|
| Precedente :: Successivo |
| Autore |
Messaggio |
mda
Dio maturo
Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia
|
 Inviato: 29 Apr 2009 02:25 Oggetto: Re: Senza dettagli non si può dire nulla. |
 |
|
| Riverside ha scritto: |
| Citazione: | | Anche la "falla" su UAC era by design, ma mi pare che sia stata sistemata o no? |
Due questioni diverse: qui si fa riferimento ad una falla presente nella struttura di boot del sistema (cosa parecchio grave); ovvero di una falla che, se sfruttata attraverso un hack apposito, potrebbe mettere a repentaglio la sicurezza di una intera rete. |
Dipende da come la vedi, io la vedo in questo modo :
1) Anche questa come la UAC potrebbe mettere ad repentaglio una rete, ricordiamoci che Active Directory (uso LDAP) è installato proprio su Windows dal 2000 in poi, e con un pò di giri (specie se è la macchina di un amministratore) si può controllare la rete.
2) Esistono molti Trojan che installano virus e schifezze varie PROPRIO in fase di BOOT della macchina (che poi Windows si riavvia molto più spesso di altri OS) propagando l'infezione, qui potrebbe prendere il controllo di Administrator (la root di Win) con risultati allucinanti.
3) E' sanabilissima e non occorre riscrivere niente, ma qui non lo posso dire per ovvie ragioni, solo che il boot s'allungherebbe di qualche decina di minuti. Cosa deplorevole per il marketing.
Ciao |
|
| Top |
|
 |
kudraw
Mortale pio
Registrato: 29/04/09 09:13
Messaggi: 26
|
| Inviato: 29 Apr 2009 09:29 Oggetto: Re: Senza dettagli non si può dire nulla. |
|
|
| Riverside ha scritto: |
Sono state non spiegate ma straspiegate in questa discussione.
|
Allora eccomi, mi sono registrato perché ritenevo giusto rispondere e partecipare a questa discussione senza dover ogni volta aspettare che il commento venga pubblicato.
Veramente io non ho visto spiegato nulla in tutta la discussione, che si è basata sostanzialmente sul solito discorso linux vs windows.
Magari mi sono perso qualcosa, ma se saresti così gentile da indicarmi il post in cui si spiega in dettaglio (in tutte le sue fasi) come funziona questo VBootkit...
Domanda 1: si lancia dal boot? Se sì non c'è bisogno di un software particolare per compromettere il sistema, basta un qualunque CD di Linux al boot per accedere (se il disco non criptato), mettere degli script nella cartella esecuzione automatica e farli eseguire automaticamente al riavvio.
Domanda 2: si scarica e si installa direttamente da Windows? Se sì, servono sicuramente i privilegi di Admin e il consenso dell'utente, e in ufficio gestito seriamente in genere tutti i PC sono blindati da questo punto di vista.
Chiamarla falla mi sembra eccessivo. Avendo accesso alla macchina posso anche reinstallare il SO e cancellare tutti i dati... in sostanza ti fa capire il tipo di controllo che c'è sul sistema, più che altro è una "falla" dell'ufficio semmai, più che del SO (che non puo' certo intervenire all'esterno di se stesso).
Il bootloader di linux può essere cmq modificato dall'esterno del sistema (come ovvio che sia).
| Riverside ha scritto: |
Due questioni diverse: qui si fa riferimento ad una falla presente nella struttura di boot del sistema (cosa parecchio grave); ovvero di una falla che, se sfruttata attraverso un hack apposito, potrebbe mettere a repentaglio la sicurezza di una intera rete. |
La fase di boot prevede diverse cose, non mi risulta assolutamente difficile ipotizzare una modifica del boot loader di linux dall'esterno del SO stesso (stesso con una distro live).
Per cui, ripeto, dov'è la falla e quali sono i dettagli di questa falla?
A me pare una discussione del tutto generica sul nulla.
| mda ha scritto: |
2) Esistono molti Trojan che installano virus e schifezze varie PROPRIO in fase di BOOT della macchina (che poi Windows si riavvia molto più spesso di altri OS) propagando l'infezione, qui potrebbe prendere il controllo di Administrator (la root di Win) con risultati allucinanti.
|
Per farlo però deve avere i privilegi di Admin, che in una rete seria difficilmente un utente vedrà. |
|
| Top |
|
|
mda
Dio maturo
Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia
|
| Inviato: 30 Apr 2009 09:29 Oggetto: Re: Senza dettagli non si può dire nulla. |
|
|
| kudraw ha scritto: | (.....)
Magari mi sono perso qualcosa, ma se saresti così gentile da indicarmi il post in cui si spiega in dettaglio (in tutte le sue fasi) come funziona questo VBootkit...
Domanda 1: si lancia dal boot? Se sì non c'è bisogno di un software particolare per compromettere il sistema, basta un qualunque CD di Linux al boot per accedere (se il disco non criptato), mettere degli script nella cartella esecuzione automatica e farli eseguire automaticamente al riavvio.
Domanda 2: si scarica e si installa direttamente da Windows? Se sì, servono sicuramente i privilegi di Admin e il consenso dell'utente, e in ufficio gestito seriamente in genere tutti i PC sono blindati da questo punto di vista.
Chiamarla falla mi sembra eccessivo. Avendo accesso alla macchina posso anche reinstallare il SO e cancellare tutti i dati... in sostanza ti fa capire il tipo di controllo che c'è sul sistema, più che altro è una "falla" dell'ufficio semmai, più che del SO (che non puo' certo intervenire all'esterno di se stesso).
Il bootloader di linux può essere cmq modificato dall'esterno del sistema (come ovvio che sia).
| Riverside ha scritto: |
Due questioni diverse: qui si fa riferimento ad una falla presente nella struttura di boot del sistema (cosa parecchio grave); ovvero di una falla che, se sfruttata attraverso un hack apposito, potrebbe mettere a repentaglio la sicurezza di una intera rete. |
La fase di boot prevede diverse cose, non mi risulta assolutamente difficile ipotizzare una modifica del boot loader di linux dall'esterno del SO stesso (stesso con una distro live).
Per cui, ripeto, dov'è la falla e quali sono i dettagli di questa falla?
A me pare una discussione del tutto generica sul nulla.
| mda ha scritto: |
2) Esistono molti Trojan che installano virus e schifezze varie PROPRIO in fase di BOOT della macchina (che poi Windows si riavvia molto più spesso di altri OS) propagando l'infezione, qui potrebbe prendere il controllo di Administrator (la root di Win) con risultati allucinanti.
|
Per farlo però deve avere i privilegi di Admin, che in una rete seria difficilmente un utente vedrà. |
Cosa:
Dunque è un sistemino che permette d'avere i privilegi di Administrator (Root si dice in UNIX) da qui puoi fare qualsiasi cosa sul computer.
Dunque :
Con un boot esterno (es.: una distro live) poi aver accesso file SALVO che non siano crittografati dal OS e comunque non puoi creare file (es.: per avvio automatico) con permessi tali da ingannare un UNIX, forse Windows.
Come:
Il "sistemino" si può installare con i permessi di Guest (corrisponde ad user simple in UNIX) o tramite cd/dischetto/usb-strap esterno in fase di boot.
Perchè :
E' una falla per RUBARE i dati o comunque essere Administrator, se vuoi distruggere un PC da console basta un martello !
Ciao |
|
| Top |
|
|
kudraw
Mortale pio
Registrato: 29/04/09 09:13
Messaggi: 26
|
| Inviato: 30 Apr 2009 10:54 Oggetto: |
|
|
Edit: forse ho trovato qualcosa di ufficiale, ora me la studio e vi saprò dire meglio... cmq sarebbe il caso di postare le fonti quando fate un articolo. [edit: se ne parla nel forum Zeus si'/no, potresti partecipare a quella discussione? - Zeusnews]
Edit2: come supponevo, il programmino può prendere il controllo SOLO AL BOOT del SO.
Ecco il PDF della presentazione:
http://vbtk.notlong.com/ |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 21:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 30 Apr 2009 21:34 Oggetto: |
|
|
| kudraw ha scritto: | | Edit2: come supponevo, il programmino può prendere il controllo SOLO AL BOOT del SO. |
scusa la domanda (senza intenzione di creare una polemica): ma fino ad ora di che si sarebbe discusso?.
Almeno, per quel che mi riguarda ho sottolineato, più volte, come quella falla sia presente nella struttura di boot del sistema.
Non vedo cosa possa aggiungere, di più, questa tua osservazione a quanto già detto nella discussione (tralasciando gli O.T.).
| Citazione: | | E' sanabilissima e non occorre riscrivere niente, ma qui non lo posso dire per ovvie ragioni, solo che il boot s'allungherebbe di qualche decina di minuti. Cosa deplorevole per il marketing. |
Eh no MDA  cosi non ci siamo: o suggrisci a Microsoft come risolvere la questione oppure, almeno a grandi linee ce lo spiegi  (e resta tutto, tra le silenti pareti di Olimpo Informatico 8) ..... che non è interessato alle vicende di marketing di Microsoft  ) |
|
| Top |
|
|
mda
Dio maturo
Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia
|
| Inviato: 01 Mag 2009 13:55 Oggetto: |
|
|
| Riverside ha scritto: | | Eh no MDA cosi non ci siamo: o suggrisci a Microsoft come risolvere la questione oppure, almeno a grandi linee ce lo spiegi (e resta tutto, tra le silenti pareti di Olimpo Informatico 8) ..... che non è interessato alle vicende di marketing di Microsoft ) |
Come precedentemente spiegato, il trucco funziona SOLO al momento del Boot, questo perchè la MS per velocizzare il caricamento decise di usare un altro start up eliminando una routine che pulisce la memoria all'atto della partenza Loro pensavano che fosse solo un elemento di controllo della memoria (oramai le memorie RAM sono stra-affidabili) oramai inutile !
Dunque niente di trascendentale o complicato come vedi 8)
Ciao |
|
| Top |
|
|
kudraw
Mortale pio
Registrato: 29/04/09 09:13
Messaggi: 26
|
| Inviato: 02 Mag 2009 11:38 Oggetto: |
|
|
| Riverside ha scritto: | scusa la domanda (senza intenzione di creare una polemica): ma fino ad ora di che si sarebbe discusso?.
Almeno, per quel che mi riguarda ho sottolineato, più volte, come quella falla sia presente nella struttura di boot del sistema.
Non vedo cosa possa aggiungere, di più, questa tua osservazione a quanto già detto nella discussione (tralasciando gli O.T.).
|
Io infatti ho chiesto i dettagli della cosa, dettagli che sia dall'articolo che dalla discussione non erano proprio chiari... visto che come è stata presentata la cosa sembrava una falla grave e irrisolvibile.
Innanzitutto può essere arginata non consentendo il boot da cd/usb, disattivando l'USB Legacy, e mettendo una password al setup del BIOS, cosa che nella maggior parte di uffici e/o edifici pubblici ANDREBBE FATTA CMQ a prescindere dal SO utilizzato.
Per la maggior parte dei PC domestici ad uso privato questo non è detto possa rappresentare un problema.
PS: mda ho dei dubbi sulla soluzione, poiché se fin dai primi momenti intercetto le chiamate del SO, una routine per pulire la memoria alla partenza potrebbe cmq risultare inefficace. |
|
| Top |
|
|
mda
Dio maturo
Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia
|
| Inviato: 02 Mag 2009 14:45 Oggetto: |
|
|
| kudraw ha scritto: | (...)
Innanzitutto può essere arginata non consentendo il boot da cd/usb, disattivando l'USB Legacy, e mettendo una password al setup del BIOS, cosa che nella maggior parte di uffici e/o edifici pubblici ANDREBBE FATTA CMQ a prescindere dal SO utilizzato.
Per la maggior parte dei PC domestici ad uso privato questo non è detto possa rappresentare un problema.
PS: mda ho dei dubbi sulla soluzione, poiché se fin dai primi momenti intercetto le chiamate del SO, una routine per pulire la memoria alla partenza potrebbe cmq risultare inefficace. |
1) Le pwd da BIOS sono fregabili facilmente, quando poi ci sono.
Non solo via hard, anzi hanno tutte una black door conosciuta dagli installatori/riparatori autorizzati.
2) La routine in questione riscriveva (in blocchi, non byte su byte) la zona ram libera per verificare la memoria ed ovviamente cancellava (o rendeva monco) ogni programma che girava sul quel PC, compreso questo trucchetto.
Oltre l'allungarsi del boot OS c'è da dire che mettere di nuovo questa routine NON consentirebbe più la ram dinamica (ma la solita fissa) sulle virtualizzazioni.
Ciao |
|
| Top |
|
|
kudraw
Mortale pio
Registrato: 29/04/09 09:13
Messaggi: 26
|
| Inviato: 02 Mag 2009 15:28 Oggetto: |
|
|
| mda ha scritto: |
1) Le pwd da BIOS sono fregabili facilmente, quando poi ci sono.
Non solo via hard, anzi hanno tutte una black door conosciuta dagli installatori/riparatori autorizzati.
|
Chiaramente escludendo la via del reset CMOS o della rimozione batteria, puoi farmi un esempio?
| mda ha scritto: |
2) La routine in questione riscriveva (in blocchi, non byte su byte) la zona ram libera per verificare la memoria ed ovviamente cancellava (o rendeva monco) ogni programma che girava sul quel PC, compreso questo trucchetto.
|
Si ma chi è che fa questo lavoro? Se è sempre un programma del SO caricato durante il boot, come credo, in ogni caso penso sia possibile intercettarlo.
| mda ha scritto: |
Oltre l'allungarsi del boot OS c'è da dire che mettere di nuovo questa routine NON consentirebbe più la ram dinamica (ma la solita fissa) sulle virtualizzazioni.
Ciao |
Sono state fatte delle scelte (come sempre viene fatto) dal team di sviluppo che sicuramente ne capisce più di noi, per cui non mi sento di dire attualmente se abbiano fatto bene o male, sta di fatto che questa falla in realtà è meno pesante di quanto si pensi. |
|
| Top |
|
|
freemind
Supervisor sezione Programmazione
Registrato: 04/04/07 20:28
Messaggi: 4643
Residenza: Internet
|
| Inviato: 02 Mag 2009 17:35 Oggetto: |
|
|
Io resto convinto che per quanto esista, questa falla non è così brutta (tralasciando il discorso di come debba essere patchata).
Alla fine è poco credibile che win7 sia messo in ambienti critici e poi anche se negli uffici amministrativi di un ambiente critico ci fosse, non credo che qualcuno entri e pasticci sui pc.
La sicurezza è un processo e non deve essere possibile distruggere tutto solo perchè un pc della rete è l'anello debole.
Se poi l'azienda se ne sbatte di mettere in sicurezza il tutto allora fatti suoi.
Se qualcuno avrà i dati trafugati causa questo bug allora si sveglierà e cambierà politiche! |
|
| Top |
|
|
mda
Dio maturo
Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia
|
| Inviato: 02 Mag 2009 21:01 Oggetto: |
|
|
| kudraw ha scritto: | | mda ha scritto: |
1) Le pwd da BIOS sono fregabili facilmente, quando poi ci sono.
Non solo via hard, anzi hanno tutte una black door conosciuta dagli installatori/riparatori autorizzati.
|
Chiaramente escludendo la via del reset CMOS o della rimozione batteria, puoi farmi un esempio?
|
I riparatori PC della tua marca di PC, NON staccano la batteria, ma semplicemente inseriscono una pwd (del BIOS) che salta la tua pwd (del BIOS). Di più non posso dirti perchè qui diverrebbe illegale !
| kudraw ha scritto: |
| mda ha scritto: |
2) La routine in questione riscriveva (in blocchi, non byte su byte) la zona ram libera per verificare la memoria ed ovviamente cancellava (o rendeva monco) ogni programma che girava sul quel PC, compreso questo trucchetto.
|
Si ma chi è che fa questo lavoro? Se è sempre un programma del SO caricato durante il boot, come credo, in ogni caso penso sia possibile intercettarlo.
|
Cosa intercetti se il tuo crack è stato cancellato ???
| kudraw ha scritto: |
| mda ha scritto: |
Oltre l'allungarsi del boot OS c'è da dire che mettere di nuovo questa routine NON consentirebbe più la ram dinamica (ma la solita fissa) sulle virtualizzazioni.
Ciao |
Sono state fatte delle scelte (come sempre viene fatto) dal team di sviluppo che sicuramente ne capisce più di noi, per cui non mi sento di dire attualmente se abbiano fatto bene o male, sta di fatto che questa falla in realtà è meno pesante di quanto si pensi. |
Guarda che alla MS sono bravi ma non sono Dei, poi ....
Ognuno è libero di pensarla come vuole, per me è pericolosissima !
8)
Ciao |
|
| Top |
|
|
kudraw
Mortale pio
Registrato: 29/04/09 09:13
Messaggi: 26
|
| Inviato: 03 Mag 2009 22:39 Oggetto: |
|
|
| mda ha scritto: |
I riparatori PC della tua marca di PC, NON staccano la batteria, ma semplicemente inseriscono una pwd (del BIOS) che salta la tua pwd (del BIOS). Di più non posso dirti perchè qui diverrebbe illegale !
|
Non credo valga per tutte le marche, e dubito valga anche per gli assemblati.
| mda ha scritto: |
Cosa intercetti se il tuo crack è stato cancellato ???
|
Non hai capito, bisogna identificare un momento nel processo di boot in cui effettuare questa pulizia della memoria. Se posso intercettare quelle chiamate potrei (in linea del tutto teorica) rendere vana la cancellazione della memoria.
E stiamo punto e a capo.
Il processo di boot è il momento più delicato, è ovvio che tutti i sistemi siano vulnerabili in quel momento, perché il SO ancora nn ha finito di mettere in piedi le sue difese.
| mda ha scritto: |
Guarda che alla MS sono bravi ma non sono Dei, poi ....
Ognuno è libero di pensarla come vuole, per me è pericolosissima !
8)
Ciao |
Non mettermi in bocca parole non mie... non ho mai detto che siano infallibili (e del resto la storia lo ha dimostrato) sono pur sempre esseri umani  , tuttavia nn mi sembra assolutamente una falla pericolosissima, specialmente se si adattano quelle precauzioni che ho citato prima che dovrebbero essere la REGOLA. |
|
| Top |
|
|
mda
Dio maturo
Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia
|
| Inviato: 04 Mag 2009 10:24 Oggetto: |
|
|
| kudraw ha scritto: | | mda ha scritto: |
I riparatori PC della tua marca di PC, NON staccano la batteria, ma semplicemente inseriscono una pwd (del BIOS) che salta la tua pwd (del BIOS). Di più non posso dirti perchè qui diverrebbe illegale !
|
Non credo valga per tutte le marche, e dubito valga anche per gli assemblati.
|
Rimangono pochini , comunque sia (questo si, questo no, tutti, nessuno, ecc.), adesso sai che la PWD da boot non vale tanto.
| kudraw ha scritto: |
| mda ha scritto: |
Cosa intercetti se il tuo crack è stato cancellato ???
|
Non hai capito, bisogna identificare un momento nel processo di boot in cui effettuare questa pulizia della memoria. Se posso intercettare quelle chiamate potrei (in linea del tutto teorica) rendere vana la cancellazione della memoria.
E stiamo punto e a capo.
Il processo di boot è il momento più delicato, è ovvio che tutti i sistemi siano vulnerabili in quel momento, perché il SO ancora nn ha finito di mettere in piedi le sue difese.
|
Non mi son spiegato bene, se elimini te la routine in questione il sistema NON parte perché azzoppato ....
Se fai partire il tuo crack (è un programma) prima di far partire OS (è un programma e dunque per forza in RAM) quando parte la routine OS di pulizia/controllo ti cancella qualsiasi programma salvo se stesso e dunque cancella il tuo Crack perché è un programma memorizzato in RAM ....
Esempio :
E come se tu dicessi ad Tizio di riconoscere Caio e fermarlo ... Appena arriva Caio, Tizio lo intercetta ma Caio gli spara e continua ad girare !
Salvo operare con 2 PC in simbiosi, non vedo come faresti !?
Ciao |
|
| Top |
|
|
kudraw
Mortale pio
Registrato: 29/04/09 09:13
Messaggi: 26
|
| Inviato: 05 Mag 2009 11:59 Oggetto: |
|
|
| mda ha scritto: |
Rimangono pochini , comunque sia (questo si, questo no, tutti, nessuno, ecc.), adesso sai che la PWD da boot non vale tanto.
|
nei portatili hp bisogna aprire e cortociurcuitare, sui portatili dell credo valga la stessa cosa, per cui per quali marche vale la cosa che dici?
| mda ha scritto: |
Non mi son spiegato bene, se elimini te la routine in questione il sistema NON parte perché azzoppato ....
|
E allora come fa a partire Windows visto che secondo te questa routine azzoppa la partenza del SO?
Cmq non ho parlato di eliminare, ma di intercettare che è ben diverso...
| mda ha scritto: |
Se fai partire il tuo crack (è un programma) prima di far partire OS (è un programma e dunque per forza in RAM) quando parte la routine OS di pulizia/controllo ti cancella qualsiasi programma salvo se stesso e dunque cancella il tuo Crack perché è un programma memorizzato in RAM ....
|
Ma infatti tu fai partire una routine PRIMA di un'altra routine, è questo il trucco con il quale si prende il controllo.
Anche perché stai dando per scontato che il codice per cancellare la memoria sia già caricato in essa.
Invece si può benissimo modifcare il codice per cancellare la memoria in modo da non farglielo fare, e poi quando il SO chiama la funzione praticamente non fa nulla e va avanti...
Ripeto, a livello macchina PUOI FARE TUTTO e in qualunque momento tu voglia.
A meno di hypervisors.
La pulizia della memoria viene fatta di per se da un programma o una chiamata di sistema, indi per cui modificabile per tutto il tempo prima che possa venir caricata in memoria ed eseguita. |
|
| Top |
|
|
mda
Dio maturo
Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia
|
| Inviato: 05 Mag 2009 12:53 Oggetto: |
|
|
| kudraw ha scritto: | | mda ha scritto: |
Rimangono pochini , comunque sia (questo si, questo no, tutti, nessuno, ecc.), adesso sai che la PWD da boot non vale tanto.
|
nei portatili hp bisogna aprire e cortociurcuitare, sui portatili dell credo valga la stessa cosa, per cui per quali marche vale la cosa che dici?
|
Ma vuoi sapere anche come dove cosa ???
Su un Forum pubblico per giunta !!!
Spiacente !
| kudraw ha scritto: |
| mda ha scritto: |
Non mi son spiegato bene, se elimini te la routine in questione il sistema NON parte perché azzoppato ....
|
E allora come fa a partire Windows visto che secondo te questa routine azzoppa la partenza del SO?
Cmq non ho parlato di eliminare, ma di intercettare che è ben diverso...
|
Se togli (o salti o disabiliti) la routine che pulisce/controlla la memoria, azzoppi il boot di Windows, dunque non puoi eliminarla prima !!!
| kudraw ha scritto: |
| mda ha scritto: |
Se fai partire il tuo crack (è un programma) prima di far partire OS (è un programma e dunque per forza in RAM) quando parte la routine OS di pulizia/controllo ti cancella qualsiasi programma salvo se stesso e dunque cancella il tuo Crack perché è un programma memorizzato in RAM ....
|
Ma infatti tu fai partire una routine PRIMA di un'altra routine, è questo il trucco con il quale si prende il controllo.
|
Non prendi il controllo. Perchè il tuo controllo anche se parte prima viene cancellato dopo dalla routine.
| kudraw ha scritto: |
Anche perché stai dando per scontato che il codice per cancellare la memoria sia già caricato in essa.
|
No, dopo è nella partenza del OS !
| kudraw ha scritto: |
Invece si può benissimo modificare il codice per cancellare la memoria in modo da non farglielo fare, e poi quando il SO chiama la funzione praticamente non fa nulla e va avanti...
|
E no ! Perchè il codice mancando questo non vai avanti ! Salvo riscrivere tutto il boot OS. Basta azzeppare qualche controllino qui e la dopo nella continuazione del boot
| kudraw ha scritto: |
Ripeto, a livello macchina PUOI FARE TUTTO e in qualunque momento tu voglia.
|
Si ma sei fai una faticaccia che devi rifare tutto il lavoro Microsoft, conviene vendere OS che fare il cracker !
| kudraw ha scritto: |
A meno di hypervisors.
La pulizia della memoria viene fatta di per se da un programma o una chiamata di sistema, indi per cui modificabile per tutto il tempo prima che possa venir caricata in memoria ed eseguita. |
E no perchè il codice mancando questo non vai avanti come dicevo prima.
Un programma di boot NON è fatto come un normale programma, deve essere "monolitico" se esegue "chiamate al sistema" in realtà chiama se stesso.
Ciao |
|
| Top |
|
|
kudraw
Mortale pio
Registrato: 29/04/09 09:13
Messaggi: 26
|
| Inviato: 06 Mag 2009 15:29 Oggetto: |
|
|
Io voglio solo le marche, dal momento che HP e Dell sono gli OEM più venduti e come ti ho detto sono anche quelli in cui la questione della pass è solo hardware (almeno su macchine recenti).
Cmq mda ti giuro è faticoso seguire il tuo ragionamento, e se tu continui a non capire quello che sto dicendo è ancora più faticoso.
Il boot è un programma assembly ok? Un programma come tutti gli altri, gira in memoria come tutti gli altri programmi, non ha niente di speciale, se non solo quello che il codice risiede nei primi 512byte del disco rigido e che viene caricato in memoria direttamente dal BIOS.
Ora quello che tu dici è: "Microsoft ha cambiato il boot loader e non fa più la cancellazione della memoria prima di far partire il SO, la soluzione a questa falla è ripristinare la cancellazione della memoria".
Premettendo che non mi sono neanche curato di verificare questa tua affermazione dandotela per buona, se la cancellazione viene fatta in assembly richiamando un interrupt particolare o semplicemente andando a caricare tutti 0 in memoria, allora non c'è niente che non puoi fare e/o non fare.
Ad un certo momento prima di caricare il kernel sicuramente verrà fatta pulizia e controllo sulla memoria, dopodiché ci saranno delle istruzioni che caricheranno il kernel in memoria.
Dato che presumo che il controllo verrà fatto 1 volta sola, cambiando il codice assembly ripeto SI PUO' FARE TUTTO.
Non so come altro spiegartelo... spiegami perché modificando il codice di controllo, il SO non dovrebbe partire. |
|
| Top |
|
|
mda
Dio maturo
Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia
|
| Inviato: 06 Mag 2009 15:57 Oggetto: |
|
|
| kudraw ha scritto: | Io voglio solo le marche, dal momento che HP e Dell sono gli OEM più venduti e come ti ho detto sono anche quelli in cui la questione della pass è solo hardware (almeno su macchine recenti).
Cmq mda ti giuro è faticoso seguire il tuo ragionamento, e se tu continui a non capire quello che sto dicendo è ancora più faticoso.
Il boot è un programma assembly ok? Un programma come tutti gli altri, gira in memoria come tutti gli altri programmi, non ha niente di speciale, se non solo quello che il codice risiede nei primi 512byte del disco rigido e che viene caricato in memoria direttamente dal BIOS.
Ora quello che tu dici è: "Microsoft ha cambiato il boot loader e non fa più la cancellazione della memoria prima di far partire il SO, la soluzione a questa falla è ripristinare la cancellazione della memoria".
Premettendo che non mi sono neanche curato di verificare questa tua affermazione dandotela per buona, se la cancellazione viene fatta in assembly richiamando un interrupt particolare o semplicemente andando a caricare tutti 0 in memoria, allora non c'è niente che non puoi fare e/o non fare.
Ad un certo momento prima di caricare il kernel sicuramente verrà fatta pulizia e controllo sulla memoria, dopodiché ci saranno delle istruzioni che caricheranno il kernel in memoria.
Dato che presumo che il controllo verrà fatto 1 volta sola, cambiando il codice assembly ripeto SI PUO' FARE TUTTO.
Non so come altro spiegartelo... spiegami perché modificando il codice di controllo, il SO non dovrebbe partire. |
Alla fine ci siamo .... MA IL GUAIO è CHE POI DEVI RISCRIVERE TUTTO IL KERNEL !!!
1) Perchè deve essere pulita per procedere con la scrittura sulla memoria seguente di "variabili" varie del kernel che accede direttamente. Se conosci l'assembler capisci il perchè.
2) il kernel (dove ? in tanti punti, và sapere dove), controlla questo fattore, se no si blocca il kernel ! Questo il programmatore lo fa per il punto 1.
Certo riscrivendo questo poi devi riscrivere quello, poi quell'altro per saltare un altro .... Ti riscrivi tutto e puoi farlo.
Ciao |
|
| Top |
|
|
kudraw
Mortale pio
Registrato: 29/04/09 09:13
Messaggi: 26
|
| Inviato: 06 Mag 2009 22:07 Oggetto: |
|
|
| mda ha scritto: |
Alla fine ci siamo .... MA IL GUAIO è CHE POI DEVI RISCRIVERE TUTTO IL KERNEL !!!
1) Perchè deve essere pulita per procedere con la scrittura sulla memoria seguente di "variabili" varie del kernel che accede direttamente. Se conosci l'assembler capisci il perchè.
2) il kernel (dove ? in tanti punti, và sapere dove), controlla questo fattore, se no si blocca il kernel ! Questo il programmatore lo fa per il punto 1.
Certo riscrivendo questo poi devi riscrivere quello, poi quell'altro per saltare un altro .... Ti riscrivi tutto e puoi farlo.
Ciao |
Quindi mi vorresti dire che quando scrivi in una cella di memoria questa deve essere pulita?
Il problema ce l'hai quando leggi semmai, non quando scrivi.
E cmq si conosce bene quale parte di memoria usa il kernel.
Ad ogni modo considero chiusa la discussione, visto che questa falla è veramente insignificante. |
|
| Top |
|
|
mda
Dio maturo
Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia
|
| Inviato: 07 Mag 2009 10:09 Oggetto: |
|
|
| kudraw ha scritto: |
Quindi mi vorresti dire che quando scrivi in una cella di memoria questa deve essere pulita?
Il problema ce l'hai quando leggi semmai, non quando scrivi.
E cmq si conosce bene quale parte di memoria usa il kernel.
Ad ogni modo considero chiusa la discussione, visto che questa falla è veramente insignificante. |
1) Non conosci l'assembler e il LM... .. Nei linguaggi (meglio dire i compilatori) questa operazione la svolgono in modo automatico (o riscrivono tutto lo spazio del dato), salvo quando (come il linguaggio C) vanno ad basso livello.
2) Il Kernel può usare qualsiasi spazio ! Dipende come lo programmi
Poi tutti gli altri programmi devono seguire le indicazioni dell'organizzazione del programma kernel.
E' vero l'ignoranza rende incoscienti.
Ciao |
|
| Top |
|
|
kudraw
Mortale pio
Registrato: 29/04/09 09:13
Messaggi: 26
|
| Inviato: 10 Mag 2009 12:21 Oggetto: |
 |
|
| mda ha scritto: |
1) Non conosci l'assembler e il LM... .. Nei linguaggi (meglio dire i compilatori) questa operazione la svolgono in modo automatico (o riscrivono tutto lo spazio del dato), salvo quando (come il linguaggio C) vanno ad basso livello.
|
Eh no questa non te la posso proprio far lasciar passare.
Ma cosa vai dicendo?!?
In assembler posso scrivere quello che voglio dove voglio in memoria senza necessariamente dover pulire la locazione. Mai sentito parlare di "sovrascrittura"?
E' come quando sovrascrivo un registro nella CPU, secondo te prima di scrivere un dato spreco una istruzione per mettere il registro a 0?
Ma hai mai programmato in assembler? A me pare che sia tu a non conoscerlo.
Il problema ripeto, si pone quando vai a leggere.
| mda ha scritto: |
2) Il Kernel può usare qualsiasi spazio ! Dipende come lo programmi
Poi tutti gli altri programmi devono seguire le indicazioni dell'organizzazione del programma kernel.
|
Il kernel ha uno spazio tipicamente riservato a lui e alle sue strutture dati, si conosce qual è, sia in Windows che in Linux.
| mda ha scritto: |
E' vero l'ignoranza rende incoscienti.
Ciao |
Perché? Credere di essere sempre sicuri usando un qualsiasi altro SO è meno da incoscienti?
Mi sa che non hai letto l'ultimo report annuale sulla sicurezza di IBM...
Ripeto, questa falla è insignificante. C'è di peggio, vedi quella di UAC. |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
