Microsoft delaktig i rootkit-utvikling

[int20h]

University of Michigan samarbeider med Microsoft for å lage en prototype på et rootkit som skal utnytte virtualisering for å hjemme malware, spyware og andre ulumskheter.

Les mer

[Paull]

Vil tippe motivet her er å kunne "vise" at Palladium/TCPA er, eller kommer snart til å være, en nødvendighet. Forøvrig et ganske fiffig konsept.

[Codename_Paragon]

Etter SubVirt-konseptet kan ikke lenger en vanlig "sikkerhetsapplikasjon" som kjører på toppen av Windows eller Linux lengre detektere malware og spyware siden det kjører på et lag som er usynelig fra operativsystemets standpunkt.

Dette er jo klassisk hidden channel problematikk fra en litt annen vinkel.

 

OS har sanntidsklokker som kan sjekkes, og scheduleren i OSet kan oppdage om 25 prosent av CPUtiden ikke kan gjøres rede for, og da er det bare å trekke i det store røde nødbremshåndtaket.

 

Dersom sanntidsklokken blir manipulert med, vil OSet oppleve betydelig klokkedrift ved synkronisering med eksterne maskiner, og alarmen bør igjen gå raskt.

 

Dersom nettverksporten brukes til å spy ut spam, vil dette kreve kopmplisert manipulering av nummereringen av IPnummer, er temmelig sikker på at dette vil bli oppdaghet, og jeg kan se for meg ny brannmurfunksjonalitet for nettopp å sjekke at nummerserien matcher. Det mest banale er å sjekke om det er abnorm aktivitet på nettet ganske enkelt ved å sjekke lysdiodene, det gjør jeg når jeg aner ugler i mosen der maskinen jeg sjekker er lite responsiv.

 

Alt i alt tror jeg dette er en historie som er kokt opp for å skremme de lettskremte.