Ricerca di Sophos sui rootkit
di Fabio Boneschi, pubblicata il 25 Agosto 2006, alle 09:29 nel canale Sicurezza
“Sophos pubblica i risultati relativi ad una ricerca sulla conoscenza dei rootkit”
Sophos ha pubblicato i risultati relativi ad una ricerca sul grado di conoscenza delle problematiche legate alle minacce informatiche di tipo rootkit. Il 55% del campione analizzato ha affermato di conoscere le problematiche di sicurezza in oggetto, mentre l'8% degli intervistati ha manifestato disinteresse per l'argomento. La ricerca pubblicata da Sophos ha altrsì evindenziato che il 37% degli utenti ignora completamente cosa siano e quali rischi comportino i rootkit.
I rootkit sono assai diffusi ormai e vanno a completare le funzionalità malevole di altre minacce. Il rootkit per sua natura è di difficile individuazione sul sistema anche da parte dei più recenti software antivirus; Sophos a tal proposito segnala che mentre la maggior parte dei software di sicurezza riesce a proteggere il sistema dalla possibile installazione di nuovi rootkit, mentre si rivelano inefficaci nell'individuare rootkit già presenti sul sistema.
Sophos per far fronte anche a quest'ultima minaccia ha rilasciato un apposito software denominato Sophos Anti-Rootkit 1.0. Come riporta il sito Betanews.com, la società suggerisce di utilizzare tale strumento in abbinamento a una tradizionale suite antivirus.
Notizia Precedente 
Commenti (15)
Commento # 1
di: Murdorr
pubblicato il 25 Agosto 2006, 09:36
Azz adesso pure questa ci mancava... Adesso lo scarico .
Commento # 2
di: Murdorr
pubblicato il 25 Agosto 2006, 09:37
Commento # 3
di: Dias
pubblicato il 25 Agosto 2006, 09:42
Il 55% del campione analizzato ha affermato di conoscere le problematiche di sicurezza in oggetto
Si, certo, come no, e il 50% degli asini sanno volare.
55% di media dei lettori di HW forse (forse eh), che sono ben lontani dalla media comune.
Pessima ricerca in quanto hanno cannato completamente il campione da analizzare.
Commento # 4
di: Nockmaar
pubblicato il 25 Agosto 2006, 09:47
Quoto Dias, magari stessimo su quelle percentuali...
Commento # 5
di: Murdorr
pubblicato il 25 Agosto 2006, 09:48
Fatto! scaricato, installato, scannerizzato:
Pulito! non avevo niente
.
Pulito! non avevo niente
.
Commento # 7
di: Drakogian
pubblicato il 25 Agosto 2006, 11:14
Originariamente inviato da: k0nt3]mi chiedevo cosa può
questo[/URL] 
Interessante ed inquietante l'articolo che hai segnalato. La parte che più mi ha colpito è:
[COLOR=Blue]"will be talking about Blue Pill and demonstrating a working prototype for Vista x64 at the end of July at SyScan Conference in Singapore.
Also, I will present a generic method (i.e. not relaying on any implementation bug) of how to insert arbitrary code into the Vista Beta 2 kernel (x64 edition), thus effectively bypassing the (in)famous Vista policy for allowing only digitally singed code to be loaded into kernel. Of course, the presented attack does not require system reboot."[/COLOR]
Se tutto ciò è vero e fattibile allora si potrebbero aprire ampi scenari (nel bene e nel male) sul digitally singed code e relativo Trusted Computing.
Commento # 8
di: Ciaba
pubblicato il 25 Agosto 2006, 11:18
...il problema Rootkit è piuttosto serio, nn tanto per la diffusione e la conoscenza del problema da parte degli utenti(mi aggrego alla compagnia che ritiene le percentuali proposte illusorie), quanto per l'evidente ritardo in sviluppo da parte delle case produttrici di antivirus i cui prodotti nn sono assolutamente preparati ad affrontare una minaccia simile. Ormai i pericoli sono sempre meno rappresentati da virus puri sostituiti da un sempre maggior numero di sotto-worms altrettanto deleteri e pericolosi(spy, troyan, rootkit etc, etc...provenienti esclusivamente dal web), contro i quali servirebbe forse un discorso diverso a livello di programmazione del SO e dei sistemi di trasmissione dati(Es. un monitoraggio server sui dati trasmessi alla ricerca di codice maligno), oltre che un aggiornamento dei software anti-qualcosa.
Andrebbe fatto anche un discrso a livello rete e caos che vi regna in tema sicurezza, ma pur essendo un problema ben conosciuto e risolvibile nn lo si vuole evidentemente risolvere...quindi avanti con i software ma che siano effettivamente aggiornati.
Andrebbe fatto anche un discrso a livello rete e caos che vi regna in tema sicurezza, ma pur essendo un problema ben conosciuto e risolvibile nn lo si vuole evidentemente risolvere...quindi avanti con i software ma che siano effettivamente aggiornati.
Commento # 9
di: k0nt3
pubblicato il 25 Agosto 2006, 11:19
Originariamente inviato da: Drakogian]Interessante ed inquietante l'articolo che hai segnalato. La parte che più
"will be talking about Blue Pill and demonstrating a working prototype for Vista x64 at the end of July at SyScan Conference in Singapore.
Also, I will present a generic method (i.e. not relaying on any implementation bug) of how to insert arbitrary code into the Vista Beta 2 kernel (x64 edition), thus effectively bypassing the (in)famous Vista policy for allowing only digitally singed code to be loaded into kernel. Of course, the presented attack does not require system reboot."[/COLOR]
Se tutto ciò è vero e fattibile allora si potrebbero aprire ampi scenari (nel bene e nel male) sul digitally singed code e relativo Trusted Computing.
Also, I will present a generic method (i.e. not relaying on any implementation bug) of how to insert arbitrary code into the Vista Beta 2 kernel (x64 edition), thus effectively bypassing the (in)famous Vista policy for allowing only digitally singed code to be loaded into kernel. Of course, the presented attack does not require system reboot."[/COLOR]
Se tutto ciò è vero e fattibile allora si potrebbero aprire ampi scenari (nel bene e nel male) sul digitally singed code e relativo Trusted Computing.
esatto
se vai nella home del blog puoi anche leggere i due articoli successivi di cui il più inquietante è di sicuro l'ultimo perchè spiega come non sia possibile rilevare in pratica questo rootkit. alla fine la conclusione della ricercatrice è che l'unico modo per essere certi di non avere il rootkit è non comprare cpu con hardware di virtualizzazione (Pacifica per AMD e Vanderpool per Intel))
ps. che io sappia le ultime CPU hanno queste tecnologie
Commento # 10
di: k0nt3
pubblicato il 25 Agosto 2006, 11:24
mi completo: http://en.wikipedia.org/wiki/Virtua..._virtualization
lì è spiegato quali CPU usano tale hardware
lì è spiegato quali CPU usano tale hardware
News
Per contattare l'autore del pezzo, così da avere una risposta rapida, si prega di utilizzare l'email personale (vedere in alto sotto il titolo). Non è detto che una domanda diretta inserita nei commenti venga verificata in tempi rapidi. In alternativa contattare la redazione a questo indirizzo email.