Blue pill ou comment les failles informatiques deviennent de plus en plus enfouies
Commençons par planter le décor :
Il y a quelques mois une nouvelle "génération" de rootkit avait fait son apparition, son prototype étant nommé SubVirt. Ce dernier utilise des machines virtuelles logicielles (permettant de faire tourner par-dessus plusieurs systèmes d'exploitation simultanément) dans le but de prendre le contrôle de la machine.
Blue Pill en serait une évolution.
Ce n'est toujours qu'un prototype étudié par des chercheurs et en l'occurence une "chercheuse" (sic) en sécurité informatique Joanna Rutkowska.
L'évolution par rapport à SubVirt est le fait qu'il peut être installé à la volée ne nécessitant pas de redémarrage, pas de modification du bootloader, pas de modification sur le disque dur...donc indetectable avec les logiciels surveillants les malwares à l'heure actuelle.
Pour le moment Blue Pill n'a été testé que sur Pacifica (technologie de virtualisation AMD) mais Joanna pense que Blue Pill fonctionnera également sur Intel VT.
Un rootkit s'installant en tant qu'hyperviseur sans nécessiter de redémarrage représente un risque énorme le fonctionnement du mode hyperviseur permettant meme d'ecrire sur le kernel du systeme d'exploitation devenu invité.
Ceci dit je mettrais quelques bémols :
1 Blue Pill est un rootkit nécessitant à ma connaissance les droits root pour son installation. (un rootkit classique en ce sens ;) )
2 Seuls les proc 64bits sont touchés (j'ai oublié de le préciser, c'est induit par les technos Pacifica et intelVT ceci dit)
3 L'installation d'un hyperviseur tiers tel XEN semblerait en toute théorie empecher Blue Pill de passer le système d'exploitation vers la VM.
4 Les fondeurs vont se pencher sur le problème. ( don't worry be happy ;) )
Les failles deviennent donc de plus en plus dirigées sur les couches basses du système de là à ne plus dépendre du système d'exploitation. Celà met d'ailleurs les unixiens au pied du mur car potentiellement touchés par ces nouveaux rootkits.
Diverses informations liées :
Joanna a auparavant travaillé sur Red Pill et Klister qui détectent les rootkits sous leurs formes plus "classiques".
COSEINC Research finance actuellement ses recherches.
liens :
blog de Joanna : http://theinvisiblethings.blogspot.com/
virtu AMD : http://enterprise.amd.com/us%2Den/Solutions/Consolidation/virtualization.aspx
virtu Intel : http://www.intel.com/technology/computing/vptech/
Il y a quelques mois une nouvelle "génération" de rootkit avait fait son apparition, son prototype étant nommé SubVirt. Ce dernier utilise des machines virtuelles logicielles (permettant de faire tourner par-dessus plusieurs systèmes d'exploitation simultanément) dans le but de prendre le contrôle de la machine.
Blue Pill en serait une évolution.
Ce n'est toujours qu'un prototype étudié par des chercheurs et en l'occurence une "chercheuse" (sic) en sécurité informatique Joanna Rutkowska.
L'évolution par rapport à SubVirt est le fait qu'il peut être installé à la volée ne nécessitant pas de redémarrage, pas de modification du bootloader, pas de modification sur le disque dur...donc indetectable avec les logiciels surveillants les malwares à l'heure actuelle.
Pour le moment Blue Pill n'a été testé que sur Pacifica (technologie de virtualisation AMD) mais Joanna pense que Blue Pill fonctionnera également sur Intel VT.
Un rootkit s'installant en tant qu'hyperviseur sans nécessiter de redémarrage représente un risque énorme le fonctionnement du mode hyperviseur permettant meme d'ecrire sur le kernel du systeme d'exploitation devenu invité.
Ceci dit je mettrais quelques bémols :
1 Blue Pill est un rootkit nécessitant à ma connaissance les droits root pour son installation. (un rootkit classique en ce sens ;) )
2 Seuls les proc 64bits sont touchés (j'ai oublié de le préciser, c'est induit par les technos Pacifica et intelVT ceci dit)
3 L'installation d'un hyperviseur tiers tel XEN semblerait en toute théorie empecher Blue Pill de passer le système d'exploitation vers la VM.
4 Les fondeurs vont se pencher sur le problème. ( don't worry be happy ;) )
Les failles deviennent donc de plus en plus dirigées sur les couches basses du système de là à ne plus dépendre du système d'exploitation. Celà met d'ailleurs les unixiens au pied du mur car potentiellement touchés par ces nouveaux rootkits.
Diverses informations liées :
Joanna a auparavant travaillé sur Red Pill et Klister qui détectent les rootkits sous leurs formes plus "classiques".
COSEINC Research finance actuellement ses recherches.
liens :
blog de Joanna : http://theinvisiblethings.blogspot.com/
virtu AMD : http://enterprise.amd.com/us%2Den/Solutions/Consolidation/virtualization.aspx
virtu Intel : http://www.intel.com/technology/computing/vptech/
Cette dépêche a été publiée le 16 juillet 2006 par Hindifarai.