THG.RU | \"Поиск\" Поиск \"Поиск\" | Новости | Видеокарты | Процессоры | Материнские платы | Мониторы | Аудио/видео | HDD и CD/DVD | Собери сам | Игры | Софт | Домашний ПК


Клуб экспертов THG.ru   

Вернуться   Клуб экспертов THG.ru > Софт > Прикладное программное обеспечение > Исследования и разработка

Регистрация Правила форума FAQ форума Справка Пользователи Поиск Сообщения за день Все разделы прочитаны

Исследования и разработка Разработка каких-либо программ, электронных устройств и ПО для них

Ответ
 
Опции темы Опции просмотра
Старый 10.08.2009, 18:32   #1
Меню пользователя TestLab
Супер-модератор
  
Интервью с Джоанной Ратковской: виртуализация, руткиты и гипервизоры

На днях нам посчастливилось пообщаться с Джоанной Ратковской (Joanna Rutkowska), одним из ведущих специалистов-новаторов в области компьютерной безопасности в мире. Она является основателем и главным исполнительным директором (CEO) Invisible Things Lab (ITL), компании, занимающейся консалтингом и исследованиям в сфере компьютерной безопасности. Джоанна известна своими эксплойтами BluePill и RedPill, также интересными работами и докладами на конференциях. Подробности вы узнаете в нашем интервью.



Интервью с Джоанной Ратковской: виртуализация, руткиты и гипервизоры
TestLab вне форума   Ответить с цитированием
Старый 11.08.2009, 02:54   #2
Меню пользователя =mek=
Старожил
 
Аватар для =mek=
  
Не нравиться мне слово Руткит.
Касперский таких удаляет
__________________
LG 55C8|LG UltraGear 34GK950F-B|iPhone 11 Pro Max|Playstaion 3 160Gb Slim|Playstation 4 Pro|Asus G750JX|Kingston HyperX Cloud Revolver|Apple Watch Series 4|LG SJ6|Corsar K70 RGB Lux|Steelseries QcK Prism|Onkyo a-9150|DALI Oberon 3|
=mek= вне форума   Ответить с цитированием
Старый 11.08.2009, 08:59   #3
Меню пользователя Нико
-/\-
 
Аватар для Нико
  
Вечная борьба добра и зла.
Тоже самое и с вирусами, хорошо что в мире есть такие люди как Джоанна.
зы. Из текста больше всего понравилось "Нажмите на картинку для увеличения".
__________________
Нет покоя тем, кто делал зло, этим людям так не повезло.
Нет покоя тем, кто потакал, тем, кто знал, но все-таки молчал.

-------------Слушайтесь модераторов-------------
Нико вне форума   Ответить с цитированием
Старый 11.08.2009, 11:26   #4
Меню пользователя Ac1d
Старожил
  
Как всегда хорошо?
Возможно стоит устроить интервью с российскими исследователями инф. безопасности.
Например Гордейчиком Сергем( aka offtopic)

Если нужны контакты то могу поделиться.


Только стоит вопрос по содержанию статьи. Указывается что Mac OS предоставляет возможность подключение драйверов сторонних производителей, но этоо не так. нельзя установить драйвер производителя если он не поддерживается через обновление Apple ( концепция freebsd? если мы не поддерживаем оборудования ждите в следующем релизе)

Приятно удивляет что многие профессионалы используют продукцию Apple для работы. Кстатия тоже. ))))))))

И как показывает практика необходимо стоит безопасность на основных постулатах, но при этом использовать и новые технологии.
То есть если к примеру есть возможность компроетации системы через различные программы используемые для виртуализации необходимо оградить систему старыми методами добавив что нить новенькое.
ТО есть обеспечение безопасности есть совокупность мер организационно- технического характера.
Ac1d вне форума   Ответить с цитированием
Старый 11.08.2009, 20:34   #5
Меню пользователя Unre gistered
В процессе регистрации по e-mail
  
Цитата:
Сообщение от Ac1d Посмотреть сообщение
... Указывается что Mac OS предоставляет возможность подключение драйверов сторонних производителей, но этоо не так. нельзя установить драйвер производителя если он не поддерживается через обновление Apple ( концепция freebsd? если мы не поддерживаем оборудования ждите в следующем релизе)...
У тебя не совсем верное представление о freebsd - там нет никаких анальных зондов, ставь любые драйвера какие понравится.
Unre gistered вне форума   Ответить с цитированием
Старый 12.08.2009, 00:07   #6
Меню пользователя Green_4
Старожил
 
Аватар для Green_4
  
Блин, красивая Джоанна. Я бы с ней поработал.

Какие же вы все... даже не знаю как назвать. На THG так редко появляются девушки, тем более такие красивые, а вы все о компах да о компах. ))
__________________
Чтоб мудро жизнь прожить, знать надобно немало.
Два правила запомни для начала:ты лучше голодай, чем что попало есть, и лучше будь один, чем вместе с кем попало.

Последний раз редактировалось Green_4, 12.08.2009 в 00:15.
Green_4 вне форума   Ответить с цитированием
Старый 12.08.2009, 08:48   #7
Меню пользователя Нико
-/\-
 
Аватар для Нико
  
Цитата:
Сообщение от Green_4 Посмотреть сообщение
Я бы с ней поработал
Смелый ты, однако.
__________________
Нет покоя тем, кто делал зло, этим людям так не повезло.
Нет покоя тем, кто потакал, тем, кто знал, но все-таки молчал.

-------------Слушайтесь модераторов-------------
Нико вне форума   Ответить с цитированием
Старый 12.08.2009, 10:04   #8
Меню пользователя Green_4
Старожил
 
Аватар для Green_4
  
Цитата:
Сообщение от Нико Посмотреть сообщение
Смелый ты, однако.
Однако я имел ввиду работу, что подумали Вы - не знаю ;-)
Просто приятно видеть человека который мог бы благодаря внешности добиться многого с меньшими усилиями, но тем не менее достигла высоких результатов благодаря совершенно другим качествам.
Респект.

P.S.: Кстати в издании, которое читаю 5-6 лет, ее фамилию произносят как Рудковская.
__________________
Чтоб мудро жизнь прожить, знать надобно немало.
Два правила запомни для начала:ты лучше голодай, чем что попало есть, и лучше будь один, чем вместе с кем попало.
Green_4 вне форума   Ответить с цитированием
Старый 12.08.2009, 10:24   #9
Меню пользователя Ac1d
Старожил
  
Ага совсем не верное...
если бы не пробегал про граблям раскиданным в коридоре....

попробуй накакить freebsd на HP сервак с новый чипсетом......


и периферийные устройства без поддержки freebsd ставиться что мама не горюй а портирование линуксовый дров на freebsd это вообще песня о великом страдании.
Ac1d вне форума   Ответить с цитированием
Старый 12.08.2009, 13:56   #10
Меню пользователя URRI
Старожил
 
Аватар для URRI
  
Осилил все интервью до конца, но так нифига и не понял - она замужем или нет?
__________________
Toshiba Satellit A210 /4Гб/Windows7 x86
GA-EP45-UD3R/Q6600/4Гб-Kingston KHX8500AD2K2/POWERCOLOR 4850 512Mb PCS/WD1001FALS/CHIEFTEC CFT-600-14C/Vista x64
Canon 5D/EF24-70 f2,8/EF50 f1.4/M42 Jupiter-9 85 f2.0
URRI вне форума   Ответить с цитированием
Старый 12.08.2009, 14:17   #11
Меню пользователя Ac1d
Старожил
  
2 URRI

Если основное желание заглянуть под юбку, то не эту статью необходимо читать.

Если увидит мнение специалиста которых реально занимается безопасностью, то интересно.
Правда ничего нового, но все равно интересно.
Ac1d вне форума   Ответить с цитированием
Старый 12.08.2009, 15:03   #12
Меню пользователя =mek=
Старожил
 
Аватар для =mek=
  
Народ вы чо
Здесь статья не про юбку...
__________________
LG 55C8|LG UltraGear 34GK950F-B|iPhone 11 Pro Max|Playstaion 3 160Gb Slim|Playstation 4 Pro|Asus G750JX|Kingston HyperX Cloud Revolver|Apple Watch Series 4|LG SJ6|Corsar K70 RGB Lux|Steelseries QcK Prism|Onkyo a-9150|DALI Oberon 3|
=mek= вне форума   Ответить с цитированием
Старый 12.08.2009, 19:59   #13
Меню пользователя TWKR
Нарушил правила
  
Обнаружена уязвимость и представлены эксплоиты для процессоров Intel
Джоанна Рутковская (Joanna Rutkowska) опубликовала информацию об уязвимости в процессорах Intel, позволяющей выполнить произвольный код в режиме SMM с привилегиями бОльшими, чем привилегии нулевого кольца (Ring 0).
SMM (System Management Mode) - это специальный малодокументированный режим работы процессоров Intel, который впервые появился в 386SL. В этом режиме приостанавливается нормальное выполнение кода, и специальное ПО (обычно firmware или отладчик с аппаратной поддержкой) выполняется в режиме с высокими привилегиями.

Эксплоиты используют кэш процессора для доступа к SMRAM - защищенной памяти для режима SMM. Из двух представленных эсплоитов один делает дамп памяти SMRAM, а второй производит выполнение кода в режиме SMM.

Потенциальное применение уязвимости может привести к появлению SMM-руткитов, компрометированию работы гипервизоров и/или обходу защиты ОС. Известно, что Intel осведомлена о данной уязвимости - она уже исправлена в материнской плате DQ45CB, хотя более ранние модели остаются уязвимыми.

Добавлено через 1 минуту 12 секунд
Использование ошибок синхронизации для атак
Автор: (c)Крис Касперски ака мыщъх

Ошибки синхронизации потоков встречаются также часто, как переполняющиеся буфера и точно также, как и переполняющиеся буфера, их можно использовать для удаленных атак с засылкой shell-кода, тем более, что пока от них никто не пытается защищаться, открывая тем самым огромные возможности для хакерства и первые ласточки (в смысле - черви) уже выползли из гнезда...
Введение
Интенсивность атак на переполняющиеся буфера, достигнув своего пика в первых годах 21 века, начинает неуклонно иди на спад, сдаваясь под напором контратак большого количества противохакерских мер, предпринятых со стороны производителей процессоров, компиляторов и операционных систем. Неисполняемый стек, контроль целостности адреса возврата, рандомизация адресного пространства - все это и многое другое затрудняет атаки, вынуждая хакеров искать обходные пути. И такие пути действительно есть!

3 сентября 2006 года в 14:37:48 по восточному стандартному времени хакер johnny cache описал принципиально новую атаку на драйвера устройств беспроводной связи Intel Centrino PRO, открывающую новую страницу в книге переполняющихся буферов: lists.immunitysec.com/pipermail/dailydave/2006-September/003459.html.

Вслед за этим, буквально месяц спустя, 11 октября 2006 года David Maynor из SecureWorks, Inc. и независимый исследователь Jon Ellch опубликовали сообщение о дыре в драйвере TOSRFBD.SYS, разработанного фирмой Toshiba для своих Bluetooth-устройств, используемых многими производителями оборудования, в числе которых оказались ASUS, Dell, Sony и другие бренды.

Добавлено через 34 секунды
Обе атаки основаны на ошибках синхронизации потоков (race condition). Такие ошибки часто встречаются в драйверах, обрабатывающих асинхронные запросы от сетевых устройств и охватывающие широкий спектр оборудования, простилающийся от инфракрасных адаптеров до DSL-модемов. Как известно, программы, работающие с большим количеством соединений (например, клиенты файлообменных сетей), способны обрушивать систему в BSOD с посмертным сообщением IRQL_NOT_LESS_OR_EQUAL. Это - следствие "удара по памяти", возникающего из-за разрушения базовых структур данных в небрежно написанном драйвере сетевого устройства, страдающего ошибками синхронизации. Прикладные программы лишь создают условия, наиболее "благоприятные" для проявления ошибки, но сами по себе они не виноваты и претензии пользователей направлены не по адресу, а претензий таких - много! Настолько много, что у большинства программ подобного рода соответствующий пункт явно включен в FAQ.

Аналогичная картина наблюдается и с Bluetooth-устройствами, сырость драйверов которых породила целый класс атак под общим называнием BlueSmack, основанных на шторме эхо-запросов, направленных на жертву и вызывающих все тот же "голубой экран смерти". Долгое время никто из хакеров не интересовался, что именно происходит при этом, какой характер носят разрушения и можно ли осуществить нечто более умное, чем банальный отказ в обслуживании?

Johnny cache стал первым хакером, вызывавшим направленный удар по памяти, в результате которого ему удалось воздействовать на регистр EIP с передачей управление на shell-код, исполняющийся в режиме ядра, то есть на наивысшем уровне привилегий. За ним начали подтягиваться и остальные. Есть все основания утверждать, что через несколько лет ошибки синхронизации станут одним из основных типов удаленных атак. Причем, если для атаки на Bluetooth-устройство необходимо находится в радиусе его действия (которое в лучшем случае составляет несколько километров, да и то лишь в случае применения хакером специальной антенны), DSL-модемы доступны со всех концов Интернета!

Реализация направленного удара по памяти
Механизмы обработки асинхронных событий драйверами подробно описаны в статье Многоядерные процессоры и проблемы ими порождаемые, из которой следует, что при работе с разделяемыми данными программист должен соблюдать особую осторожность и тщательно следить за синхронизацией. Сборка пакетов из фреймов как раз и представляет собой пример работы с разделяемыми данными, однако про синхронизацию программисты традиционно забывают (или реализуют ее неправильно) в результате чего возникает угроза разрушения данных - если обработка одного фрейма прерывается в "неудобном" месте, разделяемые структуры данных оказываются недостроенными, а поведение драйвера становится непредсказуемым.

В большинстве случаев в недостроенных структурах находится "мусор", среди которого встречаются и поля, ответственные за размер пакета, и указатели/индексы на другие данные. Очевидно, что попытка обращения по "мусорному" указателю (в том числе и указателю, вычисленному на основе "мусорного" индекса) с высокой степенью вероятности приводит к ошибке доступа. В драйверах уровня ядра она обычно заканчивается голубым экраном смерти, сопровождаемым сообщением IRQL_NOT_LESS_OR_EQUAL. Так происходит потому, что на том уровне IRQL, на котором работают отложенные процедуры и обработчики прерываний, подкачка страниц не работает и при обращении к странице, отсутствующей в памяти, операционная система генерирует ошибку IRQL_NOT_LESS_OR_EQUAL, что часто вводит в заблуждение многих пользователей и программистов относительно истинной причины аварии.

Для реализации DoS-атаки обычно достаточно утилиты наподобие ping, генерирующей большое количество пакетов и позволяющей варьировать промежутки времени между посылками. Атака носит вероятностный характер и чтобы добиться проявления ошибки синхронизации, необходимо послать достаточно большое количество пакетов через определенные промежутки времени, обусловленные конструктивными особенностями драйвера и "железки", которой он управляет. На некоторых промежутках ошибка синхронизации может вообще не проявляться, а на некоторых - выпрыгивать после нескольких пакетов (ну, "нескольких" - это в идеале). Можно посылать как UDP, так и ICMP-пакеты, направленные как на открытый, так и на закрытый порт. Некоторые ошибки синхронизации проявляют себя на всем "спектре", некоторые - только на эхо-запросах. Интервал времени, от которого следует "плясать", составляет порядка 500 микросекунд.

Перед началом экспериментов необходимо настроить систему на сохранение полного дампа памяти в случае аварии (Панель управления -> Система -> Дополнительно -> Загрузка и восстановление -> Запись отладочной информации -> Полный дамп памяти) или установить отладчик soft-ice, перехватывающий "голубые экраны смерти". В случае возникновения ошибки это поможет понять, что же, собственно, произошло и какие перспективы в плане выполнения shell-кода оно дает. Главное - не забывать, что ошибки синхронизации носят вероятностный характер и потому обрушения могут происходить в различных местах, одни из которых допускают передачу на shell-код, а другие - нет.

Добавлено через 38 секунд
В качестве иллюстрации можно привести пару дампов памяти, полученных johnny cache: http://www.802.11mercenary.net/~john.../dd/crash2.zip и http://www.802.11mercenary.net/~john.../dd/crash3.zip. Объектом атаки выступил драйвер беспроводного устройства Intel Centrino PRO, которому посылались UDP-пакеты размером в 1400 байт, заполненные байтами CCh и посылаемые на порт 2048 (прослушиваемый утилитой netcat) с интервалом в 400 микросекунд.

Через непродолжительное время после начала атаки операционная система (которой в данном случае являлась Windows XP) выбрасывает "голубой экран" и сохраняет дамп памяти в файл memory.dmp. Для его анализа необходимо иметь отладчик Microsoft Kernel Debugger, входящий как в распространяемый по подписке DDK, так и в доступный для бесплатного скачивания Microsoft Debugging Tools: http://www.microsoft.com/whdc/devtoo...g/default.mspx.

Загрузка дампа в отладчик в общем случае осуществляется так:

i386kd -z C:\WINNT\memory.dmp y SRV*D:\sym*http://msdl.microsoft.com/download/symbols

Листинг 1. Командная строка для загрузки дампа в отладчик.

Здесь: "i386kd" - имя исполняемого файла консольной версии отладчика. Если вы предпочитаете GUI, используйте вместо него windbg. Он нагляднее, но беднее по функциональности, однако для наших задач вполне хватит и его; "C:\WINNT\memory.dmp" - путь к файлу памяти, по умолчанию создаваемом в системном каталоге Windows; "SRV*D:\sym*http://msdl.microsoft.com/download/symbols" - путь к каталогу, в котором хранятся файлы с символьной информацией (в данном случае это "D:\sym") и адрес сервера Microsoft, откуда отладчик будет автоматически скачивать эти символы, при необходимости. Символьные файлы занимают значительный объем и на медленных каналах их загрузка может занять значительное время. По умолчанию загружаются только символы ядра, после чего отладчик высвечивает приглашение и мерцающий курсор.

Добавлено через 1 минуту 11 секунд
http://www.insidepro.com/kk/348/348r.shtml

Добавлено через 2 минуты 13 секунд
http://www.pgpru.com/forum/politikap...2#Comment32290

Современные материнские платы не имеют физических переключателей (перемычек), запрещающих запись в BIOS,
наличие "универсального" алгоритма внедрения в BIOS это не предположение, а реальность
, свободного места в современных биосах – несколько мегобайт, да и
Любой умный чел может изменить (“обновить”) ваш BIOS прям из OS

Особенно не повезло владельцем процессоров INTEL
SMM-handler на платформе Intel можно "спрятать" – после выставления специального регистра нельзя никак найти (точный адрес) и добраться до области памяти, где он располагается. Сделано как-бы в противовес к вышеупомянутой уязвимости. А в результате получается ещё одна дырка (или фича – выбирайте на свой вкус):"предустановленные" бирусы на компьютерах от производителя из враждебно настроенной страны – никак нельзя будет обнаружить
От этого не спасает даже виртуализация
На Intel-системах (Intel VT) SMM-handler "сквозной" – это значит, что будь ты хоть трижды в виртуальной системе, однако выполнив SMM-прерывание с бирусом – получишь власть над всем железом, сможешь найти в памяти родительскую ОС и "выбиться в главные"


Компьютер для бирусофобов – AMD-процессор на VIA чипсете. Или на SiS. Лишь эти два производителя реально придерживались стандартов, которые в своё время написали/разработали в том числе и большей частью товарищи из Intel. Понятно, что их уже нет (в проивзодительном сегменте компьютеров). Тогда даже не посоветую. Но точно – не Intel.

Добавлено через 2 минуты 11 секунд
Пояснение: "Режим системного управления (System Management Mode, SMM) – самый привилегированный режим выполнения на процессорах архитектуры x86/x86_64, даже более привилегированный, чем режим "ring 0" и аппаратный гипервизор (VT/AMD-v), известный также, как "ring -1".

Позволяет осуществлять доступ ко всей системной памяти, включая ядро и память гипервизора. Стандартные механизмы защиты памяти операционной системы (Page Tables), равно как и средства виртуализации памяти гипервизора (Shadow Paging, Nested Paging/EPT, IOMMU/VT-d) не срабатывают против кода SMM.

Кроме того, на процессорах Intel код SMM может "перехватывать" даже гипервизор VT-xсякий раз, когда поступает запрос на SMI-прерывание. Для гипервизора же существует способ установить специальный логический объект (назваемый выше SMM-handler), позволяющий перехватывать SMI-прерывания"

О SMM можно почитать тут

Добавлено через 5 минут 26 секунд
Зверский взлом Windows Vista

http://stfw.ru/page.php?id=7407

Добавлено через 17 минут 48 секунд
Сколько дыр, столько и ломать будут раз..
Владельцам интела не позавидуешь. Это 70% компов которых поимеют злые вири.
Неправда ли, что в последнее время траблов стало больше*???
TWKR вне форума   Ответить с цитированием
Старый 16.08.2009, 22:27   #14
Меню пользователя vlad_dt
Старожил
  
Про "вшитые трояны от недружественных стран" - это круто! Сразу к доктору желательно. Или впаривать очередной Эльбрус туповатым российским военным.
На материнках действительно нету защиты от записи биос, зато практически всегда есть бэкапный биос, который для перезаписи недоступен. Простейшая задача для антивируса - сравнить их.

А вообще забавная статья. Пример того как далеко может улететь человек, летающий в облаках. Напоминает физика-теоретика, изучающего черные дыры, но теряющегося перед сломаной микроволновкой. Самое веселое, что от заражения - эта дамочка защищена только тем, что МакОС никому не нужна. Как ее система виртуальных машин спасет от вируса - принесенного на флешке? Или флешками она не пользуется? Как ее нереальная "защищенность" спасет от ARP poison в сети? А может если она антивирусов не любит, так может у нее и Wi-Fi все еще на WEP?

Добавлено через 7 минут 29 секунд
Цитата:
Сообщение от TWKR Посмотреть сообщение
Владельцам интела не позавидуешь. Это 70% компов которых поимеют злые вири.
Реальный пример живого вируса основанного на этой уязвимости - в студию.
__________________
Core2Duo E8400, 4 Gb RAM, 320 Gb + 320 Gb + 1 Tb, GF 8800 GTX, CoolerMaster Stacker 810.

Последний раз редактировалось vlad_dt, 16.08.2009 в 22:25.
vlad_dt вне форума   Ответить с цитированием
Старый 05.09.2009, 08:26   #15
Меню пользователя Panzer VI
Пользователь
 
Аватар для Panzer VI
  
Цитата:
Сообщение от TWKR Посмотреть сообщение
Сколько дыр, столько и ломать будут раз..
Владельцам интела не позавидуешь. Это 70% компов которых поимеют злые вири.
Интересно, кто-нибудь из хакеров использует эти уязвимости?
На фоне разнообразия из дыр ОС, приложений, браузера?
Panzer VI вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Справочник словарей
Словари русского языка - www.gramota.ru Яndex - Словари Википедия - ru.wikipedia.org

Часовой пояс GMT +4, время: 16:59.


Powered by: vBulletin, ©2000 - 2007, Jelsoft Enterprises Limited.
Перевод: zCarot
Распространение информации возможно только с письменного разрешения администрации издания.

THG.ru ("Русский Tom's Hardware Guide") входит в международную сеть TG Publishing

РЕКЛАМА

Rambler's Top100 Рейтинг@Mail.ru