Browser rootkits

Posted on November 1, 2007 by claudio

Un post ben scritto che mette ancora una volta in evidenza la criticità dei browser, che qui vengono giustamente chiamati “middleware”. Di fatto, il browser adesso è una “base” sulla quale installare componenti e sulla quale far girare il codice più disparato (le varie webapp Ajax ad esempio fanno proprio questo). Come dice giustamente il post, “The closer to the data, the better” (Più vicino si è ai dati, meglio è). E adesso l’acesso a buona parte dei dati, che sia di un’azienda o di un cittadino, avviene attraverso il browser. Inoltre, la quantità di codice e componenti presenti in un browser ha una variabilità tale da costituire una sfida difficile per gli antivirus. Da leggere anche le considerazioni di questo post sul post (così il mio diventa un post sul post sul post) e in particolare questo: “We have a similar problem with Firefox and IE because of their extensible architecture (think about all those plugins, add-ons, etc) – although we could examine the whole memory of firefox.exe process, we still would not be able to decide whether something bad is there or not.

Posted in Sicurezza | Tagged , , , , | Comments Off on Browser rootkits

Strip-tease per risolvere i CAPTCHAs

Posted on November 1, 2007 by claudio

Ah, la creatività umana! Gli spammer hanno trovato il più vecchio modo del mondo per convincere persone ignare a risolvere per loro i CAPTCHAs. I CAPTCHAs sono (fra l’altro) quelle immagini con le lettere deformate che servono per riconoscere se chi sta compilando un form è una persona o un programma (per vederne uno potete cliccare su “Comments” in fondo a questo post). L’idea è che un umano non abbia difficoltà a riconoscere le lettere, mentre ad un programma sia richiesto un certo sforzo, più di quello che uno spammer è disposto a mettere per postare un singolo messaggio di spam. Ebbene, il programma di spam passa il CAPTCHA ad una persona che lo risolve per lui in cambio di qualche centimetro di pelle nuda in più in una foto. Siamo arrivati al punto che invece di essere il computer che risolve i problemi difficili per le persone, sono le persone a risolvere i problemi difficili per il computer. Conosco alcune persone che potrebbero passare delle ore davanti a una pagina che presenti loro questo tipo di problemi…

Posted in Sicurezza | Tagged , , | Comments Off on Strip-tease per risolvere i CAPTCHAs

Malware e macchine virtuali

Posted on October 31, 2007 by claudio

Il rapporto fra malware e macchine virtuali può essere essenzialmente di due tipi. Il primo è quello descritto da Anna Rutkowska con il famoso Blue Pill, in cui il rootkit, in sostanza, “muove” il sistema operativo ospite in una macchina virtuale, appropriandosi invece di quella reale. Lo scopo è di rendere “invisibile” il rootkit, e presuppone che il rootkit si sia installato sul sistema operativo operante sulla macchina reale. Il secondo è che il malware infetti una macchina virtuale. In questo caso il malware può danneggiare la macchina virtuale, ma non dovrebbe poter danneggiare quella reale. Su questo secondo tipo sto leggendo frequenti discussioni sulla capacità e possibilità per il malware di riconoscere di essere su una macchina virtuale. A parte l’interesse “accademico” per il problema, non mi riesce di capire quale possa essere il grande interesse pratico. Supponiamo che un malware sia in esecuzione su una macchina. Perché gli interessa sapere se è o meno virtuale? Le uniche risposte che mi vengono, e non ho trovato (o capito) altro in giro, è che se è su una macchina virtuale potrebbe decidere di “non fare” per non essere scoperto se la macchina reale lo sta monitorando, o decidere di “fare” attaccando delle vulnerabilità del meccanismo di virtualizzazione per arrivare alla macchina reale. Tuttavia, la cosa mi ricorda le discussioni di qualche anno fa sul fatto che un servizio dovesse o meno nascondere le informazioni sul prodotto e la versione che lo implementano (ad es. connettendosi ad un server http quello tuttora ci racconta che è ad esempio un Apache, la versione e i moduli disponibili). Poi si è visto che i worm di questa informazione se ne fanno poco: se conoscono una vulnerabilità di Apache, la provano e vedono se riescono ad entrare. Se ne conoscono una di IIS, provano anche quella, senza preoccuparsi di chiedere prima se è l’uno o l’altro.

Allo stesso modo, il malware nella macchina virtuale può provare una vulnerabilità del meccanismo di virtualizzazione, se la conosce: se è in una macchina virtuale, accede a quella reale. Se è in quella reale, ne ha comunque già il controllo e non cambia niente. L’unica altra possibilità che vedo è che il malware, sapendo di essere in una macchina virtuale (e quindi monitorato da quella reale?) decida di stare calmo o addirittura di cancellarsi per non farsi scoprire… ma direi che il modo di agire e le motivazioni del malware dovrebbero cambiare parecchio, prima che questa possibilità diventi realistica.

Posted in Sicurezza | Comments Off on Malware e macchine virtuali