Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Luka nie do załatania?

Dodany 4 maja 2009, 11:15 CEST
Tagi:

Ostatnio zrobiło się głośno w sprawie rzekomej luki w oprogramowaniu firmy Microsoft. Chodzi głównie o najnowszą edycję systemu, który póki co jest w fazie RC - Windows 7. W sieci pojawiło się wiele artykułów, które sugerują, że mamy do czynienia z błędem w konstrukcji systemu, którego nie da się naprawić. Przyjrzyjmy się zatem bliżej temu zagadnieniu...

Na konferencji HITB (Hack In The Box Security Conference), która miała miejsce w Dubaju, Vipin Kumar i Nitin Kumar zaprezentowali narzędzie o nazwie Vbootkit 2.0, które służy do przejęcia kontroli nad systemem. Sam program ma wielkość zaledwie 3 KB. Aplikacja uruchamiana jest przed systemem operacyjnym co ma zapewnić jej niewykrywalność po rozpoczęciu ładowania systemu. Początkowo Vbootkit potrzebuje fizycznego dostępu do komputera (może zostać uruchomiony, na przykład, z płyty CD), natomiast po uruchomieniu systemu inne operacje mogą być przekazywane poprzez Internet. W ten sposób program przejmuje kontrolę nad przerwaniem (INT13), które odpowiada za zapis i odczyt na dysku przez kod niskiego poziomu.

Szczegóły znajdują się w materiałach konferencyjnych pod adresem (plik PDF): http://conference.hitb.org/hitbsecconf2009dubai/materials/D2T2%20-%20Vipin%20and%20Nitin%20Kumar%20-%20vbootkit%202.0.pdf

Jak zaznaczył Vipin Kumar:

"There's no fix for this. It cannot be fixed. It's a design problem - Nie ma na to łaty, nie da się tego naprawić. Ten problem powstał przy projektowaniu".

Dziwi mnie jednak dlaczego pisze się o luce w systemie Windows i gdzie tutaj jest luka? Po pierwsze, bootkit jako taki może zostać wykorzystany na dowolnym systemie operacyjnym. Nie ma tutaj znaczenia fakt, że jest to Windows 7, równie dobrze może to być Windows Vista, Linux czy Solaris. Po drugie nie można mówić o luce w systemie operacyjnym, jeżeli program zaczyna działanie PRZED wystartowaniem systemu. Podobne prace związane z ideą bootkitów prowadzone są już od kilku lat i nie są wielką nowością.

Sam projekt jest bardzo ciekawy, jednak mało prawdopodobny do zrealizowania z dwóch powodów:

  1. Wymaga fizycznego dostępu do komputera ofiary
  2. Po restarcie Vbootkit znika z dysku

Z powyższego wynika, że atakujący musiałby - na przykład - włączyć komputer ofiary i załadować kod, a następnie zostawić maszynę włączoną.

Niestety wiele portali kopiuje nagłówki o nieusuwalnej luce lub błędach programistycznych w nowym, jeszcze niewydanym systemie Windows7, utwierdzając w ten sposób użytkowników w przekonaniu, że są w niebezpieczeństwie.