Vista: Руткиты станут главным номером программы конференции BlackHat

На в большей мере хакерской конференции BlackHat компания Microsoft планирует представить Windows Vista в качестве «самой безопасной операционной системой современности»...

Но независимые исследователи беспокоятся, что конференция андеграунд-хакеров, которой всегда была BlackHat, потеряла былую привлекательность и стала тривиальной демонстрацией программного продукта от Microsoft.

Для Microsoft конференция станет «судным днем»: она либо подтвердит заявление Microsoft о самой безопасной ОС современности, либо опровергнет. Крупнейший разработчик ПО использует конференцию, которая проходит 2-3 августа, чтобы продемонстрировать широкий выбор технологий, обеспечивающих безопасность и внедренных в преемника Windows XP. Но аналитиков беспокоет тот факт, что собрание почтенных и начинающих хакеров превратиться в широкую рекламную компанию богатого спонсора.
"Вы мало, что услышите от Microsoft на этой конференции. Это просто будет демонстрация возможностей новой ОС Windows Vista и разговоры о том, что ее сложно взломать" – говорит Марк Майфрет, главный специалист по взлому в компании eEye Digital Security.

Для Майфрета и других ветеранов BlackHat присоединение Microsoft к мероприятию несколько разбавит конференцию, известную за неоднозначные релизы zero-day эксплойтов и хакерские утилиты, обсуждения техник взлома и оживленные дебаты на тему уязвимостей, безопасность, механизмы защиты и стандарты отрасли.
"Будет интересно посмотреть, насколько далеко Microsoft зайдет, чтобы продать Vista, но не думаю, что кто-то будет слушать речи Microsoft о такой огромной работе, какую они проделали" – говорит Майферт в своем интервью eWEEK.

В последние годы Microsoft практически не уделяла никакого внимания принципу «безопасность прежде всего», а появление компании на конференции, после которой будет неформальная часть – вечеринка в ночном клубе Лас-Вегаса, может обернуться коварной авантюрой.
Если четыре "чисто технические" презентации, посвященные Vista, обернутся в информационную рекламу, Microsoft подвергается риску вызвать недовольную реакцию посетителей.

Цели Microsoft просты, но оттого не менее значимы: убедить умнейших хакеров мира в том, что Windows Vista – первый серьезный релиз ОС, заслуживающей доверия и разработанной в большей степени для того, чтобы помешать авторам вредоносных программ.
Презентации Microsoft обещают быть всеобъемлющим взглядом на технические процессы, проходящие в ходе разработки Vista; объяснения того, как Windows Vista обеспечит поддержку беспроводных адаптеров стандарта 802.11; описание возможностей переработанного TCP/IP стэка и того, каким образом Vista будет противостоять переполнению буфера.

Быть может ирония, но в день презентации Windows Vista секьюрити-аналитик, специализрующийся на руткитах, будет демонстировать новый метод взлома путем использования новой функции подписи драйверов устройств в Vista для загрузки руткита в систему.

Джоанна Рутковска, исследователь стелс-вирусов из сингапурской компании Coseinc, сказала, что ее презентация расскажет о том, как вставить произвольный код в ядро последних билдов Windows Vista (версия для x64) без необходимости перезагрузки системы. Техника обходит новые технологии, использованные Microsoft, для того, чтобы просто загрузить подписанные драйвера в ядро системы. Рутковска таже покажет первый работающий прототип "Blue Pill" – новой технологии, которая, по ее словам, может создать «100% неопозноваемое вредоносное ПО» путем переноса «на лету» операционной системы на безопасную виртуальную машину.
"Фраза 'на лету' наиболее занчима для технологии Blue Pill — это позволяет установить вредоносное ПО, основанное на Blue Pill, без перезагрузки системы и модификации BIOS или загрузочных секторов" – объяснила Рутковска в статье Невидимые вещи.

Сетевой гигант Cisco Systems также планирует принять участие в конференции с целью восстановить утраченный авторитет в сообществе хакеров. Cisco упала в глазах ветеранов конференции в связи с открытием субедного разбрательства над аналитиком компании ISS X-Force Майклом Линном, начатого из-за демонстрации им примера первого шел-кода, используещего уязвимость в Cisco IOS, демонстрации, которая действительно привела к серьезному судебному делу.

Как и Microsoft, Cisco представлена в списке платиновых спонсоров, но в этом году компания позволила рассуждать об уязвимостях в ее продуктах (прим. :) позволила!!!).
Две сессии будут посвящены тривиальным уязвимостям, обнаруженным в NAC (Network Admission Control – контроль сетевого доступа) и VOIP-технологиях, встроенных во множество устройств, включая продаваемые Cisco.
Секьюрити-аналитики компании SPI Dynamics планируют заострить внимание публики на уязвимостях, появивщихся в способе сбора RSS-клиентами XML-заметок.
Сессия под названием Zero Day Subscriptions продемонстрирует, как RSS и Atom-заметки могут быть использованы для доставки эксплойтов на клиентские машины.

"Есть много [RSS-сборщиков], как локальных, так и Web-based, которые, и не знают о возможных сценариях атаки. Мы покажем, как они могут быть использованы для проникновения вредоносного кода " – говорит Калеб Сима, директор по информационной безопасности и один из основателей компании SPI Dynamics.
Джеримайа Гроссман, директор по информационной безопасности компании WhiteHat Security, планирует поделиться находками, связанными с обнаруженным скрытым кодом на JavaScript и используемым в cookie, клавиатурными шпионами и мониторингом посещения веб-сайтов.

Источник: http://www.eweek.com
Перевод: deeper2k