Gre za direktorico podjetja Invisible Things Lab, ki se ukvarja z raziskovanjem na področju varnosti računalniških sistemov, predvsem z raziskavami prikrivanja zlonamerne programske kode. Rutkowska je tudi avtorica znanega programa BluePill, rootkita, ki se skrije v sistem s pomočjo AMD-V in Intel VT virtualizacijske tehnologije.
V intervjuju govori o razvoju zlonamernega programja, pristopih borbe proti njemu in informacijski varnosti an splošno. Posebej zanimiv je tudi del kjer govori o Ring -1 (izkoriščajo strojno virtualizacijsko podporo), Ring -2 (izkoriščajo System Management Mode procesorja) in celo Ring -3 rootkitih (o slednjem je povedala le, da bo predstavljen na konferenci Black Hat naslednji mesec).
Vsekakor zanimivo branje, občasno pa se splača pogledati tudi na njen blog.
So, the moment I learn that processors have built-in eeprom memory, I will start thinking seriously there are backdoors out there :) Heh, proci dejansko imajo nekaj osnovnega takšne logike, ki jo potrebujejo že zaradi VID nastavitev, tudi pisati se da vanjo, kar ni nič novega. Se pa načeloma zadeve ob ponovnem zagonu pobrišejo.
Xeoni naj bi imeli read-only eeprom z informacijami o procesorju, sama zadeva pa se pri starejših in tudi nekaterh novejših nahaja izven samega jedra.
Some nanoparticles are more equal than others
Good work: Any notion of sanity and critical thought is off-topic in this place
@Kenpachi ima partnerko, tak da žal nebo nič. Je pa zanimivo brat kako se strokovnjaki spopadajo z vsakodnevno izpostavljenostjo internetu, kako dostopajo do svojega bank@neta oz klika itd.
Ženska uporablja Virtualizacijo da varno brska po netu. VM1 za vsak dan, VM2 za pomembne zadeve. Vendar sama je dokazala kako okužen VM1, lahko okuži tudi VM2, tako da spet si na istem.
V bistvu ni 100% rešitve, to je povedala.
Aja, AV so zanič, to itak, na žalost, že vemo. :/
P.S: Hardware level virusi so zelo nevarni, vedno so bili, vedno bojo. Zaščite na tem nivoju ni, oz. je zelo omejena. P.S.S: Pove da je Linux najbolj varen, prizna pa da uporablja Mac ker je sexi. Človeška narava, vemo kaj je prav, ampak delamo tisto kar nam najbolj paše.
Ne vem koliko je modro dvigovat prah okoli raznih low level virusov, napadov ipd., ker itak na vsakem compu laufa BIOS. Če bi kdorkoli želel imeti dostop do compa, je najmanj dela vgradit backdoor v bios (plačaš Intelu za sodelovanje recimo) in imaš dostop do podatkov v ramu, bereš odkodirane podatke v cpuju in po možnosti uporabiš kak in house narejen protokol, ki recimo v wiresharku ipd. zgleda kot šum (oz ga sploh ne registrira) za prenos podatkov na nek svoj server. Deluje neodvisno od OS-a (tudi OpenBSD ni potem problem) in OS nič od tega ne zazna. Vse je lepo del sistema. Ni daleč nazaj, ko so ZDA napovedale cyber vojsko, katere eden primarnih ciljev je bil napisat program, ki bo omogočal dostop do compov neglede na OS, varnostne patche itd. Takrat se jim je cel /. delal norca. No, fajn da se vedno več govori o low level varnosti, čeprav o problemu z biosi je mnda pridigal politikom samo en admin iz LANL-ja.
Sicer pa se aktivno razvija OpenBIOS, ki ga med drugim na vlko uporabljajo admini na sistemih v LANL-u... če zadeva dela (in če dela dobro) na kr nekem xy pc-ju, je pa za preverit.
Heh, ja no, open bios. Dela, ampak za navadnega uporabnika praktično neuporabno. Intel dela na svoji 'odprti' rešitvi v svojih zaprtih krogih. Vsake kvatre zmečejo kakšen papir ven in vedno poudarijo da se kar se da trudijo sodelovati z izdelovalci HW
Sem pa že dolgo nazaj dal pomislek, na to, kaj vse bi se dalo zmetati v tisti eepromček od same grafe. Namesto 256k daš go 2M, mogoče celo 8M čip, razlike v videzu praktično ni, razen napisa, vanj pa lahko stlačiš kar lep kup kode, ki se navadno inicializira že dolgo preden dejanski bios sploh pride v akcijo POST-a. Nato lahko na grafo dodaš še namesto 128MB rama, kar 512, preostanek pa lepo skriješ samemu sistemu. Sicer, kaj ti brani da na grafo ne nalotaš kar svoj CPU. Uporabnik tako ali drugače ne ve kaj je to, ti pa lahko to zadevo reklamiraš kot SuperMultiUltraAdvancedHyperPerformance Chip :)
Some nanoparticles are more equal than others
Good work: Any notion of sanity and critical thought is off-topic in this place
Kaj nakladajo o virtulnih virusih ja možno je da se virus skrije pod V kodo v CPU pa tam deluje sam zase kot pod sistem ni slabo. Se pač v BIOS izklopi V podporo pa je ane...
Če bi kdorkoli želel imeti dostop do compa, je najmanj dela vgradit backdoor v bios (plačaš Intelu za sodelovanje recimo) in imaš dostop do podatkov v ramu
Ni potrebno. Dovolj je, da uporabniku podtakneš USB ali firewire napravo. Poglej si recimo tole: http://matej.owca.info/predavanja/Foren..., stran 31 dalje. Tole sva z Daedausom delala pred časom.
Druga opcija je pa recimo ethernet kartica. Daedalus ima doma enega starejšega Compaqa, ki omogoča, da se priklopiš na eth kartico in na njej izvajaš ukaze (v bistvu imajo to praktično vsi serverji). Omrežna kartica se dejansko obnaša kot nekakšen računalnik, na katerem pač poganjaš ukaze. OS tega sploh ne zazna, da si gor.
Finta je pa v tem, da ima omrežna kartica seveda dostop do RAM-a. Kar pomeni...
Kaj nakladajo o virtulnih virusih ja možno je da se virus skrije pod V kodo v CPU pa tam deluje sam zase kot pod sistem ni slabo. Se pač v BIOS izklopi V podporo pa je ane...
Ali pa se je sprva pod psevdonimom izdajala za tipa...
Problem je samo v tem, da je tisti Jan verjetno moral res obstajati, ce je dobil email account na faksu (kjer najbrz ni mogel dati fake podatkov). Zanimivo nakljucje je, da se je potem ko je izginil Jan pojavila Joanna. No cisto mogoce je, da je to njen brat, ki je umrl v nesreci ali kaj takega in je potem ona nadaljevala z delom. Obstaja pa tudi druga moznost.
Problem je samo v tem, da je tisti Jan verjetno moral res obstajati, ce je dobil email account na faksu (kjer najbrz ni mogel dati fake podatkov). Zanimivo nakljucje je, da se je potem ko je izginil Jan pojavila Joanna. No cisto mogoce je, da je to njen brat, ki je umrl v nesreci ali kaj takega in je potem ona nadaljevala z delom. Obstaja pa tudi druga moznost.
In to je pomembno zakaj ze? Pomembni so rezultati raziskav ter njihove implikacije.
Ali pa se je sprva pod psevdonimom izdajala za tipa...
Problem je samo v tem, da je tisti Jan verjetno moral res obstajati, ce je dobil email account na faksu (kjer najbrz ni mogel dati fake podatkov). Zanimivo nakljucje je, da se je potem ko je izginil Jan pojavila Joanna. No cisto mogoce je, da je to njen brat, ki je umrl v nesreci ali kaj takega in je potem ona nadaljevala z delom. Obstaja pa tudi druga moznost.
objavljala je z naslova jrutkovski@... kar pomeni da je ta naslov lahko pomenil tudi joanna rutkowska :P
Druga opcija je pa recimo ethernet kartica. Daedalus ima doma enega starejšega Compaqa, ki omogoča, da se priklopiš na eth kartico in na njej izvajaš ukaze (v bistvu imajo to praktično vsi serverji). Omrežna kartica se dejansko obnaša kot nekakšen računalnik, na katerem pač poganjaš ukaze. OS tega sploh ne zazna, da si gor. Jep, Compaq so meli to lepo implementirano v sam bios in bios block na HDD-ju za recovery zadeve. Nekako podobno kot imamo danes PXE boot rom.
Some nanoparticles are more equal than others
Good work: Any notion of sanity and critical thought is off-topic in this place
@ABX Točno to. Če pa z recimo Phoenixem, ki pokriva 80% BIOS trga, podpišeš NDA češ da gre za državno varnost, pa ne rabiš nikakršnega fizičnega dostopa.
@Matthai A ne dela isto IPMI? Sam to dejansko olajša delo adminom v datacentru ali pa če imaš oddaljen dostop, drugo je če nekaj v trgovini kupiš, naložiš OpenBSD brez X-a, surfaš samo z Lynx-om :) itd. in vidiš, da si za razliko od win95 samo zožal krog gledalcev. Me zanima kak imajo te zadeve rešene na ambasadah, kaj tam ženejo.
@ABX Točno to. Če pa z recimo Phoenixem, ki pokriva 80% BIOS trga, podpišeš NDA češ da gre za državno varnost, pa ne rabiš nikakršnega fizičnega dostopa.
Hja, samo okužit Phoenix BIOS in pri tem da te noben ne opazi, ni glih enostavno. Ni nemogoče, ampak imaš bolj enostavne in učinkovite pristope.
Vprašanje je seveda, ali lahko na strojni opremi povrzočiš kakšen buffer overflow in otem poženeš lastno kodo...
Me zanima kak imajo te zadeve rešene na ambasadah, kaj tam ženejo.
Kolega je bil lansko leto na nekem infosec sestanku NATA. Pobrali so jim vso opremo in jih zaprli v varno sobo. Računalnika in telefona ni smel prižgati.
Kolega je bil lansko leto na nekem infosec sestanku NATA. Pobrali so jim vso opremo in jih zaprli v varno sobo. Računalnika in telefona ni smel prižgati.
@ABX Točno to. Če pa z recimo Phoenixem, ki pokriva 80% BIOS trga, podpišeš NDA češ da gre za državno varnost, pa ne rabiš nikakršnega fizičnega dostopa.
Hja, samo okužit Phoenix BIOS in pri tem da te noben ne opazi, ni glih enostavno. Ni nemogoče, ampak imaš bolj enostavne in učinkovite pristope.
Podpišem pogodbo s Phenix, ki mi da na razpolago njihov source za bios, jaz pa jim potem njihov source "razširim" z mojimi komandami, skompajlam in jim vrnem rekoč, da naj zaj to oni prodavajo kot njihov produkt. Ker gre za recimo nacionalno varnost, se kaznuje, če že o tem govorijo.
Kolega je bil lansko leto na nekem infosec sestanku NATA. Pobrali so jim vso opremo in jih zaprli v varno sobo. Računalnika in telefona ni smel prižgati.
Kolega je bil lansko leto na nekem infosec sestanku NATA. Pobrali so jim vso opremo in jih zaprli v varno sobo. Računalnika in telefona ni smel prižgati.
Ženska uporablja Virtualizacijo da varno brska po netu. VM1 za vsak dan, VM2 za pomembne zadeve. Vendar sama je dokazala kako okužen VM1, lahko okuži tudi VM2, tako da spet si na istem. V bistvu ni 100% rešitve, to je povedala.
Kaj pa 3 fizične mašine in KVM? Vsaka mašina pa preko svojega VLAN porta (če že mora biti priključena na NET). Nisem še slišal, da bi se čez KVM switch kaj prenašalo(zanikam pa tudi ne take možnosti).
@ABX Točno to. Če pa z recimo Phoenixem, ki pokriva 80% BIOS trga, podpišeš NDA češ da gre za državno varnost, pa ne rabiš nikakršnega fizičnega dostopa.
Hja, samo okužit Phoenix BIOS in pri tem da te noben ne opazi, ni glih enostavno. Ni nemogoče, ampak imaš bolj enostavne in učinkovite pristope.
Podpišem pogodbo s Phenix, ki mi da na razpolago njihov source za bios, jaz pa jim potem njihov source "razširim" z mojimi komandami, skompajlam in jim vrnem rekoč, da naj zaj to oni prodavajo kot njihov produkt. Ker gre za recimo nacionalno varnost, se kaznuje, če že o tem govorijo.
Malo preveč si sfantaziran. To mogoče uspe samo v kaki nadaljevanki.
Ženska uporablja Virtualizacijo da varno brska po netu. VM1 za vsak dan, VM2 za pomembne zadeve. Vendar sama je dokazala kako okužen VM1, lahko okuži tudi VM2, tako da spet si na istem. V bistvu ni 100% rešitve, to je povedala.
Kaj pa 3 fizične mašine in KVM? Vsaka mašina pa preko svojega VLAN porta (če že mora biti priključena na NET). Nisem še slišal, da bi se čez KVM switch kaj prenašalo(zanikam pa tudi ne take možnosti).
Ženska uporablja Virtualizacijo da varno brska po netu. VM1 za vsak dan, VM2 za pomembne zadeve. Vendar sama je dokazala kako okužen VM1, lahko okuži tudi VM2, tako da spet si na istem. V bistvu ni 100% rešitve, to je povedala.
Še kr dobra rešitev. Odporna na njeno modro tabletko. 100% rešitve itak da ni, gre se vedno samo za oteževanje dela zlonamernimu programju/osebam. Beri - nepatchan OS, direktno izpostavljen na internet, bo kmal fasal kako neprijetnost. Popatchan sistem z dobrim firewallom, malo težje. Pol ko začneš enkrat proper omejevat userje, je tud že kr kul. Če te res skrbi, pol se ubadaš z razmimi SELinux rešitvami in tako naprej. V vsakem primeru se da v računalo še vedno vdret. Sam... nivo znanja, potreben za kaj takega pri solidno zavarovanih sistemih, je neprimerno večji od "znanja", ki ga premorejo avtomatizirane skripte al pa skript kidiji.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
Itak, če vzameš varnost na splošno, se zavedaš da 100% zaščita ne obstaja. Zato pa je pomembno da si toliko zavarovan, da nepridiprav raje napade soseda, ker bo dosegel isto z manj truda.
Malo preveč si sfantaziran. To mogoče uspe samo v kaki nadaljevanki.
ja, če ti dolgotrajni spomin drži okoli leto in pol... in ker je pogodba med raznimi podjetji in inštitucijami notranjega ministrstva nekaj iz TV. tak, čisto za hec poskusimo nekaj prebrat tu pa tam,ne boli
zanimivo bi bilo vedet če so te mašine bile zavarovane s SELinuxom ali čem podobnim. SE Linux Play Machine je že nekaj let na voljo, dobiš root, pa še noben ni zrihtal kaj pametnega recimo.
zanimivo bi bilo vedet če so te mašine bile zavarovane s SELinuxom ali čem podobnim. SE Linux Play Machine je že nekaj let na voljo, dobiš root, pa še noben ni zrihtal kaj pametnega recimo.
Sej je že sama povedala, da ne uporablja najbolj varne pristope, ker ima rajši lep GUI.
Če smo prav natančni Invisiblethingslab.com dejansko niso pwnali. Če dobro pogledaš nimajo #. Imajo le shell na kišti njenega web hosting providerja. Tega so lahko tudi kupili za 10$ (+ stolen CC). Res pa je tudi, da ima kernel 2.6.9-78.0.22.EL exit_notify() vrzel. Torej, zakaj nimajo rootshell? Hint: "Needs /proc/sys/fs/suid_dumpable set to 1 or 2. The default is 0 so you'll be out of luck most of the time." Hmmm...
