hit counter
Virtualization Security: botta e risposta su Blue Pill - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Virtualization Security: botta e risposta su Blue Pill

Virtualization Security: botta e risposta su Blue Pill

  • Comments 5
  • Likes

In occasione dell'evento getVIRTUALnow, la giornata di lancio delle nuove soluzioni Microsoft sulla virtualizzazione di cui ha dettagliatamente parlato Giorgio, cade a fagiuolo il nuovo scambio a distanza di opinioni, riportato da ZDNet, sull'efficacia dell'attacco "Blue Pill" (che ricordo essere il proof-of-concept rootkit che usa tecniche di virtualizzazione per potersi totalmente celare, è qui il merito dell'annosa diatriba, alla vista del sistema operativo).

Approfittando del Teched in Australia Steve Riley ha messo in dubbio il fatto che tale attacco non sia di fatto rilevabile, posizione che viene ribadita anche da alcuni studi di ricerca.

A distanza, la Rutkowska ha subito confutato punto per punto le dichiarazioni di Steve Riley.

Non c'è dubbio, la discussione si sta infuocando!

Conosco abbastanza bene l'approccio di Steve Riley per escludere che abbia fatto quelle dichiarazioni senza essersi adeguatamente documentato sui veri risultati delle presentazioni all'ultimo Black Hat, come gli rimprovera la Rutkowska: mi aspetto di vedere presto un post sul suo blog, e allora vi aggiornerò.

Personalmente sono ancora in fase di studio su questi aspetti di virtualization security (per cui per ora non mi sbilancio), ma a parte questa interessante discussione sullo specifico attacco Blue Pill mi ha colpito la considerazione di Steve sul fatto che gli aspetti di virtualizzazione non cambiano di fatto l'approccio del professionista di sicurezza impegnato nell'hardening dei sistemi:

So where does that leave the security professional who manages these systems? According to Riley, exactly where they were before the rise of virtual machines. "You have to ask: is there malware on my system? You can be 100 percent certain there is no malware that you can detect, but less than 100 percent certain that there is no malware at all. Now, ladies and gentlemen, isn't this true of every computer we already have? There is no difference just because it's virtualisation. Riley warned the audience: "Don't let the hype machines cloud your understanding of what you need to do. Apply your knowledge to the next evolutionary step, but don't expect that everything you have learned is something you have to throw away."

Voi condividete?

Altri post/risorse correlate:

Share this post :
Comments
  • PingBack from http://www.grabbernews.com/virtualization-security-botta-e-risposta-su-blue-pill-17073.html

  • secondo me questi discorsi dei rootkit invisibili non hanno senso perchè prima di chiedersi se si possono rilevare, occorre chiedersi come entrano nel sistema Quindi a meno che non cii sono falle di sicurezza, a meno che non si ottengono privilegi di amministratore, o a meno che non si ha già accesso fisico alla macchina, nessun rootkit può insinuarsi nel sistema operativo e di fatto bluepill è uguale a qualsiasi altro malware.

  • Beh, certo, se il software fosse perfetto e se le persone che lo gestiscono non sbagliassero nulla... :-P

    A parte gli scherzi, la presentazione non parla di sostituire l'hypervisor, ma di insinuare un qualcosa al di sotto di esso sfruttando una vulnerabilità: nel caso specifico un overflow nel FLASK Module di Xen.

    Chissà se l'approccio VMSafe sarà efficace nel prevenire certi attacchi (fornisce API per controllare CPU/Storage/Memoria/Network delle VMs a livello di Hypervisor); non è che anche MS si sta muovendo in questa direzione? ;-)

  • Curioso come due persone che stimo moltissimo come Steve Riley e Joanna Rutkowska possano entrare in conflitto senza saperlo. Io ho visto la documentazione e le demo di Black Hat come anche l'intera presentazione di Steve Riley. Direi che zdnet ha completamente decontestualizzato l'intervento di Steve e che la Rutkowska abbia fatto ciò di cui accusava "Mr Riley". Se fosse andata a vedere la sessione avrebbe capito immediatamente ed avrebbe evitato un post decisamente fuoriluogo e con quel tono da saccente che poco si adatta alla situazione.

  • Hai proprio ragione Francesco, un altro classico esempio del sensazionalismo ormai presente anche nella stampa tecnica... :-(

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment