lunedì, aprile 05, 2010

Joanna Rutkowska

http://en.wikipedia.org/wiki/Joanna_Rutkowska

Il rootkit di "livello kernel" è quello che riceve più attenzioni dai media. Questo tipo di malware compromette direttamente il kernel del sistema operativo e, visto che non c'è nulla con un accesso più alto, non c'è modo di "guardare giù" e cercare il virus. Con un rootkit per kernel, quindi, un antivirus può facilmente essere eluso senza che nessuno se ne accorga. Il vantaggio dei rootkit a livello kernel, rispetto a quelli a livello utente, è diventato palese dopo che i vari antivirus hanno cominciato ad introdurre moduli che agisicono a livello kernel, che permettono le cosidette funzioni antirootkit.

Avere due elementi (un rootkit e un antivirus) con gli stessi privilegi (livello 0) non implica che entrambi vincano, a lungo termine. In effetti, la verità è che c'è sempre un pareggio, a lungo termine: per il malware è sufficiente sopravvivere qualche settimana, per raggiungere i suoi obiettivi.

Un attacco migliore, dal punto di vista del malware, sarebbe colpire semplicemente il browser; il difetto principale di questo approccio, invece, starebbe nel fatto che un antivirus con privilegi kernel potrebbe individuarlo, almeno in teoria, perché in realtà fanno tutti pena.

Non importa se si sceglie un PC o un Mac, l'unica risposta seria, oggi, al problema della sicurezza è la virtualizzazione, per ottenere l'isolamento necessario tra le varie applicazioni, o almeno tra i browser

Un antivirus, almeno uno di quelli odierni, sarebbe uno spreco di denaro e di risorse, per come la vedo io. È successo persino che l'antivirus stesso avesse dei bug, che introducevano delle vulnerabilità ai sistemi che dovevano proteggere! Io non uso nessun antivirus...



Questo sopra sta a significare che e', per un utente normale, obbligatorio usare un antivirus ma e' altrettanto vero che non deve fare cappellate come mandare stronzate via email, scambiare fetide chiavette eccetera poiche' i virus piu' banali saranno fermati e gli altri so azzi vostra!



1 commento:

elf ha detto...

Dimentichi una cosa: anche la virtualizzazione puo' avere dei bug, sia a livello software (hypervisor, virtualizzatore tradizionale o altro) che hardware (istruzioni VT del processore), e proprio la Rutkowska ha contribuito a scoprirli (es. la BluePill [1]).
Quindi la risposta finale, decisamente poco soddisfacente, e' che qualsiasi strada tu scelga, sarai potenzialmente attaccabile. La virtualizzazione aiuta a "consolidare" piu' computer su un'unica macchina, ma non risolve i problemi della [in]sicurezza: non e' il suo scopo.

elf

[1] http://en.wikipedia.org/wiki/Blue_Pill_%28malware%29