Windows Vista, jaqueado en Black Hat

17 views
Skip to first unread message

Anonymous

unread,
Aug 5, 2006, 4:34:25 PM8/5/06
to
Fueron por lana y salieron trasquilados. Tal y como estaba previsto, Microsoft
habló sobre la seguridad de Windows Vista en Black Hat. Mientras tanto, en una
sala contigua, la investigadora polaca Joanna Rutkowska (en la foto) mostraba
cómo utilizar su técnica Blue Pill (más detalles técnicos aquí) para insertar
código malicioso en las mismísimas entrañas de una copia de Windows Vista
versión 64-bit.

Rutkowska encontró una forma de traspasar el polémico mecanismo con el que Microsoft
intenta que sólo se puedan cargar en el kernel de Vista los drivers digitalmente firmados...

Según informa CNet, la investigadora afirmó que "el hecho de que ese mecanismo fuera
traspasado no significa que Vista sea completamente inseguro. Sólo que no es tan seguro
como se ha anunciado".

Microsoft, por su parte, afirmó estar investigando soluciones para proteger la versión
final de Vista de los ataques demostrados, al tiempo que trabaja con sus socios en
hardware para investigar formas de prevenir el ataque de virtualización desarrollado por
Rutkowska.
http://www.kriptopolis.org/node/2688


Comentario:

Ahora dira el experto sr. Tella Llop que esta información es capciosa, y yo solo le digo a
él y gente que piensa como él (bastantes diria yo), que Microsoft deje de
vender humo y se ponga a diseñar un sistema operativo seguro, fiable y ligero.

Mas info:

(Español) http://www.hispamp3.com/noticias/noticia.php?noticia=20060805182552
(Inglés) http://news.com.com/2100-7349_3-6102458.html

Anonyma

unread,
Aug 5, 2006, 4:56:24 PM8/5/06
to

JM Tella Llop [MVP Windows]

unread,
Aug 5, 2006, 4:54:50 PM8/5/06
to
Solo por alusiones.

> Ahora dira el experto sr. Tella Llop que esta información es capciosa

Esta noticia lo di yo como primicia en mis grupos de noticias
news://jmtella.com hace mas de una semana, por lo cual, veo que como no
sabes ingles tienes que esperarte a leerlo en paginas que se dedican a
traducir "lo que entienden". Los que quieran estar al dia, ya saben donde
tienen que mirar..... :-PPP

En conclusion, estás desfasado y eres como un poco anacronico a estas
alturas :-)

--
Jose Manuel Tella Llop
MVP - Windows
jmt...@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"Anonymous" <nob...@mixmin.net> wrote in message
news:250b28033144475b...@anon.mixmaster.mixmin.net...

JM Tella Llop [MVP Windows]

unread,
Aug 5, 2006, 5:23:50 PM8/5/06
to
Además me ha gustado que pongas esa noticia. Vamos a comentarla en
profundidad, ya que por lo que veo hay muchas paginas (sobre todo las de
habla hispana) que están bastante despistadas no solo con la traduccion,
sino con la interpretacion ya que periodistas puede que sean, pero no son
precisamente informaticos. Es periodismo basura...

Vamos a comentar que quiere decir drivers de kernel, en donde se pide
certificado y de *que tipo es* y sobre todo que es la Virtualizacion, cuando
y como se usa y que procesadores la soportan. Todo esto es necesario para
dar sentido a lo comentado en los articulos.

Veamos: Windows Vista de 64, *solo el de 64* exige que los drivers de kernel
(es decir los necesarios para bootear la maquina, y solo esos) sean
certificados. Windows Vista de 32 no lo exige.

* ¿que quiere decir certificados?. Simplemente que llevan inbuido en el
codigo una certificacion: *no* es necesaria en este caso la certificacion de
WHQL, sino que cualquier certificado vale. Simplemente pagamos por uno en
Verisign y nos serviría para certificar nuestro "driver". Microsofto no ha
decidido todavia que tipo de certificado ni quien debe emitirlo en la
version final de Vista 64. Solamente está probando la tecnologia. Seria
logico presuponer que en la version final hace falta el certificado de WHQL
con lo cual le habria sido imposible a nadie meter ese troyano.

* evidentemente, ademas de lo anterior, para meterlo es necesario hacerlo
con atributos de Administrador. No hay que perder esto de vista tampoco.

* Y para que funcione el control de la maquina tal y como ha demostrado
Rutkowska, la maquina debe admitir Virtualizacion. ¿que es esto?: pues el
famoso bit VT (en Intel) o Pacifica (en AMD) que traen *solo* los
procesadores de ultimisima generacion. ¿en que consiste?: recordemos que un
procesador tiene 4 modos de funcionamiento en kernel: 0, 1, 2, 3. En modo 0.
se tiene control absoluto de la maquina y es donde se ejecutan los drivers y
el nucleo del sistema operativo. En modo 1, se tienen menos privilegios, en
modo 2, menos que los anteriores -no se usan debido a que las transiciones
de fase son caras- y en modo 3, es el llamado modo user en el cual se
ejecutan los programas de usuario. Si uno de ellos casca, el modo 0 tiene
control absoluto sobre el modo 3 y puede hacer lo que quiera. Ahora bien, si
en modo cero, casca algo...pantallazo azul. Esta restringido solo al sistema
operativo y drivers.

Para poder virtualizar toda la maquina, haría falta un modo todavia mas
potente que el 0. Es decir un modo -1 de funcionamiento del procesador y lo
que allí se ejecutase tendría todo el control sobre el sistema operativo.
Absolutamente todo. Sería, todo lo hay ahora del sistema operativo, una
simple maquina virtual sobre el software que se ejecute en modo -1. Este
modo es el que se acaba de implementar en los ultimos procesadores y que se
llama VT o Pacifica (en aquellos que lo traigan). Ademas, la Bios debe
soportarlo. Y ademas debe activarse en la Bios (viene desactivado por
defecto) y posteriormente apagar la maquina y encenderla -apagarla quitando
el cable de corriente, no solo de boton, ya que sino no se activará.

La idea de Rutkowska es buena, muy buena, muy imaginativa.... simplemente
adquiere un certificado a nombre de Perico de los Palotes, y cra un codigo
malicioso como drivers de boot firmandolo con dicho certificado. Lo instala
y ese codigo pone a funcionar la maquia *que tenga activado el VT* -sino no
funciona- en modo virtual como invitado sobre el verdadero host que toma
control: el codigo malicioso de ese driver que se ejecuta en ese supermodo
kernel.

Y ya sabesm Anonimo....... acabas de aprender algo..... si es que eres capaz
de entender algo y no solo copiar y pegar sin pensar :-)

--
Jose Manuel Tella Llop
MVP - Windows
jmt...@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"JM Tella Llop [MVP Windows]" <jmt...@XXXmvps.org> wrote in message
news:%23Uy6nFN...@TK2MSFTNGP04.phx.gbl...

Nomen Nescio

unread,
Aug 5, 2006, 5:50:06 PM8/5/06
to

JM Tella Llop [MVP Windows]

unread,
Aug 5, 2006, 6:07:57 PM8/5/06
to

Y ya sabes, Anonimo, o Nomen. o quien seas....... acabas de aprender

algo..... si es que eres capaz de entender algo y no solo copiar y pegar sin
pensar :-)


--
Jose Manuel Tella Llop
MVP - Windows
jmt...@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"Nomen Nescio" <nob...@dizum.com> wrote in message
news:250b28033144475b...@dizum.com...

Pe

unread,
Aug 5, 2006, 6:23:35 PM8/5/06
to
> http://www.kriptopolis.org/node/2688

No se puede andar sin saber idiomas por este mundo. Si lee la
información original verá que difiere ligeramente y además está
incompleta:
"To stage the attack, however, Vista needs to be running in
administrator mode, Rutkowska acknowledged. That means her attack would
be foiled by Microsoft's User Account Control, a Vista feature that
runs a PC with fewer user privileges. UAC is a key Microsoft effort to
prevent malicious code from being able to do as much damage as on a PC
running in administrator mode, a typical setting on Windows XP.

"I just hit accept," Rutkowska replied to a question from the audience
about how she bypassed UAC. Because of the many security pop-ups in
Windows, many users will do the same without realizing what they are
allowing, she said."


jordimc

unread,
Aug 5, 2006, 7:13:02 PM8/5/06
to
Simple curiosidad: ¿La versión del Vista que ronda por ahí no es una beta
para que los usuarios la prueben y se puedan descubrir así fallos que no se
han detectado en el laboratorio?. ¿Entonces a qué tanto revuelo?.

Quien no se sienta seguro con MS, quien quiera un s.o. barato y, según
dicen, "más seguro", no tienen más que usar Linux, que no es de MS, es
gratuito y dicen que a prueba de hackers.

Yo seguiré con mi XP Pro, con mi anti-virus, firewall y software
correspondiente y tan tranquilo. Y el dia que mi ordenador soporte Windows
Vista, ya veremos que hago, porque con lo que hacemos el 99% de los usuarios,
me parece que la versión "Vista" nos irá grande a más de uno y de dos
millones de usuarios.

Saludos,
--
jordimc


"Nomen Nescio" escribió:

Diego Calleja

unread,
Aug 6, 2006, 8:54:17 AM8/6/06
to
JM Tella Llop [MVP Windows] escribió:

> Además me ha gustado que pongas esa noticia. Vamos a comentarla en
> profundidad, ya que por lo que veo hay muchas paginas (sobre todo las de
> habla hispana) que están bastante despistadas no solo con la traduccion,
> sino con la interpretacion ya que periodistas puede que sean, pero no son
> precisamente informaticos. Es periodismo basura...


Entre otras cosas, parece que a los super-mega-expertos de kriptópolis y
a su leal lector Nomen Nescio (aunque a este último se le pueda perdonar
por no saber de estas cosas) se les "olvida" mencionar que el problema
viene del hardware no de windows, y que tambien afectaría a Linux y a
otros sistemas operativos

JM Tella Llop [MVP Windows]

unread,
Aug 6, 2006, 9:37:55 AM8/6/06
to
> viene del hardware no de windows, y que tambien afectaría a Linux y a
> otros sistemas operativos

Efectivamente...de la misma manera podria "virtualizarse" cualquier sistema
operativo y colarte un verdadero Rootkit que en este caso si que seria
totalmente ilocalizable y que tendria todo el poder sobre el sistema. :-P

--
Jose Manuel Tella Llop
MVP - Windows
jmt...@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"Diego Calleja" <die...@gmail.com> wrote in message
news:OJxPydVu...@TK2MSFTNGP04.phx.gbl...

JM Tella Llop [MVP Windows]

unread,
Aug 7, 2006, 1:53:30 PM8/7/06
to
Ahora por alusiones http://www.kriptopolis.org/node/2695 vamos a desmentir
mentiras :-)

>(*) Curioso disparate espacio-temporal, porque la presentación
>en Black Hat tuvo lugar muy pocas horas antes de que
>Kriptópolis publicara su nota.

Un matiz: la nota de Kriptolis fue publicada el 05/08, como puede
comprobarse en: http://www.kriptopolis.org/node/2688 y mi afirmacion, la
cual intenta desmentir en el parrafo anterior:

>"Esta noticia lo (sic) di yo como primicia en mis grupos de
>noticias news://jmtella.com hace mas de una semana (*), por lo cual, ...

La di el 31/07. news://jmtella.com/jmtella.publicos.seguridad
¿dos horas para Kriptopolis se convierten en 5 dias?. Curiosa pagina de
seguridad que debe estar al dia...

Ademas citan:

>Tampoco aprecio error, manipulación ni inexactitud alguna en
>los cuatro breves párrafos de que consta la nota. Como cualquiera
>puede comprobar me he limitado a realizar una cita traducida del
>contenido principal, porque ni tengo licencia (ni me pagan) para
>traducir el artículo completo.

Efectivamente. ESA es la critica a Kriptopolis que ha pasado de ser algo de
obligada lectura en seguridad, a ser una web manejada por periodistas del
estilo del que ha respondido a esto. No solo no te pagan para traducir...
sino tampoco para dar una informacion "tecnica" que es lo que se debe
esperar de esas web. ¿sino, que sentido teneis?.

Se supone que una web como Kriptopolis no debe ser un cortar-traducir-pegar.
Se supone que debe comentar, analizar y *entender* de lo que escribe.

--
Jose Manuel Tella Llop
MVP - Windows
jmt...@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"Nomen Nescio" <nob...@dizum.com> wrote in message
news:250b28033144475b...@dizum.com...

JM Tella Llop [MVP Windows]

unread,
Aug 7, 2006, 2:38:30 PM8/7/06
to
que por cierto, parece que a Kriptopolis no le ha debido gustar mucho mi
respuesta porque ha eliminado su pagina:
http://www.kriptopolis.org/node/2695

¿no son coherentes tampoco con lo publican?... mal... mal...

--
Jose Manuel Tella Llop
MVP - Windows
jmt...@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"JM Tella Llop [MVP Windows]" <jmt...@XXXmvps.org> wrote in message
news:OvyJmpku...@TK2MSFTNGP04.phx.gbl...

informatica service

unread,
Aug 7, 2006, 8:59:22 PM8/7/06
to
Muy buena la explicacion.

elcubano
"JM Tella Llop [MVP Windows]" <jmt...@XXXmvps.org> escribió en el mensaje
news:%23ojQ1VN...@TK2MSFTNGP05.phx.gbl...

PROMETHEUS

unread,
Aug 8, 2006, 6:16:09 PM8/8/06
to
Bravo Maestro.... no solo el saldo ese aprendio algo hoy, tu servidor
tambien, mejor explicado ni con palitos y bolitas.

Dark

JM Tella Llop [MVP Windows] escribió:

darkstar.back.vcf

JM Tella Llop [MVP Windows]

unread,
Aug 8, 2006, 5:23:17 PM8/8/06
to
Si es que son bobos....¿no ven que con estos vanos intentos de provocaciones
me dan la oportunidad de lucirme?.... :-P

--
Jose Manuel Tella Llop
MVP - Windows
jmt...@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm
news://jmtella.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"PROMETHEUS" <darkst...@gmail.com> wrote in message
news:OTVj$$yuGH...@TK2MSFTNGP04.phx.gbl...

PROMETHEUS

unread,
Aug 9, 2006, 7:58:29 PM8/9/06
to
Algo hay que agradecerle al semi P aleto, al provocarte hace que lo
ilustres a el y a algunos de nosotros de refilon, tus conociomientos son
invaluables maestro Tella.

Dark

JM Tella Llop [MVP Windows] escribió:

darkstar.back.vcf

Daniel G. Samborski

unread,
Aug 9, 2006, 7:09:21 PM8/9/06
to
Una pregunta, que nada tiene que ver con el tema que estan tratando en este
hilo, en el mensaje de Prometheus, a un costado, en donde se puede leer el
mensaje que envio, hay una tarjeta de presentacion (Adjunto imagen)
Al hacer clic solo me deja abrirla, no guardarla y cuando la quiero abrir me
sale un mensaje diciendo que las cosas enviadas por correo pueden ser utiles
pero que tambien pueden ser inseguras.
¿Como puedo hacer para guardarla en el disco para luego revisarlo o verlo?

Es solo como curiosidad...


Daniel.

"PROMETHEUS" <darkst...@gmail.com> escribió en el mensaje
news:uwgh2dAv...@TK2MSFTNGP05.phx.gbl...

--------------------------------------------------------------------------------
Estoy utilizando la versión gratuita de SPAMfighter para usuarios privados.
Ha eliminado 161 correos spam hasta la fecha.
Los abonados no tienen este mensaje en sus correos.
¡Pruebe SPAMfighter gratis ya!

Portapapeles03.gif
Reply all
Reply to author
Forward
0 new messages