I Criminali Informatici non Amano le cose Difficili

L’ineffabile Joanna Rutkowska ha colpito ancora. La Rutkowska è una brillante ricercatrice specializzata in malware stealth, abile a inventare tecniche per aggirare le protezioni del kernel e infiltrare nel sistema rootkit non rilevabili.

La sua ultima scoperta ha allarmato un po’ il mondo della sicurezza informatica. La ricercatrice di origine polacca (e il suo team), ha trovato un bug in alcuni processori Intel che permette tramite una tecnica chiamata “memory poisoning” di accedere alla memoria SMRAM (altrimenti inaccessibile) del SMM (System Management Mode).

I ricercatori hanno creato due codici di esempio (Poc, proof-of-concept) in grado di attaccare le CPU vulnerabili, effettuando un “dump” (estrazione di dati) dalla SMRAM e l’esecuzione arbitraria di codice nella SMRAM.

SMM è la modalità più privilegiata dei microprocessori Intel, architettura x86, e normalmente non è accessibile dal kernel del sistema operativo. Per comprendere la natura di questa modalità, si consideri che il livello di accesso al kernel viene definito Ring 0; nel caso del SMM ci troviamo a “Ring -2″!

Inserire codice in un luogo così privilegiato ed esoterico, luogo che si trova nel microprocessore, quindi inserito nel cuore hardware del sistema, significa avere potenzialmente un rootkit praticamente non rilevabile, molto più occultato anche rispetto al MBR Rootkit .

Quindi la situazione sembrerebbe disastrosa. Ma non è così. Come hanno fatto notare i ricercatori di Prevx e come la stessa Rutkowska ha riconosciuto, esistono diversi motivi che impediranno a questa vulnerabilità (e altre simili basate sull’exploiting hardware).

Il primo motivo è che mettere in pratica con successo nel mondo reale queste tecnica è estremamente difficile: il laboratorio non è  la realtà. Il secondo motivo è implicitamente legato al primo: esistono già oggi rootkit e malware altamente non rilevabili, funzionanti con tecniche convenzionali, tecniche collaudate, efficaci, ben conosciute e utilizzate.

Creare una botnet sfruttando bug relativamente semplici è molto più semplice per il crimine cibernetico. Sfruttare questa botnet per veicolare attacchi di spam o phising, basate sull’ingenuità e sul social-engineering è molto più conveniente per i gangster digitali che non utilizzare sofisticate ed esoteriche tecniche la cui affidabilità è dubbia (almeno oggi).

Anche questa storia evidenzia la differenza tra due figure che spesso vengono confuse, ovvero l’hacker e il criminale informatico. La motivazione del primo è sempre la sfida, quella del secondo il profitto, il raggiro, la truffa, possibilmente con il minimo sforzo.

2 Comments

Comments are closed.