Επιστροφή στο Forum : UEFI Secure Boot VS Malware
Mπορει κανεις να πει με ασφαλεια οτι και αν ακομη κολλησει ενα Rootkit, το UEFI θα εμποδισει το Rootkit driver να τρεξει μαζι με τα Windows 8 στο επομενο boot?
Όχι δεν είναι σίγουρο. Το rootkit χρησημοποιεί μεθόδους απόκρυψης από το σύστημα,
δύσκολο να εντοπιστεί, άρα και δύσκολο να εμποδιστεί το φόρτωμα του.
Αλλά και η δουλεια του secure boot δεν είναι αυτή.
Με όσα αναφέρονται στο άρθρο της Technet (http://technet.microsoft.com/en-us/library/hh824987.aspx) είναι για να αποτρέπει τα παρακάτω:
unauthorized firmware, operating systems, or UEFI drivers
δεν αναφέρει πουθενά για rootkit ή ιούς.
Αν κάποιο συμπεριλαμβάνεται στις βάσεις δεδομένων δεν θα φορτώσει.
Αλλά δύσκολο να συμπεριλάβεις εκατομύρια υπογραφές malware,
που πιάνουν δράση αφού φορτώσει το λειτουργικό. Μέχρι τότε δεν φαίνονται.
Και ειδικά rootkit που είναι αόρατα, και μπορεί να είναι παντού.
Ακόμη και στον κώδικα ασφαλούς προγράμματος.
Δεν ειναι απαραιτητο να τσεκαριστει απεναντι στις βασεις δεδομενων του UEFI (αληθεια διατηρει τετοιες?)
Απλα αυτο που θα κανει το UEFI ειναι να ΜΗΝ ξεκινησει εναν un-signed driver, και του rootkit το driver αφου δεν ειναι windows based θα ειναι un-signed, αρα δεν θα το φορτωσει.
Δεν ειναι απαραιτητο να τσεκαριστει απεναντι στις βασεις δεδομενων του UEFI (αληθεια διατηρει τετοιες?)
Απλα αυτο που θα κανει το UEFI ειναι να ΜΗΝ ξεκινησει εναν un-signed driver, και του rootkit το driver αφου δεν ειναι windows based θα ειναι un-signed, αρα δεν θα το φορτωσει.
Όπως έγραψα το rootkit μπορεί να βρίσκεται οπουδήποτε. Δήσκολο να αναγνωριστεί.
Από την άλλη όπως έγραψα παραπάνω κι όπως εξηγεί και το λινκ που έδωσα,και το γράσφεις κι εσύ,
το secure boot εξετάζει drivers , firmware, και λειτουργικά.
Το rootkit και το malware "πιάνουν δουλειά" αφού φορτώσει το λειτουργικό.
Αν θυμάσια παλιότερα υπήρχε rootkit με ψηφιακή υπογραφή SONY.
Aλλά και ψηφιακή υπογραφή να μην έχει, δεν είναι κάτι που φορτώνει
όταν φορτώνει το λειτουργικό,φπρτώνει αμέσως μετά.
Ελάχιστες είναι οι περιπτώσεις που φορτώνει κάποιος ιος ή malware πριν το λειτουργικό.
Και από αυτό (http://www.theregister.co.uk/2012/09/19/win8_rootkit/) δεν σε σώζει το secure boot.
Eνα Rootkit μπορει να φορτωσει "παραλληλα" με το λειτουργικο.
Η μαγκια ειναι το malware να "πιασει δουλεια" ΠΡΙΝ φορτωσσει το λειτουργικο οπως κανει ενα Rootkit'ed Bootkit.
Το Βοοτκιτ στην ουσια εχει φλασαρει/ενσωματωσει στο BIOS δικο του κακοβουλο κωδικα, ετσι ξεπερναει το προβλημα του SecureBoot,
και εν συνεχεια δινει εντολη στο ροοτκιτ(αυτοπροστατευομενο καοκοβουλο λογισμικο) να φορτωσει ΠΡΙΝ ή ΠΑΡΑΛΛΗΛΑ με το λειτουργικο.
Kαι φορματ/reinstall να κανει κανεις ΔΕΝ γλυτωνει γιατι μιλαμε πλεον για hardware targeted malware.
Θελει και re-flash to BIOS απο το manufacturer site και φορματ εν συνεχεια.
Eνα Rootkit μπορει να φορτωσει "παραλληλα" με το λειτουργικο.
Η μαγκια ειναι το malware να "πιασει δουλεια" ΠΡΙΝ φορτωσσει το λειτουργικο οπως κανει ενα Rootkit'ed Bootkit.
Το Βοοτκιτ στην ουσια εχει φλασαρει/ενσωματωσει στο BIOS δικο του κακοβουλο κωδικα, ετσι ξεπερναει το προβλημα του SecureBoot,
και εν συνεχεια δινει εντολη στο ροοτκιτ(αυτοπροστατευομενο καοκοβουλο λογισμικο) να φορτωσει ΠΡΙΝ ή ΠΑΡΑΛΛΗΛΑ με το λειτουργικο.
Kαι φορματ/reinstall να κανει κανεις ΔΕΝ γλυτωνει γιατι μιλαμε πλεον για hardware targeted malware.
Θελει και re-flash to BIOS απο το manufacturer site και φορματ εν συνεχεια.
Σκοπός του malware δεν είναι να "πιάσει" δουλειά πριν το λειτουργικό.
Δεν υπάρχει λόγος. Σκοπός του είναι να κάνει την ζημιά αφού φορτώσει το λειτουργικό.
Τότε μπορεί να καταστρέψει αρχεία, ή να μαζέψει τις πληροφορίες που χρειάζεται.
Γι αυτό και τα περισσότερα χρησημοποιούν stealth μεθόδους ,
ώστε νααποφεύγουν antivirus και antimalware προγράμματα.
Nαι, δουλεια θα πιασει μετα την φορτωση του λειτουργικου, αλλα η εκιννηση του θα γινει πριν ή παραλληλα με το λειτουργικο.
Σευατο συμφωνεις?
Kαι φορματ/reinstall να κανει κανεις ΔΕΝ γλυτωνει γιατι μιλαμε πλεον για hardware targeted malware.
Θελει και re-flash to BIOS απο το manufacturer site και φορματ εν συνεχεια.
?
Nαι, δουλεια θα πιασει μετα την φορτωση του λειτουργικου, αλλα η εκιννηση του θα γινει πριν ή παραλληλα με το λειτουργικο.
Σευατο συμφωνεις?
Kαι φορματ/reinstall να κανει κανεις ΔΕΝ γλυτωνει γιατι μιλαμε πλεον για hardware targeted malware.
Θελει και re-flash to BIOS απο το manufacturer site και φορματ εν συνεχεια.
?
Όχι, τόση ώρα αυτό εξηγώ. Το malware θα φορτώσει, αφού φορτώσουν πλήρως τα Windows.
Δεν φορτώνει σαν driver αλλά σαν εφαρμογή, αφού διαβαστεί η Registry.
Και μάλιστα φορτώνει με σχετική καθυστέρηση σαν υπηρεσία ή διεργασία.
Το bootkit ή UEFI virus δεν φορτώνει καν με το λειτουργικό.
Την ζημια την κάνει από το UEFI.
Ενα bootkit ή UEFI virus τι ζημια μπορει να κανει χωρις να εχουν ξεκινησει τα Windows?
Επισης ποια ειναι η διαφορα υπηρεσια(service) & διεργασιας(process) ?
Ενα bootkit ή UEFI virus τι ζημια μπορει να κανει χωρις να εχουν ξεκινησει τα Windows?
Επισης ποια ειναι η διαφορα υπηρεσια(service) & διεργασιας(process) ?
Aναλόγως τι του έχει οριστεί να κάνει.
Από το πιο απλό, να φορτώνει ένα rootkit ,παράλληλα με το λειτουργικό,
μέχρι την καταστροφή του συστήματος επαναρυθμίζοντας το BIOS.
Proccess (διεργασία) είναι οποιοδήποτε εκτελέσιμο.
Υπηρεσία είναι οτιδήποτε βοηθά τον χρήστη ή το λειτουργικό να εκτελέσει μια ενέργεια
Ας πουμε ο ενδιαμέσος μεταξύ λειτουργικού /χρήστη και διεργασίας
Τι πρεπει να κανουμε λοιπον για να μην κολλησουμε ενα Βοοτκιτ/Ροοτκιτ?
Να τα τρεχουμε ολα μεσα απο VirtualBox ή να κλειδωνοουμε τα παντα με το DeepFreeze ? :-)
Τι πρεπει να κανουμε λοιπον για να μην κολλησουμε ενα Βοοτκιτ/Ροοτκιτ?
Να τα τρεχουμε ολα μεσα απο VirtualBox ή να κλειδωνοουμε τα παντα με το DeepFreeze ? :-)
Από Βootkit δεν ξέρω πόσο εύκολο είναι να μας προστατεύσουν
το virtual box και το Deep freeze,
Από την άλλη ούτε είναι εύκολο να κολλήσει κάποιος υπολογιστής bootkit.
Είναι τόσοι οι κατασκευαστές που ο καθένας ακολουθεί διαφορετική πρακτική,
αλλά και οι προδιαγραφές ασφαλείας,να μην τρέχει κώδικας που δεν έχει ψηφιακή υπογραφή.
Άρα μπορεί να υπάρχει το κενό ασφαλείας που αναφέρθηκε,
αλλά θα πρέπει ο δημιουργός κάποιου bootkit, να έχει πάρει ψηφιακή υπογραφή,
πράγμα που δεν είναι εύκολο να γίνει.
Για malware rootkit του λειτουργικού δεν είναι λύση το virual box και το deep freeze,
αν είσαι οικιακός χρήστης. Δεν μπορείς να σβύνεις συνέχεια την περίοδο λειτουργίας.
Αν είναι έτσι, κρατάς ένα καθαρό Image και κάθε βράδυ το εγκαθιστάς.
Αλλά χάνεις ότι ρυθμίσεις έκανες κι ότι εγκατέστησες.
αλλά και οι προδιαγραφές ασφαλείας,να μην τρέχει κώδικας που δεν έχει ψηφιακή υπογραφή
............
Άρα μπορεί να υπάρχει το κενό ασφαλείας που αναφέρθηκε,
αλλά θα πρέπει ο δημιουργός κάποιου bootkit, να έχει πάρει ψηφιακή υπογραφή,
πράγμα που δεν είναι εύκολο να γίνει.
.
"Αν θυμάσια παλιότερα υπήρχε rootkit με ψηφιακή υπογραφή SONY" <=== ειπες νωριτερα
α) Tι ακριβως ειναι μια ψηφιακη υπογραφη και σε τι εξυπηρετει?
β) Ποιος ειναι αρμοδιος να μοιραζει ψηφιακες υπογραφες?
"Αν θυμάσια παλιότερα υπήρχε rootkit με ψηφιακή υπογραφή SONY" <=== ειπες νωριτερα
α) Tι ακριβως ειναι μια ψηφιακη υπογραφη και σε τι εξυπηρετει?
β) Ποιος ειναι αρμοδιος να μοιραζει ψηφιακες υπογραφες?
Κάθε μεγάλη εταιρεία αλλά και ιδιώτης μπορεί να έχει ψηφιακή υπογραφή.
Η ψηφιακή υπογραφή απλά δηλώνει χωρίς αμφισβήτηση,
ποιός είναι ο αποστολέας /δημιουργός του λογισμικού.
Είναι σαν να βάζεις εσύ την υπογραφή σου σε ένα κείμενο.
Δεν υπάρχει αρμόδιος στο να μοιράζει ψηφιακές υπογραφές,
η εταιρεία ή ο ιδιώτης την δημιουργεί.
η κάθε εταιρεία ιδιώτης μπορεί να έχει ψηφιακή υπογραφή
Είναι τόσοι οι κατασκευαστές που ο καθένας ακολουθεί διαφορετική πρακτική,
αλλά και οι προδιαγραφές ασφαλείας,να μην τρέχει κώδικας που δεν έχει ψηφιακή υπογραφή.
Απο την στιγη που ο καθενας μπορει να δημιουργησει την δικη του ψηφιακη υπογραφη, τοτε ο οποιοσδηποτε κωδικας μπορει να τρεξει ανενοχλητος αφου θα εχει και αυτος την δικη του υπογραφη.
Φτιαχνει καποιος ενα malware του βαζει και μια ψηφιακη υπογραφη και αυτο μετα τρεχει ανενοχλητο?!
Άρα μπορεί να υπάρχει το κενό ασφαλείας που αναφέρθηκε,
αλλά θα πρέπει ο δημιουργός κάποιου bootkit, να έχει πάρει ψηφιακή υπογραφή,
πράγμα που δεν είναι εύκολο να γίνει.
Θα βαλει στο βοοτκιτ μια εγκυρη ψηφιακη υπογραφη οπως ενος microsoft driver για να μπορεσει να τρεξει ανενχλητο απο το UEFI's SecureBoot
Φτιαχνει καποιος ενα malware του βαζει και μια ψηφιακη υπογραφη και αυτο μετα τρεχει ανενοχλητο?!
Γι' αυτό τα Windows σε ρωτάνε αν είσαι σίγουρος όταν πάς να εγκαταστήσεις κάποια εφαρμογή, και σε προτρέπουν να το κάνεις μόνο αν εμπιστεύσαι τον δημιουργό.
Γι' αυτό τα Windows σε ρωτάνε αν είσαι σίγουρος όταν πάς να εγκαταστήσεις κάποια εφαρμογή, και σε προτρέπουν να το κάνεις μόνο αν εμπιστεύσαι τον δημιουργό.
Και επειδη εσυ καιγεσαι να χρησιμοποιησεις την εφαρμογη απαντας θετικα, hence you get infected.
Τότε, αναλαμβάνεις και το ρίσκο.
Και επειδη εσυ καιγεσαι να χρησιμοποιησεις την εφαρμογη απαντας θετικα, hence you get infected.
Και δεν μπορεί ο οποιοσδήποτε να βάλει οποιαδήποτε ψηφιακή υπογραφή.
Πρέπει αυτός που θα βάλει ψηφιακή υπογραφή της Microsoft π.χ.
να έχει το προσωπικο κλειδί της Microsoft. Aυτό δεν γίνεται να το έχει.
Ακριβώς όπως στην ζωή δεν μπορεί κάποιος να έχει την υπογραφή σου,
και να την βάζει οπουδήποτε.
Και δεν μπορεί ο οποιοσδήποτε να βάλει οποιαδήποτε ψηφιακή υπογραφή.
Πρέπει αυτός που θα βάλει ψηφιακή υπογραφή της Microsoft π.χ.
να έχει το προσωπικο κλειδί της Microsoft. Aυτό δεν γίνεται να το έχει.
Ακριβώς όπως στην ζωή δεν μπορεί κάποιος να έχει την υπογραφή σου,
και να την βάζει οπουδήποτε.
α) Tοτε πως εκεινο το ροοτκιτ που αναφεραμε πιο πανω χρησιμοποιησε ψηφιακη υπογραφη της Sony Corp για να εγκατασταθει ανενοχλητο? Που την βρηκε?
β) Και επισης γιατι να χρησιμοποιηεει μια forged υπογραφη? Να χρησιμοποιησει μια δικη του αφου καθε ιδιωτης μπορει να δημιουργησει μια για καθε λογισμικο που φτιανχει. Ποιος θα τον ελενξει αν ειναι γνησια ή οχι?
γ) Να μην χρησιμοπιησει καθολου, καμια ψηφιακη υπογραφη και να τρεξει ετσι οπως ειναι. ΝΑΙ θα απαντησει ο χρηστης και παλι.
A) Γιατί το έβγαλε η ίδια η Sony, για να αποτρέψει αντιγραφές των CD μουσικής.
Β) Αν δημιουργός κακόβουλου λογιμικού χρησημοποιήσει δίκη του υπογραφή,
θα είναι σαν να λέει εγώ το δημιούργησα ,πιάστε με.
Γ) Προγράμματα χωρις ψηφιακές υπογραφές δεν τρέχουν λόγω UEFI.
Όπως και τα Windows δεν φορτώνουν drivers χωρίς ψηφιακή υπογραφή.
α) Για να μπορεσει να αποτρεψει αντιγραφα η ιδια η Sony δημιουργησε ροοτκιτ?
β) Ο δημιουργος κακοβουλου λογισμικου Θα χρησιμοποιησει μια ψηφιακη υπογραφη ισα-ισα για να υπαρχει μια, και μετα δεν θα την ξαναχρησιμοποιησει ποτε.
γ) Το UEFI & τα Windows ΔΕΝ ειναι και δεν θα ειναι ΠΟΤΕ σε θεση να γνωριζουν ΟΛΕΣ τις ψηφιακες υπογραφες ΟΛΟΥ του διαθεσιμου λογισμικου στον πλανητη, οπως ενα Antivirus προγραμμα ΔΕΝ μπορει να γνωριζει τα 0-day virus signatures.
α) Για να μπορεσει να αποτρεψει αντιγραφα η ιδια η Sony δημιουργησε ροοτκιτ?
β) Ο δημιουργος κακοβουλου λογισμικου Θα χρησιμοποιησει μια ψηφιακη υπογραφη ισα-ισα για να υπαρχει μια, και μετα δεν θα την ξαναχρησιμοποιησει ποτε.
γ) Το UEFI & τα Windows ΔΕΝ ειναι και δεν θα ειναι ΠΟΤΕ σε θεση να γνωριζουν ΟΛΕΣ τις ψηφιακες υπογραφες ΟΛΟΥ του διαθεσιμου λογισμικου στον πλανητη, οπως ενα Antivirus προγραμμα ΔΕΝ μπορει να γνωριζει τα 0-day virus signatures.
Α) Ναί, και μετά πλήρωνε αποζημιώσεις. Τόσο ηλίθια ήταν.
Β) Η ψηφιακή υπογραφή είναι όπως η κανονική υπογραφή.
Και συ μια φορά θα υπογράψεις ένα χαρτί, αλλά ξέρουν ότι είσαι εσύ.
Γ) Μπορούν γιατί υπάρχει βάση δεδομένων που αποθηκεύονται τα δημόσια κλειδιά
(σαν να λέμε η βεβαίωση ,του γνήσιου της υπογραφής)
β) Δεν ξερω πως δημιουργειτι μια ψηφιακη υπογραφη γιαυτο και δεν μπορω να το καταλαβω. Τι με εμποδιζει να δημιουργησω οσες υπογραφες θελω στον ψηφιακο κοσμο?
γ) Και αν μπορουσα σημερα εγω να γραψω ενα driver για το wireless network adaptor μου και του εβαζα και μαι ψηφιακη υπογραφη, τα windows δεν θα με αφηναν να το εγκαταστησω στην BroadCon 802.11n ως driver ενος αγνωστου εκδοτη?
β) Δεν ξερω πως δημιουργειτι μια ψηφιακη υπογραφη γιαυτο και δεν μπορω να το καταλαβω. Τι με εμποδιζει να δημιουργησω οσες υπογραφες θελω στον ψηφιακο κοσμο?
γ) Και αν μπορουσα σημερα εγω να γραψω ενα driver για το wireless network adaptor μου και του εβαζα και μαι ψηφιακη υπογραφη, τα windows δεν θα με αφηναν να το εγκαταστησω στην BroadCon 802.11n ως driver ενος αγνωστου εκδοτη?
Δες εδώ (http://www.youdzone.com/signature.html)πως δημιουργείται η ψηφιακή υπογραφή
Θα σε άφηναν με προυποθέσεις ή μπορεί και καθόλου.
Για τους περισσότερους drivers εκτός από ψηφιακή υπογραφή ζητάνε και WHQL.
Έλεγχο συμβατότητας από την Microsoft.
Θα σε άφηναν με προυποθέσεις ή μπορεί και καθόλου.
Για τους περισσότερους drivers εκτός από ψηφιακή υπογραφή ζητάνε και WHQL.
Έλεγχο συμβατότητας από την Microsoft.
Δηλαδη για να εγκατασταθει ενα driver πρεπει:
α) να εχει οπωσδηποτε digital signature
β) το (α) να ειναι Microsoft certified.
Σωστα?
- - - Updated - - -
Aλλα παμε στο θεμα μας.
ΠΩΣ θα καταλαβουμε αν ειμαστε ηδη κολλημενοι απο ενα Rootkit'ed Bootkit οταν το ροοτκιτ κρυβει:
α) ακομα και την ιδια την υπαρξη του
β) το βοοτκιτ με το οποιο ηρθε bundled
!?
Δηλαδη για να εγκατασταθει ενα driver πρεπει:
α) να εχει οπωσδηποτε digital signature
β) το (α) να ειναι Microsoft certified.
Σωστα?
- - - Updated - - -
Aλλα παμε στο θεμα μας.
ΠΩΣ θα καταλαβουμε αν ειμαστε ηδη κολλημενοι απο ενα Rootkit'ed Bootkit οταν το ροοτκιτ κρυβει:
α) ακομα και την ιδια την υπαρξη του
β) το βοοτκιτ με το οποιο ηρθε bundled
!?
Α) Ναι Β) Ναι αλλά δεν είναι απαραίτητο.
Μπορεί να εγκατασταθεί ένας driver, μόνο με ψηφιακή υπογραφή, χωρίς WHQL ,
αλλά αυτός ο driver ίσως κάποια στιγμή παεουσιάσει προβλήματα
Δεν μπορούμε να ξέρουμε αν έχουμε κολλήσει κάποιο bootkit /rootkit
Για τα bootkit ισχύει αυτό που έγραψα παραπάνω:
Από την άλλη ούτε είναι εύκολο να κολλήσει κάποιος υπολογιστής bootkit.
Είναι τόσοι οι κατασκευαστές που ο καθένας ακολουθεί διαφορετική πρακτική,
αλλά και οι προδιαγραφές ασφαλείας,να μην τρέχει κώδικας που δεν έχει ψηφιακή υπογραφή.
Άρα μπορεί να υπάρχει το κενό ασφαλείας που αναφέρθηκε,
αλλά θα πρέπει ο δημιουργός κάποιου bootkit, να έχει πάρει ψηφιακή υπογραφή,
πράγμα που δεν είναι εύκολο να γίνει.
Για τα rootkit σε επίπεδο λειτουργικού δεν μπορούμε να είμαστε σίγουροι 100%.
Το rootkit είναι σαν παράσιτο, κολλάει στο αρχείο κάποιας εφαρμογής ή DLL,
ή σαν εγγραφή στην registry,ανάμεσα στις εγγραφές κάποιου άλλου στοιχείου.
Το μέγεθός του είναι ελάχιστο, και με την ιδιότητα τους να κρύβονται
είναι σχεδόν αδύνατον να εντοπιστούν.
Υπάρχουν προγράμματα που ψάχνουν για rootkits, όπως και όλα τα σύγχρονα antivirus,
αλλά κατα πόσο οι προσπάθειες είναι πετυχημένες, αυτό δεν είναι σίγουρο.
Υπάρχει ένα πολύ καλό άρθρο από την Prevx (http://www.prevx.com/blog/139/Tdss-rootkit-silently-owns-the-net.html),εταιρεία antivirus,
για τα rootkit και πως έχουν κατακτήσει σιωπηλά το NET, το πιο ενδιαφέρον σημείο παρακάτω:
Malware writers are now sending a "catch me, if you can" message to antivirus companies
in a hide-and-seek game where rootkit techniques are always a step ahead to security countermeasures
and they open wide the road to every other malware
@ ADSLgr.com All rights reserved.