Joanna Rutkowska
From Hack Story
http://news.com.com/Vista+hacked+at+Black+Hat/2100-7349_3-6102458.html
By Joris Evers Staff Writer, CNET News.com August 4, 2006
LAS VEGAS -- While Microsoft talked up Windows Vista security at Black Hat, a researcher in another room demonstrated how to hack the operating system.
Joanna Rutkowska, a Polish researcher at Singapore-based Coseinc, showed that it is possible to bypass security measures in Vista that should prevent unsigned code from running.
And in a second part of her talk, Rutkowska explained how it is possible to use virtualization technology to make malicious code undetectable, in the same way a rootkit does. She code-named this malicious software Blue Pill.
"Microsoft is investigating solutions for the final release of Windows Vista to help protect against the attacks demonstrated," a representative for the software maker said. "In addition, we are working with our hardware partners to investigate ways to help prevent the virtualization attack used by the Blue Pill."
At Black Hat, Microsoft gave out copies of an early Vista release for attendees to test. The software maker is still soliciting feedback on the successor to Windows XP, which is slated to be broadly available in January.
Rutkowska's presentation filled a large ballroom at Caesars Palace to capacity, even though it was during the last time slot on the final day of the annual Black Hat security confab here. She used an early test version of Vista for her research work.
As one of the security measures in Vista, Microsoft is adding a mechanism to block unsigned driver software to run on the 64-bit version of the operating system. However, Rutkowska found a way to bypass the shield and get her code to run. Malicious drivers could pose a serious threat because they run at a low level in the operating system, security experts have said.
"The fact that this mechanism was bypassed does not mean that Vista is completely insecure. It's just not as secure as advertised," Rutkowska said. "It's very difficult to implement a 100 percent-efficient kernel protection."
To stage the attack, however, Vista needs to be running in administrator mode, Rutkowska acknowledged. That means her attack would be foiled by Microsoft's User Account Control, a Vista feature that runs a PC with fewer user privileges. UAC is a key Microsoft effort to prevent malicious code from being able to do as much damage as on a PC running in administrator mode, a typical setting on Windows XP.
"I just hit accept," Rutkowska replied to a question from the audience about how she bypassed UAC. Because of the many security pop-ups in Windows, many users will do the same without realizing what they are allowing, she said.
Microsoft has touted Vista as its most secure version of Windows yet. It is the first operating system client to go through the company's Security Development Lifecycle, a process to vet code and stamp out flaws before a product ships.
"Windows Vista has many layers of defense, including the firewall, running as a standard user, Internet Explorer Protected Mode, /NX support, and ASLR, which help prevent arbitrary code from running with administrative privileges," the Microsoft representative noted.
After the presentation on bypassing the driver shield, Rutkowska presented a way to create the stealthy malicious software she code-named Blue Pill. The technique uses Pacifica, a Secure Virtual Machine, from chipmaker Advanced Micro Devices, to go undetected.
Blue Pill could serve as a backdoor for attackers, Rutkowska said. While it was developed on Vista and AMD's technology, it should also work on other operating systems and hardware platforms. "Some people suggested that my work is sponsored by Intel, as I focused on AMD virtualization technology only," she said, adding that is untrue.
--
http://ww2.grn.es/merce/2007/joanna.html
21/06/07 17:12:39
JOANNA RUTKOWSKA:
"NO PODEMOS PROTEGER A LA GENTE DE SU ESTUPIDEZ"
Mercè Molist
A los 14 años escribió su primer virus. A los 27, estudia cómo detenerlos. Joanna Rutkowska es polaca, experta en código malicioso y musa de la comunidad de seguridad informática. La intriga saber si en España todos hacen la siesta: "Yo sí, cuando investigo algo complicado, y al despertar sé cómo resolverlo".
-¿Cuál es el estado del arte en el código malicioso?
-Desgraciadamente, es más fácil crearlo que detectarlo. Las técnicas de los chicos malos están por delante de las nuestras.
-¿Los chicos malos le han pedido alguna vez sus conocimientos?
-Acabo de crear mi propia empresa, Invisible Things, y entre otras cosas hacemos cursos. No sé si mis clientes son criminales o no.
-Cada vez hay más complejidad y delincuencia en el código malicioso. ¿Qué podemos hacer?
-Por una parte está el factor humano y, por otra, el tecnológico. La mayoría de ataques explotan el factor humano, la estupidez de los usuarios. No podemos proteger totalmente a usuarios estúpidos.
-¿Y el tecnológico?
-La tecnología suele tener fallos y hay ataques que no precisan de la intervención del usuario. Un ejemplo, que da miedo, es que sólo con tener la tarjeta inalámbrica de tu portátil funcionando, sin conectarte, alguien puede aprovechar un agujero del controlador y tomar el control de tu máquina.
-¿Cómo defendernos?
-Escribiendo programas sin fallos, con mejores controles de calidad y educando a los desarrolladores para que hagan programas seguros.
-¿Es posible?
-El sistema BSD tiene muchos entusiastas auditando manualmente el código. Pero, aún así, de vez en cuando se encuentran agujeros, a veces después de unos años. Por tanto, no es posible crear código 100% seguro.
-¿Y entonces?
-Otra propuesta es diseñar el sistema operativo de tal forma que, aunque alguien pueda explotar un fallo, el sistema limite el alcance del ataque. Por ejemplo, con arquitecturas de micronúcleo.
-¿Lo qué?
-Windows, Linux o Mac OS tienen grandes núcleos monolíticos, con millones de líneas de código donde no es raro que haya agujeros, y todo está allí. El micronúcleo es un núcleo diminuto que hace unas pocas funciones básicas y el resto funciona en procesos aislados. Así, un ataque al núcleo no afecta a todo el sistema. El problema es que es un cambio drástico, pero el futuro va por aquí.
-¿Y mientras tanto?
-Se están añadiendo herramientas especiales. Por ejemplo hacer que, cada vez que se pone en marcha el ordenador, los procesos estén en sitios diferentes. Así, el atacante no sabe dónde están las cosas.
-¿Y los antivirus?
-No son más que parches. Se basan en bases de datos con miles de "firmas" de código malicioso y, por cada archivo que entra, comprueban si coincide con alguna "firma". ¡Es un enfoque tan equivocado! No funciona contra nuevos ataques.
-¿Cómo deberían funcionar?
-Con un diseño seguro de los sistemas operativos y tecnologías anti-ataques, los antivirus desaparecerían. Pero, en realidad, no se dirigen al factor tecnológico sino al humano, avisando al usuario para que no abra tal adjunto. En la siguiente generación, cuando el humano esté educado, será diferente.
Invisible Things
http://invisiblethings.org
Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.