Leo el resumen de la última conferencia de "
BlackHat" sobre técnicas de hackeo de sistemas informáticos y fabricación de virus y me quedo perplejo con las nuevas herramientas de
Digital Weaponry (Armamento Digital). La nueva generación de
rootkits avanza en el sentido de la virtualización de forma que los antivirus y sistemas de seguridad, firewalls de puesto, etc, tal cual conocemos hoy en día quedan totalmente inútiles.
La virtualización permite ejecutar todo un sistema informático dentro de otro mediante simulación, esto es, por ejemplo, que un PC con Windows pueda ejecutar en una ventana Linux, como si éste fuera el sistema nativo. Hasta ahí es una ventaja tecnológica el que con una misma máquina hardware podamos utilizar diferentes sistemas sin tener que realizar complejas configuraciones. Lo malo viene cuando esta tecnología es aprovechada para simular nuestro propio entorno, de forma que "alguien" (un programa oculto, en lo más profundo del sistema) nos está viendo, controlando, sin darnos cuenta. Los hackers llaman a esto estar en MATRIX, pues nuestro sistema no es real. Así, nuestros antivirus, nuestras contraseñas, todo, es supervisado por el sistema oculto. Nuestro ordenador funciona como si fuera nuestro ordenador, pero en realidad todo es simulado desde un sistema oculto, previo.
Los rootkits son los métodos de ocultación para conseguir esta virtualización maligna. Aquí os dejo esta presentación sobre una novedosa técnica de rootkit para hackear el nuevo Windows Vista (sucesor de Windows XP). Espectacular.
Resumiendo lo que ahí dice, la técnica se basa en saltar las protecciones del Windows en lo relativo a la exigencia de la firma de controladores en la capa más básica del núcleo (kernel), a base de reescribir a bajo nivel sobre el archivo de paginación el código ejecutable de esos controladores que han sido descargados allí. [Inciso: La protección por firma de los controladores, se ha mejorado en Windows Vista, en relación a XP, para evitar instalación de virus pero también indirectamente para evitar que los usuarios utilicen software para saltar protecciones de DVDs, juegos pirata, etc.]
Para conseguir que el código de los controladores sea descargado de la memoria principal, simplemente se trata de llenarla hasta obligar al sistema a utilizar el archivo de intercambio. Una vez allí, se localizan los programas que interesan (por ejemplo el controlador del teclado), se reescribe el código con el virus (por ejemplo para interceptar todas las pulsaciones), y se pide a Windows que los vuelva a cargar. De esta forma ya tenemos en lo más profundo del sistema un programita espia.
Es estremecedor, ya que para estar a salvo hay que saber muy mucho lo que se hace y cómo funciona todo. El resto de los mortales, estamos en peligro.
Continuación de "Virus Informáticos I".
################################################################
ACTUALIZACIÓN 26/08/06
Claro que no todo está perdido. También se están desarrollando nuevos detectores como este de Sophos que estoy probando.
Ya os contaré....
Technorati: rootkit virus
No hay comentarios:
Publicar un comentario