Ile prawdy w doniesieniach o nieusuwalnej luce Windows 7?

Większość liczących się portali o tematyce komputerowej (w tym OSnews.pl) poinformowało jakiś czas temu o nieusuwalnej luce lub błędach programistycznych w nowym, jeszcze niewydanym systemie Windows 7. Tylko ile w tym prawdy i jak niebezpieczna jest opisana luka?

Jak czytamy w najnowszym wpisie Dziennika Analityków narzędzie o nazwie Vbootkit 2.0 nie wykorzystuje żadnej luki w systemie operacyjnym. A mówienie o luce dotyczącej tylko Windows 7 to naprawdę grube nadużycie.

Po pierwsze, bootkit jako taki może zostać wykorzystany na dowolnym systemie operacyjnym. Nie ma tutaj znaczenia fakt, że jest to Windows 7, równie dobrze może to być Windows Vista, Linux czy Solaris. Po drugie nie można mówić o luce w systemie operacyjnym, jeżeli program zaczyna działanie PRZED wystartowaniem systemu. Podobne prace związane z ideą bootkitów prowadzone są już od kilku lat i nie są wielką nowością.

„Odkrycie” luki z pewnością przyniosło rozgłos autorom narzędzia, Vipinowi Kumar i Nitinowi Kumar. Ich program stał się najgłośniejszym pomysłem zaprezentowanym na konferencji HITB (Hack In The Box Security Conference). Szczegółowe materiały można pobrać w postaci pliku PDF.

Mimo, że sam projekt jest bardzo ciekawy, jednak raczej nie ma szans na jego masowe wykorzystanie z przynajmniej dwóch powodów:

  1. Wymaga fizycznego dostępu do komputera ofiary
  2. Po restarcie Vbootkit znika z dysku

Jego zastosowanie wymaga, aby atakujący miał dostęp do komputera (a ten zezwalał na rozruch z zewnętrznych nośników) oraz ciągłej pracy zaatakowanego komputera. A to mało prawdopodobne nawet w filmach.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar Teodorka
    Teodorka

    brawo ze sie ktos odwazył to sprostowac

    1. Awatar Emdé
      Emdé

      Przecież sprostowałem to już w moim nieszczęsnym newsie o "nienaprawialnej luce"…

  2. Awatar Tomacaster
    Tomacaster

    a czy ktoś wie czemu znika z dysku?

    1. Awatar LV
      LV

      Jedną z cech tego bootkita jest to, że go na dysku w ogóle nie ma, jest jedynie w pamięci i na nośniku, z którego jest bootowany system – po restarcie znika z pamięci, na dysku go przecież nie było.
      .
      Błąd w arcie i tyle…

      1. Awatar abc
        abc

        Myślę, że jeśli to ustrojstwo ma nieograniczony dostęp do zasobów to można z użyciem tego podmienić bootloader na dysku (i wtedy nie znika tylko ładuje się co uruchomienie). Co nie zmienia faktu że najpierw trzeba mieć fizyczny dostęp do komputera i jeśli żeby zmienić nośnik startowy trzeba wejść do BIOs-u to i hasło do tego (w większości obecnych płyt głównych nie trzeba)

        1. Awatar LV
          LV

          Większość obecnych płyt głównych pozwala wybrać jednorazowo nośnik do bootowania bez wchodzenia do SETUPu.
          .
          Tak, może podmienić, w założeniach autorów ma nie pozostawiać śladów na dysku w ogóle.

        2. Awatar abc
          abc

          W założeniu autora pierwszy wirus był prawdopodobnie tylko PoC, a co mamy teraz? 😉

        3. Awatar LV
          LV

          Postępu się nie zatrzyma – czego nie odkryje jeden, stworzy drugi.
          .
          …dzięki temu, że ktoś wymyślił i upowszechnił malware mam pracę, inni zaś zarabiają relatywnie ogromne sumy na tworzeniu tego syfu. Faktem jest, że wolałbym świat bez tego ścierwa, ale to niewykonalne – wynika to m.in. z ludzkiej natury.

        4. Awatar PACH
          PACH

          @abc
          Z tą podmianą bootloadera to też nie taka prosta sprawa, bo Vista/7 (nie wiem jak wcześniejsze) buntują się, gdy coś z nim jest nie tak i jedyne co wtedy zobaczysz to kod błędu i sugestia, by włożyć płytkę instalacyjną, wybrać język i kliknąć napraw.

      2. Awatar Mariusz
        Mariusz

        Odpal dowolną dystrybucję Linuxa w wersji Live CD… Też uszyskasz pełny dostęp do plików windowsa… Błąd w systemie? hehehe Nie bądźcie śmieszni…

        1. Awatar LV
          LV

          Odpal *BSD, uszuskasz pełny dostęp do plików Linusa.

  3. Awatar revcorey
    revcorey

    tak bywa jak się słucha chip.pl i komputer świat. One są czymś w rodzaju hm "nieusuwalna luka w windows" więcej w jutrzejszym fakcie!

    1. Awatar LV
      LV

      Problem w tym, że ludzie chętniej wierzą takiemu ścierwu niż ludziom faktycznie znającym się na rzeczy, już to przerabiałem wielokrotnie. Sam pracuję w branży blisko z takimi rzeczami związanymi, gadając z ludźmi (wiedzącymi czym się zajmuję) często spotykam się z argumentem, że to przecież nie tak, nie mam racji, bo taki chip
      extkś napisał inaczej.
      .
      Nasze społeczeństwo jeszcze do niektórych rzeczy nie dojrzało, szczególnie jeżeli o informatykę chodzi, bezmyślna wiara w to, co podają komputerowe brukowce to jeden z przejawów. Zostało to nagłośnione na dwa tygodnie przed wydaniem RC Seven, ciekawe jak bardzo odbije się to na popularności systemu. Zdementowanie nie cofnie uprzedzeń wobec Seven, jakie już sobie ludzie wyrobili.

      1. Awatar Kozodoj
        Kozodoj

        Fachowcy podczas tłumaczeń popełniają kilka błędów. Sam nie wiem jak ich uniknąć, a jednocześnie nie wyjść na zgrywusa, tudzież człeka nieuczciwego.
        1. Tłumaczą zbyt zawile.
        2. Starają się przedstawić złożoność problemu i szereg istniejących poglądów na jego rozwiązanie.
        3. Zakładają, że ktoś chce się czegoś nauczyć (wielki błąd, niestety – w dowolnej dziedzinie, nie tylko w komputerach)
        4. Nie podają prostej recepty w "czterech klikach".
        5. Nie sugerują jednoznacznie, że biorą pełną odpowiedzialność na swoją głowę za "czteroklikowe" rozwiązanie.
        🙂
        No i takie właśnie postępowanie, nie daj Boże połączone z niewystarczająco poddańczą postawą może nie tylko budzić niechęć, ale nawet represje! 😉

        1. Awatar marcinsud
          marcinsud

          z tym tłumaczeniem to do dzisiaj mi wypala oczy "bateria X komorowa"(ang. cell). W żadnej książce elektrycznej i elektronicznej nie spotkałem czegoś takiego, a już na dobre chyba to zagościło w polskim Internecie.

        2. Awatar arhan
          arhan

          Co do tych tłumaczeń problemów i błędów w nich – nie ma sensu tłumaczyć. Nie ma sensu nawet zaczynać i tracić czasu. Trzeba powiedzieć "cokolwiek" i naprawić problem samemu 🙂

        3. Awatar radek
          radek

          marcinsud, zobacz na Wikipedię:

          "bateria koksownicza – to zespół komór koksowniczych pieca koksowniczego wraz z przyległymi komorami grzewczymi i regeneratorami."

          Czyli są komory w bateriach!

    2. Awatar Sławek
      Sławek

      Też ich nie mogę czytać. Przykro mi, ale:
      – gościu pisze na temat wyglądu nowego MS Office, a potem na forum się przyznaje, iż z informatyką ma nie wiele wspolnego.
      – Często artykuły zakrawają o nierzetelność dziennikarską, mieszanie różnych rzeczy z sobą, itd.

      Najgorze jest to, iż ludzie to czytają. Z niektórymi mediami w internecie nie jest lepiej. Wiele portali skopiowało żywcem tę informację. Przynajmniej OS news udostępniło sprostowanie.

    3. Awatar creativenights.pl
      creativenights.pl

      Od redaktorów OSnews możnaby wymagać, by byli nieco mądrzejsi niż żądni kliknięć ludzie z np. chip.pl 🙂

      1. Awatar revcorey
        revcorey

        nie ma czegoś takiego jak redaktorzy osnews(tak na marginesie autor newsa to był chyba rocznik 1996), bo to ma być przynajmniej z założenia portal obywatelski

  4. Awatar Moro
    Moro

    Tylko co jest takiego innowacyjnego w tym bootkit to nie wiem. Większość starych wirusów działała w podobny sposób z tą różnicą, że zwykle zapisywały swoją kopię na dysku.

    1. Awatar LV
      LV

      Żeby zrobić 'reklamę' Windows Seven i zdobyć rozgłos nie trzeba nic innowacyjnego, liczy się coś, co jest medialne i mniejwięcej się kupy trzyma… kicz i lans, 'hackerskie' Dody i Mandaryny.
      .
      Co najmniej czterocyfrowa liczba ludzi na świecie coś takiego zrobi bez większego wysiłku, w czasach MS DOS-u virii robiły bardzo podobne rzeczy aby się rozpowszechniać, ten sprzęt może co najwyżej formatować kod perełkom z dawnych czasów, ale kogo to obchodzi… Zresztą taki Rustock.C zdecydowanie bardziej na miano innowacyjnego zasługuje. Zrobiono z tego cyrk, ku uczesze gawiedzi.

      1. Awatar LV
        LV

        *uciesze, sorry, lekko pod wpływem jestem.

        1. Awatar Sparrow1
          Sparrow1

          To takie "myśli nieuczeszane"? 😉

  5. Awatar Paweł Kondzior
    Paweł Kondzior

    To tylko kwestia czasu. nie dalej niz za rok ktos wykorzysta pomysly i zamieni pierwsza lepsza dziure w botnet ktory laduje sie do biosu, a potem bootuje to gowno przez siec albo z pamieci (wkncu 3kb na flashu biosu powinno sie miescic bez problemu) i bedzie bootnet ktoremu nawet format nie pomoze 🙂

    1. Awatar LV
      LV

      I co jeszcze, w wersji NetBSD będzie się przenosił z tostera na toster poprzez zainfekowane pieczywo?
      .
      Więcej niż rok temu zaprezentowano PoC malware'u korzystającego z ACPI, metoda zdecydowanie bardziej uniwersalna niż grzebanie w BIOS-ie, co zresztą aktualnie jest faktycznie trudne. I co, jest gdzieś coś, co z tego korzysta? Nie? No właśnie…
      .
      Ludzie, zacznijcie odróżniać rzeczywistość od SF.

      1. Awatar Paweł Kondzior
        Paweł Kondzior

        A sprawdziłeś swoje pakiety ICMP czy nie sa zbyt duże ? 😉 Nie znasz dnia ani godziny. Dzis SF jutro Suchar. Z tym tosterem to lekko przesadziles, bo NetBSD to nawet nie jest 0.05 % rynku. Inaczej sie sprawa ma do biosow, masz aktualnie 2 miliardy komputerow Desktop ? z tego 90 % uzywa biosu, to wystarczajaca ilosc aby sie polasic na zrobienie takiego malware/virusa, nie wierze ze sie nie da, to po prostu kwestia czasu 😉

        1. Awatar LV
          LV

          Tak, tak… typów BIOS-ów jest kilka, producenci tego softu doskonale zdają sobie sprawę, że taki atak mógłby ktoś zaplanować i sensownie sprzęt przed tym zabezpieczają. Poza tym kod BIOS-u to nie koniecznie tylko x86. Spóźniłeś się, kolego, o kilkanaście lat – wtedy kilka słynnych wirów flashowałomidyfikowałoczyściłowtf pamięć BIOS-u, od tamtych czasów baaardzo wiele się zmieniło. Myślisz, że dlaczego powstał PoC użycia ACPI? Jesteś taki cwany – skodź coś faktycznie niewykrywalnego, atakującego BIOS-y, tak te mające 10 m-cy jak i 10 lat.
          .
          A słyszałeś o czymś takim jak update mikrokodu w procesorach Intela i AMD? Słyszałeś o próbach ataku na to?
          .
          PS co do NetBSD to chyba nie załapałeś absurdalności, analogicznej do tego co napisałeś. A podobno to ja piłem…

        2. Awatar Paweł Kondzior
          Paweł Kondzior

          Wiesz, zaczynasz mnie przekonywac, juz czuje sie bezpieczny 🙂

  6. Awatar Franek
    Franek

    A mówienie o luce dotyczącej tylko Windows 7 to naprawdę grube nadużyciem.

    Qe?

    1. Awatar DeeTah
      DeeTah

      Na przyszłość zgłaszaj literówki przy pomocy formularza, komentarz do usunięcia.

    2. Awatar marcinsud
      marcinsud

      niby zgłaszałem, ale ty zamiast pisać komenta tez powinieneś o ile tego nie zrobiłeś. Błąd zostanie poprawiony, a twój komentarz pewnie zostanie i będzie jeszcze dziwniej wyglądał.

  7. Awatar lukasz
    lukasz

    o tym na dobreprogramy.pl można było przeczytać już 29 kwietnia: http://dobreprogramy.pl/index.php?dz=15&n=113…?

  8. Awatar kakaz
    kakaz

    Oczywiście ze jest to ważna i istotna metoda włamania się do V7.
    Przeanalizujmy:
    -nie da się tego co zaprezentowali ci goście użyć na Linuxie. Mozna co najwyżej użyć tej samej TECHNIKI aby włamać sie do Linuxa- soft musi być inny ( np. obsługiwać ext3 a nie ntfs, pisac aktywnie w inne obszary pamieci itp.). Jeśli mamy być ściśli i dyskutujemy o rzetelnej informacji, słowa zacytowane w artykule dezawuują kompetencje ich autorów. O ile dotarłem do szczegółów, opisany atak nie polega na dostępie do dysku na niedziałającym systemie Windows, a na dostępie do działającego systemu który jest URUCHAMIANY pod KONTROLA bootkita. To bardzo duza różnica…
    -Linux został tak ZAPROJEKTOWANY aby taki atak BYŁ MOŻLIWY. Dlaczego? bo jest to ważna, powszechnie znana i użyteczna technika ratowania systemu w stanie krytycznej awarii. Wystarczy zbootowac maszynę z płytki i naprawiać system. Jednocześnie zawsze można przygotować dystrybucje Live która uruchomi jądro z płyty a resztę pobierze dysków komputera. Bootkit dla Linuxa to rzecz prosta.
    -Linuxa można zabezpieczyć tak aby pokazany atak był nieskuteczny jeśli chodzi o dostęp do danych użytkowników – wystarczy je szyfrować w KOMPETENTNY sposób.

    Teraz Windows:
    -V7 został zaprojektowany w sposób aby utrudnić lub uniemożliwić taki atak. Rozmaite polityki patentowe, zamkniecie źródeł, zabezpieczenia i brak specyfikacji dla ntfs. Wszystko po to aby nie dało sie łatwo gmerać po systemie.
    -V7 został wyposażony w mechanizmy DRM i BitLockera o których producent publicznie wygłasza niestworzone brednie jakoby były nie do złamania. Użyto technik które miały gwarantować, że podsystem DRM nie może zostać usunięty z systemu nawet jeśli posiada się uprawnienia administratora. Jednoczenie konstrukcja BitLockera wyklucza ochronę kryptograficzna przed pokazanym powyżej atakiem. NIE JEST to kompetentna ochrona kryptograficzna! Jest na to zbyt zintegrowana z systemem.
    -Użytkownik adminsitracyjny ma na V7 niższe uprawnienia niż system operacyjny,i ie ma nad nim pełnej kontroli – nie może wyłączyć mechanizmów DRM np., wszystko po to aby sam nie mógł ominąć DRM i BitLockera.
    -mamy atak pozwalający ominąć wszystkie te zasłony i uzyskać dostęp do WŁASNEGO SYSTEMU na prawach jakie rościł sobie wyłącznie PRODUCENT oprogramowania, i nie dawał go użytkownikowi.

    Sens powyższego wywodu jest taki: Linux nie broni sie przed takim włamaniem bo i nie ma po co. Microsoft stara sie ograniczyć użytkownikowi dostęp do systemu aby realizować swoja politykę rynkowa związania producentów mediów elektronicznych do swojej JEDYNIE platformy (rzekomo jako jedyna ma ona zapewniac kontrole nad prawami intelektualnymi i autorskimi). Stad wymieniona technika atak ma DUŻE znaczenie zarówno rynkowe, marketingowe, techniczne i na koniec praktyczne. A czy to potrzebne tylko piratom? To zależy od punktu patrzenia – po pierwsze wolałbym móc skopiować płytę HD którą legalnie kupię aby mieć kopie zapasową, co jest w Polsce LEGALNE ale może sie nie podobać firmie z Hollywood np. a po drugie znane sa przypadki problemów z oglądaniem zawartości płyt z zagranicy, przy używania gorszego monitora niż sugeruje technologia ( ale dopuszcza zasobność portfela) itp. ), itp. Podobnie nie każde odtwarzanie zawartości której się nie jest właścicielem jest przestępstwem – istnieje użytek dozwolony.

    Trochę szerzej patrzeć trzeba na świat…

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *