Alfonso Maruccia

Antivirus bucati? Si, da 14 anni

Una societÓ di ricerca pubblica i dettagli di quello che a suo dire Ŕ un attacco da cui nessun antivirus sarebbe immune. La teoria Ŕ nota giÓ da parecchi anni, ma in pratica...

Roma - Molti, se non tutti gli antivirus attualmente in circolazione per sistemi Windows soffrirebbero di una vulnerabilità "storica" di notevole gravità, grazie alla quale un malware sufficientemente sofisticato potrebbe bypassare la scansione in tempo reale e prendere agilmente il controllo del sistema bersaglio. Lo denuncia Matousec, addolcendo la pillola con la constatazione della non banale difficoltà di implementazione richiesta dall'attacco.

Il baco, dice la società di ricerca, interessa tutti i software di sicurezza che sfruttano l'hooking nel kernel di Windows attraverso la System Service Descriptor Table (SSDT) per monitorare il comportamento del software in esecuzione. Sfruttando i ridottissimi tempi di risposta connessi alle operazioni di switch tra i processi, un eventuale agente patogeno progettato per sfruttare il baco potrebbe superare agilmente la protezione dell'antivirus e compiere ogni genere di azione malevola - installazione di un driver di periferica fittizio, chiamata di una funzione non documentata e quant'altro.

Il problema, come già detto, è noto da parecchio tempo e già 14 anni fa gli è stato affibbiata la definizione di bug time-of-check-to-time-of-use. Dei 34-35 software di sicurezza testati, sostiene Matousec, il 100 per cento è risultato vulnerabile inclusi nomi blasonati del settore come McAfee, BitDefender, F-Secure, Trend Micro, Kaspersky e Sophos.
Le società interessate ammettono l'esistenza della vulnerabilità, e tuttavia tendono a ridimensionare l'allarme lanciato da Motusec per via delle problematiche connesse al suo sfruttamento. Per realizzare un exploit pienamente funzionante, infatti, un eventuale cracker o malware writer dovrebbe agire con pieni poteri di esecuzione di codice sulla macchina in locale.

Anche ipotizzando l'impiego di un secondo exploit per depositare il codice sul sistema, inoltre, la sensibilità delle operazioni di context switching (del passaggio cioè tra due processi attivi in memoria) richiede una temporizzazione estremamente precisa nell'esecuzione del payload, che si "rilassa" un po' nel caso delle CPU multi-core.

Più che a risolvere una vulnerabilità teorica risalente quasi a tre lustri fa, insomma, le società di sicurezza parrebbero interessate ad affrontare i problemi posti dalla quotidianità e dalle nuove applicazioni di computing rese possibili dall'evoluzione tecnologica. Ne è esempio perfetto la messa a punto della tecnologia HyperSafe, sistema che include una serie di accorgimenti pensati per inibire la possibile "fuga" di malware eseguito all'interno di una macchina virtuale e l'eventuale infezione a catena delle altre virtual machine presenti nello stesso sistema distribuito, sotto il controllo del medesimo hypervisor.

Alfonso Maruccia
Notizie collegate
70 Commenti alla Notizia Antivirus bucati? Si, da 14 anni
Ordina
  • Per realizzare un exploit pienamente funzionante, infatti, un eventuale cracker o malware writer dovrebbe agire con pieni poteri di esecuzione di codice sulla macchina in locale.
    Praticamente il 98% del parco macchine windows, escludendo quelli che sono in dominio.
    Wolf01
    3335
  • - Scritto da: Wolf01
    > Per realizzare un exploit pienamente
    > funzionante, infatti, un eventuale cracker o
    > malware writer dovrebbe agire con pieni poteri di
    > esecuzione di codice sulla macchina in
    > locale.

    > Praticamente il 98% del parco macchine windows,
    > escludendo quelli che sono in
    > dominio.

    Nel 98% di quelle che sono in dominio l'utente e' comunque amministratore della macchina locale.
  • - Scritto da: panda rossa

    >
    > Nel 98% di quelle che sono in dominio l'utente e'
    > comunque amministratore della macchina
    > locale.

    per fortuna non è vero
  • - Scritto da: panda rossa
    > - Scritto da: Wolf01
    > > Per realizzare un exploit pienamente
    > > funzionante, infatti, un eventuale cracker o
    > > malware writer dovrebbe agire con pieni poteri
    > di
    > > esecuzione di codice sulla macchina in
    > > locale.

    > > Praticamente il 98% del parco macchine windows,
    > > escludendo quelli che sono in
    > > dominio.
    >
    > Nel 98% di quelle che sono in dominio l'utente e'
    > comunque amministratore della macchina
    > locale.
    Minchia che cazzataA bocca aperta
    non+autenticato
  • Mi sento più sicuro con un windows settato bene piuttosto che con linux o addirittura Apple.

    Non gestirei mai dati sensibili con sistemi come apple il cui investimento per la sicurezza è pari a zero.

    E' sempre il più bucato nei test, essendo poco diffuso interessa ancora a pochi, ma se fosse interessante......

    Linux??? Ho visto tante installazioni fatte da cani, con bug di sicurezza che nemmeno win95 avrebbe.

    Saluti
    non+autenticato
  • La trollata è ottima, ma servirebbe metterla in nuovo thread per generare il giusto flame.
  • - Scritto da: Feliciaus
    > Mi sento più sicuro con un windows settato bene
    > piuttosto che con linux o addirittura
    > Apple.
    >

    Hai poco da settare bene un sistema bacato by design!
    Rileggi l'articolo, e poi scaricati una bella live di ubuntu.
  • > - Scritto da: Feliciaus
    > > Mi sento più sicuro con un windows settato bene
    > > piuttosto che con linux o addirittura
    > > Apple.
    > >
    >
    > Hai poco da settare bene un sistema bacato by
    > design!
    > Rileggi l'articolo, e poi scaricati una bella
    > live di
    > ubuntu.
    Si, poi dagliela alla zia pina e SPEGNI il cellulare...A bocca aperta
    non+autenticato
  • - Scritto da: GoG

    > > Nel 98% di quelle che sono in dominio l'utente
    > e'
    > > comunque amministratore della macchina
    > > locale.
    > Minchia che cazzataA bocca aperta

    Gli amministratori di rete clicca clicca (di solito il cuggino dell'amico del figlio), che certe ditte preferiscono al sistemista unix, perche' avendo speso una paccata di soldi in licenze, devono risparmiare, non sapendo come fare a dare permessi limitati agli utenti per permettere loro di accedere almeno in lettura nelle cartelle di sistema e per permettergli di cambiare la data e l'ora, fanno prima ad impostare ogni utente come amministratore della macchina locale, con somma gioia dei gestori delle botnet russe.
  • Domanda da ignorante: sono utilizzatore di WIndows da sempre e mi sto avvicinando a Linux (Ubuntu 10.04).
    La domanda è la seguente: come fa Linux a "capire" che sto scaricando un virus o malware se non c'è l'antivirus che lo riconosce e non farmelo aprire quando, terminato il download, faccio doppio click per eseguire un file, ad esempio, DEB?
    In Windows mi segnala il probabile virus ma Linux?
    Grazie a chi risponderà.
    non+autenticato
  • - Scritto da: MegaLoL
    > Domanda da ignorante: sono utilizzatore di
    > WIndows da sempre e mi sto avvicinando a Linux
    > (Ubuntu
    > 10.04).
    > La domanda è la seguente: come fa Linux a
    > "capire" che sto scaricando un virus o malware se
    > non c'è l'antivirus che lo riconosce e non
    > farmelo aprire quando, terminato il download,
    > faccio doppio click per eseguire un file, ad
    > esempio,
    > DEB?
    > In Windows mi segnala il probabile virus ma Linux?
    > Grazie a chi risponderà.

    Intanto con linux non si scarica roba a caso trovata chissa' dove per il web, non c'e' necessita' di warez, crack, keygen o robaccia del genere.
    Tutto il software si trova nei repository ufficiali a cui si accede attraverso apposito gestore di pacchetti.

    Poi, i virus tipicamente presenti negli eseguibili per winsozz (es. PamelaAnderson.exe) su linux non funzionano, e non fanno danni neppure se lo lanci sotto wine.

    Infine, se proprio vuoi scaricare dalla rete qualcosa di maligno, devi essere tanto furbo da assegnare a quel file i permessi di esecuzione, e poi eseguirlo, e se proprio sei furbissimo, ma di quelli che a te le volpi fanno un baffo, lo esegui premettendo sudo.

    A quel punto non ti resta che piallare tutto, reinstallare il sistema e recuperare i tuoi dati dal backup, perche' avrai fatto un backup, vero?
  • E loro hanno backdoor e bug condivisi come ora rivelano... perchè è tutto un "magna magna" .. come quello dei banchieri che hanno causato la crisi attuale ed i manager delle multinazionali la hanno proseguita lucrandoci sopra licenziando in occidente e spostando le fabbriche in India e Cina. Ehh!
    E vai di raggiri, truffe, intrallazzi... Evviva i '68ini a capo di banche e multinazionali.. bel mondo hanno regalato all'umanità i figli dei fiori arrivati al potere.. ehh!
    non+autenticato
  • - Scritto da: chojin999a


    > E vai di raggiri, truffe, intrallazzi... Evviva i
    > '68ini a capo di banche e multinazionali.. bel
    > mondo hanno regalato all'umanità i figli dei
    > fiori arrivati al potere..
    > ehh!

    Hai ragione, tutti a prendere i fucili
    non+autenticato
  • Per non parlare degli yuppies rampanti anni '80, che continuano ad usare prodotti M$ bacati, solo perchè sulla confezione c'è scritto "Windows super extreme mega professional edition".
    non+autenticato
  • - Scritto da: chojin999a
    > E loro hanno backdoor e bug condivisi come ora
    > rivelano... perchè è tutto un "magna magna" ..
    >

    E che dire del buco dell'ozono?
  • - Scritto da: HappyCactus
    > - Scritto da: chojin999a
    > > E loro hanno backdoor e bug condivisi come ora
    > > rivelano... perchè è tutto un "magna magna" ..

    > E che dire del buco dell'ozono?

    Lo aprono gli aerei che spargono le scie chimiche no ?
    krane
    22528
  • - Scritto da: krane
    > - Scritto da: HappyCactus
    > > - Scritto da: chojin999a
    > > > E loro hanno backdoor e bug condivisi come ora
    > > > rivelano... perchè è tutto un "magna magna" ..
    >
    > > E che dire del buco dell'ozono?
    >
    > Lo aprono gli aerei che spargono le scie chimiche
    > no
    > ?

    Io pensavo che fosse colpa del CERN
  • - Scritto da: Thescare
    > - Scritto da: krane
    > > - Scritto da: HappyCactus
    > > > - Scritto da: chojin999a
    > > > > E loro hanno backdoor e bug condivisi come
    > > > > ora rivelano... perchè è tutto un "magna
    > > > > magna" ..
    > > > E che dire del buco dell'ozono?

    > > Lo aprono gli aerei che spargono le scie
    > > chimiche no ?

    > Io pensavo che fosse colpa del CERN

    No, li' i buchi li fanno neri.
    krane
    22528
  • - Scritto da: krane
    > - Scritto da: Thescare
    > > - Scritto da: krane
    > > > - Scritto da: HappyCactus
    > > > > - Scritto da: chojin999a
    > > > > > E loro hanno backdoor e bug condivisi come
    > > > > > ora rivelano... perchè è tutto un "magna
    > > > > > magna" ..
    > > > > E che dire del buco dell'ozono?
    >
    > > > Lo aprono gli aerei che spargono le scie
    > > > chimiche no ?
    >
    > > Io pensavo che fosse colpa del CERN
    >
    > No, li' i buchi li fanno neri.
    ma stanno aspettando il 2012 per fare quello giustoOcchiolino
    non+autenticato
  • poche idee, molta confusione
    non+autenticato
  • > E vai di raggiri, truffe, intrallazzi... Evviva i
    > '68ini a capo di banche e multinazionali.. bel
    > mondo hanno regalato all'umanità i figli dei
    > fiori arrivati al potere..
    > ehh!

    I figli dei fiori si sono estinti. Triste
  • La cara e vecchia Microsoft non si smentisce mai. Ogni volta ce n'è una che è pronta a mettere alla prova le capacità investigative e tecniche degli hacker (nel senso buono del termine). ma per fortuna il più delle volte ci riescono. altre, come questa, non si riescono a tappare neanche dopo 17 anni, cioè non poco.
    non+autenticato
  • Saranno anche blasonati, ma in testa alle charts di av-comparatives ci sono quasi sempre i soliti: Avira, Avast, AVG, mentre quelli da voi menzionati e "sponsorizzati" sono perennemente in retroguardia, sopratutto "Storton antiniente" e "FammiunCaffèmacchiato", che missano da favola e appesantiscono il sistema con i loro cotechini anti-niente.

    Thò, fatevi un ripassino va, che è meglio:
    http://www.av-comparatives.org/images/stories/test...
    non+autenticato
  • Bé, AVG non è propria na cima nelle classifiche sulla rilevazione. Meglio fermarsi ai primi due.
    Riguardo la vulnerabilità sarebbe preoccupante, però effettivamente se dopo 14 anni nessuno ci è riuscito (o non si sapeva??) dubito che in futuro.. anche se...
    non+autenticato
  • Sono utente Avira e sono generalmente ben consapevole di quel che scrivo in merito alla sicurezza informatica Con la lingua fuori

    Detto questo, non m'è venuto di scrivere Avira ma ciò non toglie alcunché alle sue qualità. Augh.
  • e non motusec, giusto per la cronaca.
    non+autenticato
  • grazie, sistematoOcchiolino
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)