Podsumowanie nie jest dostępne. Kliknij tutaj, by wyświetlić tego posta.
Chciałbym Zaznaczyć
Na swoim Blogu umieszczam nie tylko swoje artykuły.Przy innych publikacjach umieszczę źródło.
BootKit - Co To Jest ?
Bootkity to stara technika ataków, polegająca na zarażaniu komputera podczas jego startu. Teraz powraca w nowej, groźnej formie, atakując systemy Windows Vista.
W czasach systemu MS-DOS i Windows 3.11-95/98 wirusy tego typu występowały bardzo często. Obecnie technologia ta - wydawałoby się przestarzała - wraca do łask. Nowy system Microsoftu zawiera zabezpieczenia jądra, poważnie utrudniające instalację złośliwego oprogramowania jako jego składnika, więc crackerzy zaczęli szukać alternatywnej drogi do umieszczenia złośliwego kodu. Ponieważ obejście zabezpieczeń w Vista nie jest łatwe, przygotowali mechanizmy umożliwiające kontrolowane uruchomienie Windows w przejętym środowisku startowym.
Pierwszym zwiastunem nowego zagrożenia była opublikowana na liście Usenet koncepcja utworzenia rootkita przejmującego kontrolę nad systemem Windows XP podczas jego uruchamiania.
Rozrzucone ogniska choroby
Chociaż jest wiele wirusów, które to robią, ten pomysł był bardzo zaawansowany, gdyż rootkit ten - określany też jako bootkit - modyfikował tylko główny rekord rozruchowy MBR (Master Boot Record) i umieszczał w kilku miejscach na dysku kod ładujący system w kontrolowanym przez siebie środowisku. Tym samym tropem poszła grupa hakerów eEye przygotowując pierwsze koncepcyjne fragmenty kodu przeznaczonego dla Visty, najdalej zaś poszła NVLabs, która przygotowała funkcjonalnego bootkita przejmującego kontrolę nad systemem i dokonującego jego zmian bez zapisu jakichkolwiek danych na dysk.
Obecnie wirusy przenoszące się przez MBR są rzadkością, bo każdy program antywirusowy sprawdza integralność wszystkich etapów ładowania systemu Windows i umieszczanie jakiegokolwiek kodu w tym miejscu mija się z celem. Można, co prawda, modyfikować sposób dostępu do dysku w systemie, ale jest to pracochłonne i stosunkowo łatwe do wykrycia. Twórcy bootkitów znaleźli jednak sposób rozwiązania tego problemu - użyli opcji uruchomienia kodu z sieci, płyty lub z tymczasowo zarażonego dysku.
Drogi ataków na Windows Vista
Najprostsze do wykonania jest przygotowanie CD-ROM lub modyfikacja serwera DHCP. W przypadku startu z sieci, analiza powłamaniowa będzie skrajnie trudna, zaś odłączenie komputera od sieci i przeniesienie do separowanej sieci serwisowej w celu analizy spowoduje, że będzie on pracował zupełnie normalnie. Jeśli w firmie wykorzystuje się system IPS, to rootkit wykorzystujący PXE powinien wywołać alarm. Najtrudniejsza do wykrycia jest modyfikacja firmware w urządzeniach wewnątrz komputera (kontroler SCSI, karta sieciowa, karta graficzna itp.). Warto zauważyć, że rootkit umieszczany tą drogą zachowuje funkcjonalność także poza siecią firmy. To jest jego słaby punkt. Inne metody to:
- Modyfikacja sektorów startowych dysku twardego - jest to permanentna instalacja bootkita, niewymagająca zmian ustawień sprzętu. Narzędzia przeznaczone do wykrywania złośliwego kodu uruchamiane np. z płytki startowej sobie z tym poradzą. Być może wykryją to także programy antywirusowe.
- PXE - zdalny start komputera przy pomocy karty sieciowej i odpowiednich zasobów sieci lokalnej. Wymaga to włamania na serwer DHCP i włączenia (lub wyposażenia go) w opcję zdalnego uruchamiania innych komputerów tą drogą. Dodatkowo wymaga włączenia opcji startu z sieci jako pierwszego wykorzystywanego źródła uruchomienia komputera.
- Start z innego nośnika (CD-ROM, pamięć flash) - jest możliwe w przypadku odblokowania odpowiedniej opcji w BIOS i podstawieniu nośnika z bootkitem.
- Modyfikacja BIOS karty graficznej, sieciowej, kontrolera SCSI, innych urządzeń wyposażonych w modyfikowalną pamięć EEPROM, a niedostatecznie zabezpieczonych - modyfikacja tego typu jest bardzo trudna do wykrycia. Nie jest łatwo wykonać własny firmware, trudno również go wgrać, ale po udanym ataku maszyna jest praktycznie bezbronna do czasu usunięcia fragmentów złośliwego kodu z nieulotnej pamięci.
Bootkit jest ładowany podczas uruchamiania komputera z płyty CD, nośnika USB lub startu z sieci przez PXE i pobraniu kodu ze skompromitowanego serwera DHCP/BOOTP. Bootkit uruchamia Windows Vista w kontrolowanym przez siebie środowisku, zaś program antywirusowy przy sprawdzaniu dysku nie wykaże żadnych nieprawidłowości. Po zamknięciu systemu, dysk także będzie "czysty". Potencjalnie pozostaje możliwość wykrycia działającego bootkita w pamięci systemu. Ale dobrze napisany kod będzie potrafił ominąć algorytmy detekcji. Były już takie przypadki. Wystarczy wspomnieć choćby Hacker Defender Brilliant, który przez pewien czas wymykał się popularnym narzędziom do wykrywania złośliwych kodów. Programy antywirusowe wykrywają wszystkie omawiane tutaj bootkity, ale powstanie nowych jest tylko kwestią czasu.
Model ataku
Rootkit startujący system, czyli bootkit, najpierw przejmuje kontrolę nad systemem, później nad obsługą jednego z przerwań, a potem szuka systemu Windows Vista. Gdy go znajdzie, rozpoczyna jego modyfikację tak, aby ukryć się w małych porcjach kodu, rozproszonych w różnych obszarach pamięci. Bootkit omija zabezpieczenia, takie jak sumy kontrolne, sprawdzanie cyfrowych podpisów obiektów itd.
Podczas ładowania jądra Windows Vista zostają zmodyfikowane zabezpieczenia systemu, tak aby bootkit został aktywny podczas pracy systemu, aż do jego restartu. Twórcy tego kodu analizowali wiele poziomów zabezpieczeń, od sum kontrolnych nagłówka PE, aż po cyfrowe podpisy plików. Wszystkie dostępne zabezpieczenia udało się obejść. Dzięki temu, że Windows Vista musi zachować pewien poziom zgodności z istniejącymi aplikacjami, bootkit może prawdopodobnie działać we wszystkich zlokalizowanych wersjach systemu, z polską działa bez problemu.
Źródło Computerworld
Inne :
- http://www.nvlabs.in/? q=node/16 - autorzy Vbootkita
- http://www.securityfocus.com/columnists/442 - wywiad z autorami
- http://research.eeye.com/html/tools/RT20060801-7.html - BootRoot - rootkit grupy eEye, na kodzie którego bazowali twórcy Vbootkita
- http://www.rootkit.com/- informacje o powstającym podobnym oprogramowaniu
- http://theinvisiblethings.blogspot.com/- blog Joanny Rutkowskiej poświęcony bezpieczeństwu systemów.
UE: "Nawoływanie do terroryzmu" przez Internet będzie karane
Przepisy, które pozwalają na karanie osób nawołujących przez Internet do terroryzmu, zostały przyjęte przez Radę Unii Europejskiej. Prawodawcy zapewniają, że nie zostaną one wykorzystane do krępowania wolności wypowiedzi, ale nie da się ukryć, że decyzja jest dość kontrowersyjna.
Nowe przepisy znalazły się w przyjętej przez Radę nowelizacji Decyzji Ramowej z dnia 13 stycznia 2002, w oparciu o którą kształtowana jest europejska polityka wobec terroryzmu. Mówiąc najprościej nowelizacja wprowadza trzy nowe przestępstwa tzn.:
Pomysł ograniczenia w internecie treści związanych m. in. z produkcją bomb padł po raz pierwszy w listopadzie ubiegłego roku. Wtedy proponowano, aby strony zawierające takie instrukcje zniknęły z indeksów wyszukiwarek.
Kontrowersje
Europejscy prawodawcy zapewniają, że przepisy nie posłużą do krępowania wolności słowa. W informacji dla prasy czytamy, że osoby zamieszczające informacje dotyczące bomb będą skazane tylko wtedy, jeśli rozpowszechniane informacje przyczynią się do terroryzmu i zostaną umieszczone w Sieci z taką intencją.
Nowe rozwiązania mimo wszystko krytykują obrońcy praw obywatelskich oraz niektórzy politycy. 7 kwietnia deputowani do Parlamentu Europejskiego oraz posłowie z parlamentów krajowych dyskutowali na ten temat.
Brytyjska posłanka Sarah Ludford wskazała w trakcie rozmów na doniesienia brytyjskich mediów o tym, iż londyńska policja zagroziła aresztowaniami demonstrantom protestującym przeciwko okupacji Tybetu. Podstawą do aresztowań osób, które zakłóciły przebieg sztafety olimpijskiej miały być podobno… przepisy antyterrorystyczne. Deputowana dodała, że jej zdaniem kryminalizacja działań takich jak “nawoływanie” czy “podżeganie” szybko doprowadzi do uznania za przestępstwo również swobody wypowiedzi.
Także francuska socjalistka Roselyne Lefrançois podkreśliła, że zapis o “nawoływaniu do terroryzmu” wymaga ścisłej definicji. “W tym miejscu pojawia się pytanie o granice wolności wypowiedzi” – mówiła Lefrançois mimo wszystko przyznając, że w Internecie nie brakuje stron gloryfikujących terroryzm i dających niebezpieczne wskazówki.
Wciąż wiele pytań pozostaje bez odpowiedzi. Zanim przyjęta nowelizacja wejdzie w życie, odbędą się jeszcze dyskusje na ten temat w parlamentach krajowych. Niewykluczone, że wtedy przekonamy się, czy proponowanym przepisom bliżej do ochrony przed terroryzmem, czy do cenzury.
Całość można przeczytać na stronach www.di.com.pl
BrandZ Top 100
Millward Brown to jedna z wiodących światowych agencji badawczych i ekspert w zakresie badań nad skutecznością reklamy, komunikacją marketingową, mediami i siłą marek. Stosując zintegrowany zestaw sprawdzonych rozwiązań badawczych – tak jakościowych, jak i ilościowych – Millward Brown pomaga swoim klientom budować silne marki i usługi.Otóż ta firma opublikowała swój kolejny raport “BrandZ Top 100″, w którym wymienia 100 najbardziej wartościowych brandów świata. W 2008 roku wartość wszystkich brandów z Top 100 wzrosła o 21%, z 1,6 biliona USD do 1,94 biliona USD.
Na liście 10 najbardziej wartościowych marek znajdziemy cztery firmy:
Na pierwszym miejscu uplasowało się Google. Wartość tej marki to 86,057 miliarda USD (wzrost o 30%). Microsoft, IBM, Apple . Wszystkie reperzentują branżę IT.
Subskrybuj:
Posty (Atom)