A chi tocca ora? « Il non-blog di Mario Pascucci

Fra le varie persone di cui seguo i blog vi è Joanna Rutkowska. Joanna si occupa di sicurezza e di ricerche sui malware. I suoi scritti non sono proprio per principianti, anzi.

Suo è il malware dimostrativo detto Bluepill, che sfrutta la virtualizzazione per declassare il sistema operativo legittimo e costringerlo ad eseguire il suo codice in una macchina virtuale creata dal malware stesso, ponendo a tutti gli effetti il sistema operativo e tutte le sue applicazioni, quindi anche i vari antitutto, in una sorta di Matrix da cui non può evadere. Ecco il motivo del nome, la pillola blu, quella che Morpheus offre a Neo insieme alla rossa. Tutto questo in pochissimi cicli di clock del processore, senza riavviare il computer e senza lasciare tracce su dischi o altro.

Scorrendo appunto uno dei suoi articoli, questo, mi sono imbattuto in uno scritto che affronta un altro argomento: i browser rootkit.

Il punto di vista è abbastanza condivisibile. Mentre tutti sono occupati a studiare i recenti rootkit che compromettono il kernel di un sistema operativo e mettono il computer virtualmente in mano ad altri, che ne sfruttano le risorse per fini di lucro, ci si dimentica che esistono metodi certo meno intrusivi e sofisticati per infilare malware nei nostri computer.

La relativa minore intrusività di questi malware non li rende meno indesiderabili. Il concetto è questo: qual è il software più esposto al momento sui computer del pianeta? Il browser. Sia esso Internet Explorer, Firefox o vattelapesca, è questo il pezzo di software a diretto contatto con il brodo primordiale di Internet. L’idea è quella di utilizzare il browser stesso come punto di ingresso dell’infezione, o come bersaglio primario.

La forma in cui si presenterebbero questi malware può essere differente, in funzione del tipo di vettore scelto. Nell’articolo ne vengono elencati cinque, assolutamente plausibili.

Estensioni del browser con nomi fuorvianti

Le normali estensioni del browser sono visibili e verificabili da un normale utente senza trucchi particolari, ma ben pochi sanno se una determinata estensione sia effettivamente importante o rappresenti una qualche minaccia. In questo caso il distributore del malware non dovrebbe neanche preoccuparsi di adottare strani trucchi per nascondere la sua creatura, sarebbe sufficiente battezzarla con un nome evocante una qualche funzione essenziale del browser.

Estensioni nascoste

In questo caso l’estensione è nascosta, e si può rivelare solo con programmi appositi. E’ ad esempio il comportamento predefinito per Internet Explorer.

Modifiche al browser stesso

Qui si va a modificare qualcosa nel mucchio dei file che fanno parte dell’installazione del browser stesso. Ad esempio Firefox fra i suoi file ne ha uno con nome browser.jar in cui è codificata l’interfaccia utente, contenente alcuni file Javascript. Modificando uno o più di questi file sarebbe il browser stesso ad ogni avvio a lanciare il rootkit.

Rootkit su estensioni di terze parti

Non è impossibile andare a sfruttare debolezze e vulnerabilità di estensioni di terze parti. Ad esempio l’estensione di Adobe Reader™ o il player Flash hanno vari punti di accesso. In Adobe Reader™ vi è una serie di Javascript eseguiti all’apertura di un PDF dal browser, contenuti in una specifica directory. Aggiungerne uno che esegua il lancio di un rootkit non è impossibile.

Estensioni di estensioni

Alcune estensioni sono a loro volta contenitori di estensioni. In questo caso non è detto che serva produrre codice particolarmente sofisticato per compromettere un browser: potrebbe essere sufficiente uno script che inietti un XSS ed il gioco è fatto.

Ricordando alcune considerazioni che avevo scritto qui, chi crea queste pestilenze punta a colpire il mucchio più grosso, proprio perché ha bisogno di grandi numeri. La tecnica non deve essere per forza sofisticata, da guru. Non dimentichiamoci che il grande successo (se così vogliamo dire) nella diffusione di alcuni malware è dato dall’intelligente sfruttamento del social engineering. Basti ricordare i messaggi del sedicente ufficiale di polizia che minacciava ripercussioni per aver trovato tracce di un qualche nostro misfatto in Rete.

Non è detto che i vari antitutto siano in grado di intercettare questa categoria di malware. Il fronte di attacco è molto più vasto, come molto più variegato il tipo di vettore.

Unica possibilità rimane al solito l’uso di account con diritti limitati, come spiegato anche nel mio libro, anche se la categoria delle estensioni di estensioni è probabilmente in grado di colpire con diritti limitati. In questo caso il malware dovrebbe essere progettato per questo, e non è detto che sia una grande limitazione all’attività primaria del malware. Per fare spam non servono i diritti di amministrazione, e se il malware è fatto bene diventa anche difficile accorgersi della sua presenza per l’utente medio.

Questo articolo é stato pubblicato 5 November 2007, 15:53 ed é archiviato sotto Information security. Resta aggiornato attraverso il feed RSS 2.0. Tanto i commenti quanto i ping non sono permessi.

Il non-blog di Mario Pascucci

Sto lavorando sodo per preparare il mio prossimo errore (B. Brecht)