser quelque chose.

      Microsoft et les éditeurs de logiciels anti-virus vont devoir se pencher sérieusement sur le problème car autrement ça risque de faire un gros carnage ce truc, pas parce que ce serait nouveau mais parce que l'open source même^W surtout dans ce domaine c'est un bon modèle ;)

      Pour toutes ces raisons je suis un peu plus inquiet que toi.

      • [^] # Re: mouais

        Posté par  (site web personnel) . Évalué à 3.

        De plus les failles permettant d'obtenir des droits administrateurs
        Vi mais bon voilà quoi, déjà si l'attaquant a réussi à avoir les droits admin, un rootkit en plus ne changera pas grand chose à la situation qui est déjà suffisament critique.

        Microsoft et les éditeurs de logiciels anti-virus vont devoir se pencher sérieusement sur le problème car autrement ça risque de faire un gros carnage ce truc, pas parce que ce serait nouveau mais parce que l'open source même^W surtout dans ce domaine c'est un bon modèle ;)
        Bof, c'est comme avant, les rootkits ont toujours existés, et aucun OS n'est à l'abris...
        La seule "nouveauté" de ce rootkit, c'est de s'attaquer à TrueCrypt, solution mise en avant pour entre autre parer aux rootkits. A mon avis, les utilisateurs de cette techno ne sont pas des postes de travail "lambda". Ceux qui sont paranos au point d'aller utiliser le cryptage intégral du disque dur, doivent éviter d'utiliser Acrobat Reader :)

        • [^] # Re: mouais

          Posté par  . Évalué à 1.

          Vi mais bon voilà quoi, déjà si l'attaquant a réussi à avoir les droits admin, un rootkit en plus ne changera pas grand chose à la situation qui est déjà suffisament critique

          Tu sais bien que sous windows il y a beaucoup d'admins, exécuter un programme en tant qu'admin n'est pas difficile, rester discret après ca l'est bien plus et c'est pour cela que je trouve un poil réducteur de dire que ça ne contourne que truecrypt même si c'est "la nouveauté"... le bordel est quand même un poil plus intéressant que cela.

          Après d'accord avec toi rien de révolutionnaire en soit si ce n'est qu'il est open source ce qui ne va pas manquer de lui donner une belle popularité et vu qu'il est déjà assez puissant en l'état... donc ca donnera plus de temps à certains pour se concentrer sur d'autres "fonctionnalités" ;).

          Ceux qui sont paranos au point d'aller utiliser le cryptage intégral du disque dur, doivent éviter d'utiliser Acrobat Reader :)
          +1

  • # Votre mot de passe s'il vous plaît.

    Posté par  (site web personnel) . Évalué à 4.

    Si j'ai bien compris, il faut quand même avoir les droits administrateurs pour l'installer...

    Euh, dîtes, c'est moi ou finalement, rien de nouveau ?

  • # When the bootkit tolls, time marches on.... ou pas!

    Posté par  . Évalué à 5.

    Je veux bien croire que ce bootkit est très innovant, mais en tant que tel, j'ai quand même l'impression que c'est une exagération de dire qu'il peut compromettre la sécurité de systèmes windows. Je me trompe peut-être mais rien n'indique qu'on peut l'installer sur une machine sur laquelle on ne dispose pas déjà d'un accès privilégié (accès root ou accès physique)

    Ceci dit, en dehors de l'argumentation tape à l'oeil, le papier explicatif (pdf) indique dans son introduction des exemples applicatifs potentiellement intéressant pour les développeurs et testeurs, parmi lesquels, pouvoir charger au démarrage :
    - des outils de diagnostic
    - des gestionnaires de boot
    - des pilotes non signés
    - des outils de restauration
    etc.

  • # "Pirates"

    Posté par  . Évalué à 10.

    C'est quoi un "pirate"?

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # un peu facile

    Posté par  (site web personnel) . Évalué à 3.

    Je ne suis pas un défenseur de windows mais là... ça peut arriver sur tous système.

    Si j'ai bien compris c'est un peut comme Kon-Boot qui permettait (peut être toujours) de se loguer sans mot de passe sur les systèmes windows ET linux.


    KON-BOOT : http://www.piotrbania.com/all/kon-boot/

    S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

    • [^] # Re: un peu facile

      Posté par  (site web personnel) . Évalué à 10.

      Je ne suis pas un défenseur de windows mais là... ça peut arriver sur tous système.

      Mais chut! Windows c'est forcement le méchant qui est troué, Linux le gentil qui est protégé.
      Alors que le seul trou de sécurité que ce logiciel exploite se trouve dans l'interface chaise-clavier... (d'où le support de tous les OS de Microsoft, et d'où Microsoft ne pourra jamais corriger ça)
      Si ça fait plaisir à certains de croire leur Linux invulnérable alors qu'ils ont le même composant logiciel sous Linux...

      Sinon, si l'auteur du journal peut dire ce qu'il a de malicieux ce bootkit, vu qu'il a besoin d'un acte de l'utilisateur, ça serait sympa. Car de ce que je comprend, il n'a absolument rien de malicieux.
      http://en.wikipedia.org/wiki/TrueCrypt#The_.22Stoned.22_boot(...)
      "(...) in the first one, the user is required to launch the bootkit with administrative privileges once the PC has already booted into Windows; in the second one, a malicious person needs physical access (...)"

      Bref, rien de transcendant.

      • [^] # Re: un peu facile

        Posté par  (site web personnel) . Évalué à 5.

        en tout cas j'ai tenté sur une machine de test au boulot avec les droits d'admin local de lancer ce fameux fichier Infector.exe et ....

        Bah en fait après je ne sais pas quoi en faire, car c'est pas marqué très clairement dans le mode d'emploi :+)

        Du coup j'ai lancé Restore.exe !

        Je voulais voir si on pouvait utiliser ce bidule pour faire sauter la protection windows quand quelqu'un verrouille sa session, mais par chez nous le composant qui gère ça ce n'est plus la boite windows standard, mais celle de Novell, du coup je pense que c'est ba*sé pour les croissants (oui par chez nous on a un jeu qui consiste à faire payer ses croissants à celui qui oublie de verrouiller sa session en quittant la pièce)

        • [^] # Re: un peu facile

          Posté par  . Évalué à 3.

          Ma principale mesure de sécurité c'est fluxbox. Dans un monde de windowsiens, c'est plus secure qu'une session verrouillée.

          • [^] # Re: un peu facile

            Posté par  . Évalué à 3.

            bof là où je suis c'est des postes de travail Linux avec une vwmare windows (ne servant que pour outlook, et parfois word).
            La grosse blague c'est que certaines applis tournent sur des serveurs distant et donc quasiment tout le monde est en xhost +, alors verrouiller une session dans ce genre de cas est assez inutile :D

            Mais pour le 1er avril c'est fendard ^^

            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # Ce genre d'outil , çà ne sert à rien...

    Posté par  . Évalué à 2.

    A partir du moment où le pirate a accès à la machine. Il peut faire ce qu'il veut et tu n'as pas besoin d'outil tiers pour y arriver.

    Pour Windows, j'avais trouvé une méthode toute simple et à la porté du premier programmeur venu.

    Tu crées un programme C qui ajoute un utilisateur administrateur , avec le mot de passe que tu veux. Tout est expliqué sur les site de microsoft.

    Tu bootes avec Live CD linux, tu écrases un fichier Exe qui est lancé en utilisateur System et voila tu as gagné les droits admins du poste.

    Tu redemarres sur Windows et le tour est joué.

    Pour Linux, c'est encore plus simple, il suffit de changer le fichier passwd.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.