22.10.2009, 13:55
sam z niego korzystam, jednak ostatnio przeczytałem na pewnej parchatej stronce taki oto wpis:
Bootkit podważa szyfrowanie dysków twardych
Austriacki specjalista od bezpieczeństwa IT Peter Kleissner na konferencji Black Hat zaprezentował bootkit o nazwie Stoned, który jest w stanie unieszkodliwić pełne szyfrowanie partycji i systemów w programie TrueCrypt. Bootkity to swego rodzaju połączenie rootkita z możliwością modyfikowania sektora rozruchowego dysku (Master Boot Record), dzięki czemu stają się one aktywne już od momentu uruchomienia systemu operacyjnego.
Bootkit Kleissnera, którego kod źródłowy jest już opublikowany, infekuje wszystkie obecnie stosowane warianty 32-bitowego systemu Windows, od Windows 2000 aż po Windows Vistę i Windows 7 w wersji Release Candidate. Stoned zapisuje się w Master Boot Recordzie (MBR), który nawet przy w pełni zaszyfrowanym dysku twardym pozostaje niezaszyfrowany. Przy starcie bootkit jest najpierw wywoływany przez BIOS, a następnie uruchamia program rozruchowy (bootloader) TrueCrypta. Aby podważyć szyfrowanie za pomocą TrueCrypta, Kleissner, jak sam twierdzi, nie korzysta z usterek programu szyfrującego i nie modyfikuje bootloadera. Jego metoda polega na przekierowaniu przerwania wejścia/wyjścia o numerze 13h za pomocą metody Double Forward. Dzięki temu możliwe jest pośredniczenie w wywołaniach systemu Windows i TrueCrypta. Kleissner dopasował bootkita specjalnie do TrueCrypta, posługując się przy tym powszechnie dostępnym kodem źródłowym tego programu.
Jak twierdzi Kleissner, Stoned raz zainstalowany nie pozwoli się wykryć konwencjonalnym programom antywirusowym, ponieważ nie dochodzi tutaj do żadnych modyfikacji komponentów Windows w pamięci. Bootkit działa poza zasadniczym kernelem systemu Windows. Nie są w stanie go zatrzymać także funkcje antywirusowe BIOS-u, bo nowoczesne wersje Windows modyfikują MBR bez udziału jego wywołań.
Peter Kleissner przygotował różnego rodzaju wtyczki do Stoneda, takie jak cracker hasła bootowania albo rutyna do infekowania BIOS-u. Stoned jest pomyślany jako framework, dzięki czemu inni programiści mogą również przygotowywać swoje plug-iny. Z punktu widzenia twórcy Stoned może być interesujący także dla organów wymiaru sprawiedliwości, np. dla potrzeb tworzenia państwowych trojanów.
Do zainfekowania komputera niezbędne są uprawnienia administratora lub fizyczny dostęp do urządzenia. W tej chwili infekcja jest możliwa jedynie na maszynach z tradycyjnym BIOS-em. Jeśli na płycie głównej działa jego następca EFI, próba infekcji skończy się niepowodzeniem.
a szkoda bo wiadomo, że szyfruje się dane właśnie po to żeby nikt nie mógł ich odczytać przede wszystkim przy fizycznym dostępie...
Bootkit podważa szyfrowanie dysków twardych
Austriacki specjalista od bezpieczeństwa IT Peter Kleissner na konferencji Black Hat zaprezentował bootkit o nazwie Stoned, który jest w stanie unieszkodliwić pełne szyfrowanie partycji i systemów w programie TrueCrypt. Bootkity to swego rodzaju połączenie rootkita z możliwością modyfikowania sektora rozruchowego dysku (Master Boot Record), dzięki czemu stają się one aktywne już od momentu uruchomienia systemu operacyjnego.
Bootkit Kleissnera, którego kod źródłowy jest już opublikowany, infekuje wszystkie obecnie stosowane warianty 32-bitowego systemu Windows, od Windows 2000 aż po Windows Vistę i Windows 7 w wersji Release Candidate. Stoned zapisuje się w Master Boot Recordzie (MBR), który nawet przy w pełni zaszyfrowanym dysku twardym pozostaje niezaszyfrowany. Przy starcie bootkit jest najpierw wywoływany przez BIOS, a następnie uruchamia program rozruchowy (bootloader) TrueCrypta. Aby podważyć szyfrowanie za pomocą TrueCrypta, Kleissner, jak sam twierdzi, nie korzysta z usterek programu szyfrującego i nie modyfikuje bootloadera. Jego metoda polega na przekierowaniu przerwania wejścia/wyjścia o numerze 13h za pomocą metody Double Forward. Dzięki temu możliwe jest pośredniczenie w wywołaniach systemu Windows i TrueCrypta. Kleissner dopasował bootkita specjalnie do TrueCrypta, posługując się przy tym powszechnie dostępnym kodem źródłowym tego programu.
Jak twierdzi Kleissner, Stoned raz zainstalowany nie pozwoli się wykryć konwencjonalnym programom antywirusowym, ponieważ nie dochodzi tutaj do żadnych modyfikacji komponentów Windows w pamięci. Bootkit działa poza zasadniczym kernelem systemu Windows. Nie są w stanie go zatrzymać także funkcje antywirusowe BIOS-u, bo nowoczesne wersje Windows modyfikują MBR bez udziału jego wywołań.
Peter Kleissner przygotował różnego rodzaju wtyczki do Stoneda, takie jak cracker hasła bootowania albo rutyna do infekowania BIOS-u. Stoned jest pomyślany jako framework, dzięki czemu inni programiści mogą również przygotowywać swoje plug-iny. Z punktu widzenia twórcy Stoned może być interesujący także dla organów wymiaru sprawiedliwości, np. dla potrzeb tworzenia państwowych trojanów.
Do zainfekowania komputera niezbędne są uprawnienia administratora lub fizyczny dostęp do urządzenia. W tej chwili infekcja jest możliwa jedynie na maszynach z tradycyjnym BIOS-em. Jeśli na płycie głównej działa jego następca EFI, próba infekcji skończy się niepowodzeniem.
a szkoda bo wiadomo, że szyfruje się dane właśnie po to żeby nikt nie mógł ich odczytać przede wszystkim przy fizycznym dostępie...
pomogę ci przekroczyć znaną granicę bólu.