09 September 2008

Virtualization Security: botta e risposta su Blue Pill

In occasione dell'evento getVIRTUALnow, la giornata di lancio delle nuove soluzioni Microsoft sulla virtualizzazione di cui ha dettagliatamente parlato Giorgio, cade a fagiuolo il nuovo scambio a distanza di opinioni, riportato da ZDNet, sull'efficacia dell'attacco "Blue Pill" (che ricordo essere il proof-of-concept rootkit che usa tecniche di virtualizzazione per potersi totalmente celare, è qui il merito dell'annosa diatriba, alla vista del sistema operativo).

Approfittando del Teched in Australia Steve Riley ha messo in dubbio il fatto che tale attacco non sia di fatto rilevabile, posizione che viene ribadita anche da alcuni studi di ricerca.

A distanza, la Rutkowska ha subito confutato punto per punto le dichiarazioni di Steve Riley.

Non c'è dubbio, la discussione si sta infuocando!

Conosco abbastanza bene l'approccio di Steve Riley per escludere che abbia fatto quelle dichiarazioni senza essersi adeguatamente documentato sui veri risultati delle presentazioni all'ultimo Black Hat, come gli rimprovera la Rutkowska: mi aspetto di vedere presto un post sul suo blog, e allora vi aggiornerò.

Personalmente sono ancora in fase di studio su questi aspetti di virtualization security (per cui per ora non mi sbilancio), ma a parte questa interessante discussione sullo specifico attacco Blue Pill mi ha colpito la considerazione di Steve sul fatto che gli aspetti di virtualizzazione non cambiano di fatto l'approccio del professionista di sicurezza impegnato nell'hardening dei sistemi:

So where does that leave the security professional who manages these systems? According to Riley, exactly where they were before the rise of virtual machines. "You have to ask: is there malware on my system? You can be 100 percent certain there is no malware that you can detect, but less than 100 percent certain that there is no malware at all. Now, ladies and gentlemen, isn't this true of every computer we already have? There is no difference just because it's virtualisation. Riley warned the audience: "Don't let the hype machines cloud your understanding of what you need to do. Apply your knowledge to the next evolutionary step, but don't expect that everything you have learned is something you have to throw away."

Voi condividete?

Altri post/risorse correlate:

Share this post :

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# Virtualization Security: botta e risposta su Blue Pill said:

PingBack from http://www.grabbernews.com/virtualization-security-botta-e-risposta-su-blue-pill-17073.html

09 September 08 at 8:55 AM

# gnoccaSenzaTesta said:

secondo me questi discorsi dei rootkit invisibili non hanno senso perchè prima di chiedersi se si possono rilevare, occorre chiedersi come entrano nel sistema Quindi a meno che non cii sono falle di sicurezza, a meno che non si ottengono privilegi di amministratore, o a meno che non si ha già accesso fisico alla macchina, nessun rootkit può insinuarsi nel sistema operativo e di fatto bluepill è uguale a qualsiasi altro malware.

10 September 08 at 5:51 AM

# Simone said:

Beh, certo, se il software fosse perfetto e se le persone che lo gestiscono non sbagliassero nulla... :-P

A parte gli scherzi, la presentazione non parla di sostituire l'hypervisor, ma di insinuare un qualcosa al di sotto di esso sfruttando una vulnerabilità: nel caso specifico un overflow nel FLASK Module di Xen.

Chissà se l'approccio VMSafe sarà efficace nel prevenire certi attacchi (fornisce API per controllare CPU/Storage/Memoria/Network delle VMs a livello di Hypervisor); non è che anche MS si sta muovendo in questa direzione? ;-)

10 September 08 at 4:55 PM

# FrancescoB said:

Curioso come due persone che stimo moltissimo come Steve Riley e Joanna Rutkowska possano entrare in conflitto senza saperlo. Io ho visto la documentazione e le demo di Black Hat come anche l'intera presentazione di Steve Riley. Direi che zdnet ha completamente decontestualizzato l'intervento di Steve e che la Rutkowska abbia fatto ciò di cui accusava "Mr Riley". Se fosse andata a vedere la sessione avrebbe capito immediatamente ed avrebbe evitato un post decisamente fuoriluogo e con quel tono da saccente che poco si adatta alla situazione.

16 September 08 at 5:44 AM

# Feliciano Intini said:

Hai proprio ragione Francesco, un altro classico esempio del sensazionalismo ormai presente anche nella stampa tecnica... :-(

16 September 08 at 9:54 AM

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

Name (required)
Your URL (optional)
Comments (required)

Enter Code Here: Required
Remember Me?

Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2)

Notizie, best practice, strategie ed innovazioni di Sicurezza e Virtualizzazione su tecnologia Microsoft

Search

A proposito di me ...

Assolutamente da non perdere (mini-portali tematici)

Blog e risorse Microsoft sulla Sicurezza

My Super Microsoft Security Portal

Gocce di Blogosfera ... (alcune mie letture)

Microsoft Italia

Top malware infections

Conficker worm: considerations and resources for effective containment

Blog Information Profile for felicin