Windows Vista, jaqueado en Black Hat

ATENCIÓN: Este sitio ha dejado de actualizarse el 15 de Abril de 2012 y se mantiene como archivo histórico de los contenidos publicados entre 2004 y 2012. Por favor, visita nuestro nuevo sitio para acceder a información actualizada. Muchas gracias.

Windows Vista, jaqueado en Black Hat

Aug 05

Por admin

Fueron por lana y salieron trasquilados. Tal y como estaba previsto, Microsoft habló sobre la seguridad de Windows Vista en Black Hat. Mientras tanto, en una sala contigua, la investigadora polaca Joanna Rutkowska (en la foto) mostraba cómo utilizar su técnica Blue Pill (más detalles técnicos aquí) para insertar código malicioso en las mismísimas entrañas de una copia de Windows Vista versión 64-bit.

Rutkowska encontró una forma de traspasar el polémico mecanismo con el que Microsoft intenta que sólo se puedan cargar en el kernel de Vista los drivers digitalmente firmados...

Algunos ecos de la noticia en español (a 7-Agosto):

Windows Vista, 'crackeado' en Black Hat (Meneame)

Windows Vista crackeado (HispaMP3)

Crackeado el Windows Vista (Barrapunto)

Windows Vista crackeado (Noticias Web)

Microsoft invita a hackear Windows Vista... ¡Y lo consiguen! (Baquía)

Windows Vista, jaqueado en Black Hat (Fresqui)

Windows Vista crackeado (ProDownload)

Violaron la seguridad de Windows Vista (Evaluamos)

Según informa CNet, la investigadora afirmó que "el hecho de que ese mecanismo fuera traspasado no significa que Vista sea completamente inseguro. Sólo que no es tan seguro como se ha anunciado".

Microsoft, por su parte, afirmó estar investigando soluciones para proteger la versión final de Vista de los ataques demostrados, al tiempo que trabaja con sus socios en hardware para investigar formas de prevenir el ataque de virtualización desarrollado por Rutkowska.

12 comentarios sobre Windows Vista, jaqueado en Black Hat

windows un sistema sin sistema
anónimo
6 Julio 2007 - 11:20pm
para que windows sea mas solido y confiable solo deben hacer lo siguiente...

...re hacerlo desde 0 (volver a escribir todo el codigo fuente, para eso tienen mucho dinero y pueden pagarlo.

eso si que dejen de copiar todas las utilidades free que se lanzan para añadirle funciones a windows

No es culpa de windows su seguridad
Animeki
2 Febrero 2007 - 9:04pm
[Oo]Animeki.k[oO]

<pre>

Microsoft ya es una muy conocida empresa de software, cada que se habla de un nuevo producto se cita a Windows, pero no es culpa de Microsoft la seguridad de los usuarios, yo creo que Windows desde que se convirtió en el sistema operativo mas vendido a estado bajo la lupa, y muchos han intentado echarlo abajo, yo en lo personal no me dejaría llevar por la sola apariencia de un software, tampoco por la seguridad, uno tiene que ver mas bien la productividad, yo veo al Windows 98SE como el mejor sistema que pudo realizar, pudo haber seguido haciendo sistemas basados en cosas de las que se olvidaron, trataron de hacer todo al mismo tiempo, y la carrera fue ganarle a mac y Linux, que pasaron de ser percibidos algún tiempo en que solo se hablaba de Windows, pero ellos siguieron haciendo su trabajo y lo hicieron bien, sin que nadie se preocupara en hackear un mac, o en hacer virus para Linux y mac, si no que todos enfocaron su vista en Windows, haciendo virus, saboteando datos, desarrollando software malicioso con ayuda del propio Windows, el que te permite crear tus propias aplicaciones mal intencionadas, solo hace falta tener el vb y en 3 minutos creas un troyano para hackear a tu vecina, creas virus para ver que hacen en las escuelas donde se formatean cada 6 meses las computadoras porque fallan. Pero Windows no tiene la culpa de ser tan malo en seguridad y ser tan popular, solo piensa como empresa mantener el alto nivel de ventas, todo bajo la presión de que los usuarios están emigrando a otras plataformas, y es que no se trata de vender un sistema que facilite las cosas a los usuarios domésticos, se trata de crear algo productivo y eficiente, siempre pensando en necesidades básicas.

El Windows vista ha sobre pasado los limites, recuerdo que cuando compre mi primer computadora esta era de las mejores, poseía 64MB en ram, 10GB en disco duro y a 300MHz. Lo suficiente para que por mas de 7 años haya trabajado a gusto win98, con uno u otro problema fácil de resolver. Pero un día vi el mundo que me rodeaba y fue como llevar a un homo sapiens a Europa en el siglo XVI, me di cuenta de que Windows se salio de control, pasar de 32MB a 1GB de ram para que un sistema operativo trabaje se me hizo impresionante.

Decidí comprar otra compu, por la que ahorre todo un año, y me doy cuenta de que si las cosas siguen así esto no va a terminar, me pregunto si es necesario ejecutar un programa que abarca 32 mb en ram para escribir una carta. De un bloc de notas hemos pasado a un Word 2007 que utiliza más de 52 veces de memoria ram que el notepad, y para escribir la lista del mandado.

A veces es bueno querer virtualizar al mundo, ya no tenerte que parar para ir al cine o a el parque, puedes estar mas a gusto en tu sillón con tu mega computadora que si ella solo serias materia, o eso es lo que pensamos ahora, no concibe nuestro cerebro la idea de un mundo sin pc's. Pero en que nos hemos convertido, hacia donde nos va a llevar este camino, a ser antisociales, a conocer personas por medio de un Chat, a tener miedo de estar lejos de una computadora, yo no lo quería aceptar, pero este es un problema real. Antes salía y me divertía afuera, ahora la diversión son juegos que simulan tu vida, en el futuro solo vamos a ser nuestros pensamientos difundidos por la red.

Pero volviendo al tema, es necesario que Windows idee otra estrategia, no puede tapar los errores con algo alusivo, no puede desarrollar un buen software basado en una pila de errores, eso es lo que lo hace tan pesado, parche tras parche y al final va a ser un cementerio disfrazado de circo.

Deberían optar por otros proyectos , un SO que empeze de 0, que no tenga errores.

Mi idea del software perfecto es aquel que sea similar a la monotarea. Este no debería permitir subprocesos, o auto aplicaciones. Un sistema operativo perfecto seria el que solo tú pudieras controlar, si tú le das borrar se borra, pero si no allí permanece, si preocuparte de que mientras navegas lo van a copiar o borrar.

Pero si lo pensamos bien eso significa Windows, ventana, una puerta abierta a tu compu, es como si dejaras la ventana de tu casa abierta sabiendo que alguien puede entrar mientras no estas, o peor aun frente a tus ojos, como es posible que mientras tu ves una bonita animación en flash estén espiando tus archivos, que mientras ejecutas un applet de java vean a través de tu Web Cám.

O cuando chateas con tu familia que vive lejos un troyano este ejecutándose.

Las únicas medidas de seguridad es las que tu tomes, poniendo el restricrun, conectándote desde una sesión aislada, verificando los virus cada que abres un CD o insertas una memoria. Es por eso que yo opto por otros sistemas operativos que se han esforzado tanto durante estos años para darse a conocer por lo que son, no haciendo negocios de 5 años de licencia para las escuelas o trabajos. Esas son las pequeñas diferencias que van a derrumbar a Windows, como un edificio construido en una zona de temblores.

Me despido y espero que no se dejen llevar por lo fácil de usar que sea el sistema operativo, si no por la efectividad que este demuestre.

Atentamente su amigo Animeki.k ( manganimeki@yahoo.com.mx )

Para los que ya habian leido disculpen las faltas de ortografia, ya las corregi.

</pre>

RE: ¿alguien sabe dónde se pueden leer los detalles técnicos?
ANELKAOS
16 Agosto 2006 - 4:42pm
Link:
Presentaciones BLACK HAT USA 2006.

[Vía El Hacker.net]

La presentación de Rutkowska (PDF)

admin
16 Agosto 2006 - 4:51pm

Gracias, Anelkaos. Interesante referencia.

Y en concreto, la presentación del tema que se comenta, en PDF, aquí.

sí hay una manera de evitar BluePill
Rastersoft
7 Agosto 2006 - 10:26am
Hay una manera de bloquear a BluePill, y bastante sencilla: que, por defecto, el sistema operativo trabaje en cooperación sobre un virtualizador propio, también de "capa fina", que redirija cualquier llamada al hardware. Como dice el artículo, la gran ventaja de BluePill es que se inserta "en caliente", sin reiniciar, por eso no puede ser detectado (no modifica nada en el arranque para ser lanzado después de reiniciar). Sin embargo, si ya existe un virtualizador, éste detectará que otro virtualizador intenta meterse, por lo que puede interactuar con el Sistema Operativo y alertar al usuario.

¿Qué? ¿Me he ganado un gallifante? :D

Interesante concepto
FAQsimil
6 Agosto 2006 - 9:10pm
En realidad son 2 cosas.

Una es el concepto ideado por Joanna, el BluePill, que me parece muy interesante y peligroso en un futuro (y no solo para Microsoft) y otra el como lo ha llegado a introducir en el Vista64. Esto ultimo lo ha hecho sorteando el sistema de certificados del Vista64 (todos los drivers que se ejecuten en modo kernel para esta version de 64 bits han de ir obligatoriamente firmados digitalmente). El problema es que al ser una beta, ese sistema no esta completamente terminado y todavia no se ha decidido que tipo de certificacion va a ser necesaria, pudiendose instalar ahora cualquier cosa firmada por cualquiera. Por lo tanto, este aspecto no parece preocupante por ahora. (Ademas lo ha hecho con una cuenta de Administrador, ¿es que nadie lee mi firma? :P)

El problema va a ser el Bluepill, que consiste en usar las capacidades de virtualizacion por hardware de los ultimos procesadores tanto de AMD como de Intel. Es decir, sin estos procesadores el concepto del Bluepill no funciona. Algunos de vosotros habreis usado alguna vez una maquina virtual, por ejemplo ejecutar en un XP el VirtualPC y dentro de este un Windows 98. El Windows 98 no se "entera" de que esta siendo ejecutado dentro de un XP, se "cree" que esta en una maquina cualquiera con todo el hardware a su disposicion y solo para el. Bien, esto que se hace por software con programas tipo VirtualPC, en los nuevos AMD con su Pacifica y en los Intel con su bit VT, se hara por hardware, a plena velocidad. Esto es lo que aprovecha el Bluepill de Joanna, su codigo malicioso hace correr el Vista64 en modo virtualizado, por eso el Vista64 no se entera que esta siendo supervisado continuamente por el codigo malicioso. Esto es aplicable a Linux, BSD, etc. no solo Windows. Asi que ojo con este concepto, nadie va a estar a salvo :-;

--
La primera regla de seguridad es NO trabajar con cuenta de Administrador

Sobre BluePill

Krampo
7 Agosto 2006 - 12:15pm

...como lo ha llegado a introducir en el Vista64. Esto ultimo lo ha hecho sorteando el sistema de certificados del Vista64 ...

Creo que eso no es así: leyendo al artículo que se ha enlazado desde kriptopolis, lo que yo entiendo es que Joana presentó 2 resultados sorprendentes:

1.- El concepto de BluePill y la introducción del mismo "al vuelo" en un sistema Vista x64 en funcionamiento y sin requerir reinicio del sistema. Eso es posible, según el artículo, debido a un bug "de diseño" de Pacifica y no a un bug de implementación.

2.- Se presentó un método genérico (de nuevo no basado en bugs de implementación) que permite insertar código arbitrario en el kernel de Vista Beta 2 x64. Este método puede ser usado, por ejemplo, para sortear el sistema de certificados usados en la instalación de drivers en Vista.

Lo que no veo claro es que la técnica que ha permitido todo esto sea el hecho de haber sorteado el sistema de certificados del Vista64. Más bien me parece que el bug (de diseño) de Pacifica ha permitido tanto el primero como el segundo de los resultados sorprendentes.

Pero, de hecho, si admitimos que es posible conseguir el primero de los dos resultados presentados, el segundo resultado no parece tan sorprendente, dado que estaríamos en un contexto en el que tenemos un Vista encerrado en un sandbox completamente bajo nuestro control.

Por cierto, ¿alguien sabe dónde se pueden leer los detalles técnicos revelados en BlackHat?. En los comentarios de la página que se enlaza desde el artículo de kriptopolis se dejan abiertos muchos interrogantes interesantes con la excusa de que "alguna cosa se tenía que reservar para BlackHat".

Saludos.

Certificados

FAQsimil
7 Agosto 2006 - 5:16pm

"Lo que no veo claro es que la técnica que ha permitido todo esto sea el hecho de haber sorteado el sistema de certificados del Vista64. Más bien me parece que el bug (de diseño) de Pacifica ha permitido tanto el primero como el segundo de los resultados sorprendentes."

No hay ningun bug, ni en el Vista64 ni en el Pacifica de AMD. Ella mismo lo dice: "Blue Pill does *not* rely on any bug in Pacifica neither in OS. Blue Pill uses only the documented features of Pacifica".

Es tan sencillo como hacer doble click sobre el instalador de un driver de red modificado por la propia Joanna. Ese driver se ejecuta en el kernel porque esta firmado digitalmente y porque Vista64 NO ha implementado todavia esa proteccion. Ella hace enfasis en indicar que es el Vista Beta 2 (la version publica). Lo mas normal es que cuando salga el Vista64 solo se puedan instalar drivers con certificacion WHQL por lo que el metodo utilizado por Joanna no funcionara.

--
La primera regla de seguridad es NO trabajar con cuenta de Administrador

Blue Pill y el bug "de diseño" en Pacifica

Krampo
7 Agosto 2006 - 5:52pm

Acabo de localizar un interesante artículo sobre la intervención de Joanna en Black Hat y, según lo relatan ahí, las dos partes de su presentación no guardan relación directa entre sí.

Es decir, tienes tu razón en que ha encontrado un método de saltarse la verificación de las firmas electrónicas de los drivers en Vista. Y eso no parece guardar ninguna relación con Blue Pill, al contrario de lo que yo había supuesto en mi anterior comentario.

No obstante, en lo que se refiere al tema del Blue Pill, sí que hay un bug "de diseño" (no de implementación) en Pacifica. Lo puedes leer en "palabras" de la propia Joanna en los comentarios de su artículo:

I did not write it can not be blocked - I only stated it's a 'generic' attack, by which I mean that it does not rely on any implementation bug (like buffer overflow), but just exploits some design flaw. Surly it can be blocked and I will even discuss three approaches of how this could be done...

Por último, en lo que se refiere a Vista (y el tema de saltarse la verificación de las firmas electrónicas de los drivers), yo creo que SÍ hay un bug (supongo que también de diseño, es decir no basado en buffer overflows ni nada parecido) ya que Microsoft ha afirmado que va a estudiar la medidas sugeridas por Joanna para evitar este problema.

Saludos.

No es eso

Envite
7 Agosto 2006 - 11:38am

El problema es más sencilo (y más complicado de arreglar).

Se trata tan sólo de que hay una instrucción (la SIDT) que NO es privilegiada (es decir, no causa una excepción) y que SÍ es sensitiva (es decir, da un resultado distinto en la VM Level 1 que en la RM Level 0).

A lo fácil: ejecutar SIDT da un resultado si lo ejecutas en el Vista dentro del virtualizador que si lo ejecutas en el Vista fuera del virtualizador. Y eso no proporciona escaladas de privilegios ni nada parecido. Sólo da una información que no debería: proporciona el conocimiento de si se está en una VM o no. Y ése es el problema: uno no debería poder saber NUNCA si está en una VM.

No estoy de acuerdo con lo que dices, pero defendería con mi vida tu derecho a decirlo.
- Voltaire -

No hablamos de lo mismo

FAQsimil
7 Agosto 2006 - 4:54pm

Estas haciendo referencias a RedPill, que si es detectable y es un concepto de hace un par de años por lo menos. Aqui se habla de BluePill y es, como bien dice su propia autora, indetectable.

--
La primera regla de seguridad es NO trabajar con cuenta de Administrador

No estoy en contra de nadie,
b p s
6 Agosto 2006 - 12:44am
No estoy en contra de nadie, pero si mi trabajo profesional fuese buscarle las cinco patas al gato a la seguridad de los sistemas operativos, dad por seguro que los encontraria, y no solo yo, sino cualquiera que dedicase su vida profesional a ese fin.

one step beyond you, always

Sobre el autor

admin

Desconectado

Se le vio por aquí: hace 2 horas 15 min

Ingresó: 22/10/2004

Kriptópolis

Criptografía y Seguridad