Peter Kleissner - Bootkits

Desde hace tiempo he tenido ganas de publicar algo interesante sobre los bootkits, que son un tipo de malware que, personalmente me parece muy sofisticado y limpio. He estado siguiendo los avances de uno de los mejores programadores de bootkits que están activos actualmente. Su nombre es Peter Kleissner, un joven austríaco de aproximadamente 19 años de edad con una capacidad impresionante para la programación orientada a la seguridad y el hacking. Su historial, además de impresionante, denota esa faceta que a muchos programadores con intereses similares les ha hecho caminar entre la frontera gris entre el blanco y el negro. Si ya con quince años creó su primer sistema operativo (toasteros) basado en Linux, con diecisiete trabajó para una importante compañía de antivirus, y con dieciocho presentó una gran conferencia en Black Hat sobre su Bootkit Stoned.

Este caminar por el lado gris, que por supuesto le ha aportado grandes conocimientos sobre la seguridad, sobre todo, habiendo trabajado en una gran compañía de software antivirus como desarrollador, le ha llevado en los últimos años ha tener que enfrentarse en varias ocasiones con la justicia austriaca, y de hecho así lo hace actualmente. Por supuesto no voy a llevar esto a una de esas discusiones morales sobre el bien y el mal, pero sí que creo que cortando p se aprende a capar (lo siento por el simil).

Independientemente del gran historial de este hacker, debo centrarme en la importancia de los bootkits, y como predecesores, los proyectos Kon Boot y Stoned bootkit. Un bootkit, consiste en un código de programación oculto que parchea de alguna manera ciertas partes interesantes del Kernel para obtener ciertos fines interesantes como ocultar procesos, o conseguir privilegios de administrador de una máquina.

Por tanto, puede sonar muy parecido a la definición de un rootkit. Pero no es así, ya que un bootkit no deja (en principio) huella en la máquina víctima, ya que no es necesario que modifique nada en el sistema de archivos. Podemos cargarlo desde un CDROM con autoarranque, desde un pendrive o incluso modificando el código de la BIOS del equipo para que intervenga desde esa posición. Por tanto, intervendrá en la máquina durante el arranque, muchas veces podemos hacerlo modificando el MBR del disco duro “on the fly” para cargar cierto código anterior a la carga del Kernel del sistema operativo.

Como ejemplo, Kon Boot está disponible para Windows y para Linux y abarca versiones hasta Vista. Peter está trabajando ahora en otro proyecto donde enlaza bootkit, botnet y otros tipos de malware que amplían el abanico de trabajo de este tipo de herramientas. Ya ha obtenido buenos resultados sobre Windows 7, incluso en versiones de 64 bits. Por cierto, Stoned ya hace cosas como encontrar contenedores de claves de cifrado de TrueCrypt para descifrar discos duros completos mediante TChunt.

Hay mucha más información sobre todo esto, pero creo que los interesados debeis investigar un poco:

http://www.stoned-vienna.com/

http://www.piotrbania.com/all/kon-boot/

Por cierto os incluyo un video muy interesante sobre el tema:

Artículo que desvincula un nuevo bootkit “Whistler bootkit” de Stoned Bootkit en el que explica Peter, que el código de Whistler está basado en Stoned que estaba disponible en sourceforge para su descarga.

Press statement: Whistler Bootkit ain’t Stoned Bootkit (20.03.2010)

Time ago allvirusthanks.org blogged about a ‘Whistler Bootkit’ and while they failed to censor the pictures, there’s no reason to worry about. I published the Stoned Bootkit as open source to all developers to harness the power of distributed peer review and transparency of process. The Stoned Bootkit was published for months at SourceForge, because I believe in open source. Instead of taking advantage of the bootkit technology, I decided to talk about it open and presented it at Black Hat, Hacking at Random and DeepSec. The Stoned Bootkit is not criminal and its usage is not illegal, it’s just an open source unsigned code loader. Even if Kaspersky thinks it would capture electromagnetic signals.

The source of Whistler Bootkit was just simply “stolen” from SourceForge from Stoned Bootkit in January (this is why I removed it from SF too). I have not tried to sell it, and let immediately remove the forum entry of opensc.ws. The Stoned Bootkit 2 source code is not for sale to anyone. Also this http://www.w32whistler.com/ fake website has nothing to do with the Stoned Bootkit.

Herramienta Anti-Bootkits

There is a nice Anti-Bootkit program available at http://ebfes.wordpress.com/. You can boot it from Floppy and CD and you view the hashes of the MBR and display the hex dump. Unfortunately it doesn’t seem to provide a ‘directly boot the OS’ feature or a ‘restore default MBR’ feature. I tried to contact the author, but so far there is no response.

The project is available as source (no specific license), written by a German guy and is written in Assembler. That project has quite some potential, there may be some cool features for the future like detecting bootkits based on signatures and heuristics, removing them, displaying information about them etc. Sinowal (Mebroot) for example stores the MBR backup on unpartitioned space and also its configuration there, so the C&C server URL could be extracted from there (it’s stored as plain text).

Puedes descargar esta herramienta antibootkits en: http://ebfe.de.vu/antibootkit/release085.zip

Editado por stoned team:

> …un bootkit no deja (en principio) huella en la máquina víctima, ya que no es necesario que modifique nada en el sistema de archivos.<

It is true that a bootkit does not need to make changes to the file sysetem on the “victim’s” computer; however, it does leave “marks” elsewhere on the “victim’s” computer. Since a bootkit must execute before the OS it requires (and therefore must survive) a reboot after installation to become active. Surviving a reboot requires that the bootkit be stored somewhere on the victim computer. Usually it isstored in “hidden” sectors within unpartitioned space on the hard drive. But it could also be stored on some other flash device such as the bios, video option rom or the eeprom or NVRAM of some network adapter. Or the bootkit can be broken up into pieces and stored as fragments on all of the above. But these are all “marks” on the “victim’s” computer which can be detected if you know where to look.

It is possible to inject code on the fly to infect the NIC or the GPU or the OS without the ability to persist. This can be quite useful in a server environment where computers run for a long time without a reboot. But that would not be a “bootkit.”

Fuente

Apple bajo la lupa de las autoridades antimonopolio de Estados Unidos

Después de que Apple anuncio el pasado Lunes 7 de Mayo, su propia plataforma de publicidad móvil iAds, para el iPhone, iPod Touch y iPad, en la conferencia mundial de desarrolladores de la empresa de Cupertino el WWDC 2010, días después comenzó a eliminar aplicaciones de publicidad móvil de la Apple Store, en una actualización de la sección 3.3.9 del contrato de licencia para desarrolladores de aplicaciones del sistema operativo iOS, donde ahora se establece que la información sobre el usuario final solo puede ser recabada con el consentimiento del mismo y solo se puede proveer o permitir a una empresa cuyo negocio principal sea el de la publicidad en dispositivos móviles.

Esta nueva política o nueva practica de Apple no fue bien vista por empresas como Google, Microsoft, y desarrolladores independientes, ya que por ejemplo AdMob, una red publicitaria móvil que fue comprada por Google a finales de Noviembre del 2009 en algo más de 750 millones de dolares, una compra que duro varios meses hasta que la Comisión Federal de Comercio (FTC) aprobara la misma, ahora AdMob no podrá ofrecer ningún tipo de anuncio en los dispositivos móviles de Apple.

Lo misma suerte correría cualquier otra aplicación de publicidad móvil, ya que Apple no quiere que ninguna empresa, menos Google,  se beneficie económicamente a costa de sus dispositivos móviles, por tal motivo Apple nuevamente esta bajo la lupa de las autoridades monopolio de Estados Unidos, que podría investigar esta nueva política sobre la restricción de publicidad externa mediante aplicaciones en los productos móviles de Apple.

Steve Jobs ha dicho que no es una decisión para dejar fuera a la competencia, sino para preservar el derecho a la privacidad del usuario.

Lo que esta en juego es ver si esta nueva política de Apple afecta al consumidor final, y no a la competencia entre iAds de Apple y AdMob de Google.

Apple presento el iPhone 4 en el WWDC 2010

El lunes 7 de Junio comenzó el congreso mundial de desarrolladores de Apple el WWDC 2010, y Steve Jobs anuncio la nueva generación del smartphone de la empresa de Cupertino, el iPhone 4, dando comienzo a una nueva era en el mundo de la telefonía celular, ya que es el avance tecnológico más grande desde el lanzamiento del iPhone 2G.

El nuevo iPhone 4 tiene 100 nuevas características, entre las cuales podemos mencionar:

Es el smartphone más delgado del mercado mide 9,3mm de ancho, un 24% más delgado que el iPhone 3GS.

Sistema Operativo iOS 4 (iPhone OS 4.0) con soporte multitasking o multitarea y que estará disponible a partir del 21 de junio totalmente gratis para todos los productos móviles de Apple como el iPhone 3GS, iPhone 3G y los iPod Touch de segunda y tercera generación.

Tiene como Procesador el Chip A4 el mismo procesador del iPad.

Conectividad en redes HSDPA/HSUPA, 802.11n (Wi-Fi) y quad-band.

Cámara frontal, microSIM, flash con LED, dos micrófonos para cancelación de sonido.

Cámara de fotos con 5 megapixels que viene con sensor iluminado de 1,75 micrones, y graba vídeo en formato HD 720p en 30 FPS.

Retina Display la cual tiene 326 ppi en comparación con los 300 ppi que tan sólo capta el ojo humano.

Pantalla con una resolución de 960×640 que posee 78% de los pixeles del iPad e incluye Tecnología IPS que mejora los colores.

Integración de iMovie para iPhone, aplicación que permite editar vídeos, plantillas, transiciones, títulos y el resultado puede compartirse en YouTube o en iTunes.

iBooks para iPhone con lo cual podrás leer los libros que ya tengas en tu iPad.

iAds sistema de publicidad para productos móviles que estará disponible el 1 de julio que lleguen a nuestros dispositivos.

FaceTime para realizar videollamadas que por ahora funcionará con WiFi y en 3G para el próximo año.

Presentación en color blanco y color negro.

En Estados Unidos el iPhone 4 estará a la venta el 24 de Junio y el modelo de 16 Gigas costará USD$199 y el modelo de 32GB USD$299, en el mes de Septiembre estaría disponible para 88 países.

Al parecer la idea general se centra en que el usuario al descargar una canción, esta también se descargue en todos los dispositivos (que usen la cuenta de usuarios) de la propiedad de esa persona. En los blogs se habla mucho por estos días de la agresiva competencia que esto despertará entre Apple y Google, pues esta idea no parece más que una copia del iTunes de Apple, o por lo menos eso es lo que se dice. De igual forma, aún no hay fecha oficial para el lanzamiento de este servicio, pero parece que Google ya esta trabajando en el mismo y lo demuestra con la adquisición de Simplify Media, por lo que de cierta forma se puede deducir que habrá una aplicación de Escritorio que facilite tales descargas.

De igual forma, estaremos atentos al lanzamiento de la tienda de música de Google y las reacciones que tiene Apple frente a este nuevo servicio que tomará de seguro gran parte del mercado si tiene éxito.

Por otro lado, dos de estos boletines serán para Microsoft Office y se reportan como importantes pues permite la ejecución de código remotamente y afecta a las versiones: Office XP, 2003, 2007 y 2004 y 2008 para Mac, igualmente también se corregirá un fallo de escalada de privilegios en Sharepoint Services 3.0, por último se sabe que uno de estos boletines de seguridad será para Internet Explorer, que corrige un fallo de robo de información grave.

Por el momento se conoce información sobre estos 10 boletines de seguridad que estarán disponibles para este 8 de Junio del presente año, de igual forma si hay cambios se informará de los mismos. Las actualizaciones serán desde Windows Update o las actualizaciones automáticas de Windows.

Facebook fue bloqueado la semana pasada después de que se publicasen las caricaturas de Mahoma que dañaron la sensibilidad religiosa de la mayoría musulmana del país.

“Se levantó la prohibición sobre Facebook el sábado, después de que las autoridades eliminasen los contenidos ofensivos”, dijo un funcionario de alto rango de la Comisión de Regulación de Telecomunicaciones de Bangladesh.

En Pakistán, otro país mayoritariamente musulmán, un tribunal cerró también el acceso a la red social debido a una competición sobre caricaturas de Mahoma, pero fue desbloqueado la semana pasada.

Cientos de manifestantes marcharon por Dacca exigiendo medidas contra Facebook, mientras que sus usuarios dijeron que el Gobierno debería haber bloqueado páginas específicas en lugar de la red social al completo.

Un hombre fue arrestado en Dacca por publicar imágenes “repugnantes” de los líderes políticos del país, incluida la primera ministra Sheikh Hasina y la líder de la oposición Begum Khaleda Zia.

Facebook se ha vuelto enormemente popular entre los bangladesíes, especialmente entre los jóvenes con formación.

La publicación de caricaturas de Mahoma en periódicos daneses en 2005 motivó una serie de feroces protestas en países musulmanes. Cerca de 50 personas murieron en las manifestaciones de 2006 debido a estas caricaturas.

Los musulmanes consideran cualquier representación del profeta una blasfemia contra el Islam.

Una de ellas puede ser por ejemplo como demonios están conectada físicamente las comunicaciones en la tierra. Gizmodo te ofrece la respuesta, y puede que te sorprenda.

Puede que con tantos móviles y satélites creamos que las comunicaciones internacionales se hagan inalámbricamente o a través del espacio pero lo cierto es que el 99 por ciento de la información intercontinental se transmite a través cables submarinos.

En la foto de portada podéis ver la disposición de dichos cables en los océanos y mares del mundo. Comprobaréis que algunas zonas dependen de un solo cable y en muchas de ellas el cable es relativamente delgado y fácil de manipular.

El gran problema es que dichos cables son susceptibles de ser atacados para inhibir comunicaciones o robados para conseguir sus materiales, con los grandes riesgos para la comunicación internacional que eso representa.

Buceando por ahí la verdad es que no me he encontrado ninguno pero por si alguna vez los veo, la próxima vez que baje me llevo un portátil sumergible y les engancho un cable ethernet usando un arpón, a ver que pesco.

Fuente

Fuente

Link al tutorial…

Todas las imágenes tienen como personaje principal a las bellas mujeres, que dan el “toque del sabor” a las fotos.

Link