7 de abril de 2007

¿Quien vigila al vigilante?

En el artículo sobre el DRM de Vista escribí:

Se añaden un nuevo tipo de procesos: Procesos protegidos. Los procesos relacionados con mantener la seguridad de los contenidos serán de este tipo. Estos procesos no podrán ser depurados con depuradores, no se podrá volcar su memoria, no se podrán duplicar sus descriptores de archivos, no les podrá iniciar cualquiera, ni tan siquiera el administrador. Ni los antivirus podrán escanearlos, al menos desde espacio de usuario. Por cierto, para los aficionados a sistemas operativos: Si los crackers consiguen romper las protecciones y ejecutar virus con procesos de ese tipo, que no pueden ser escaneados por los antivirus, nos vamos a reir todos a carcajadas. Es un agujero esperando a ser roto y explotado, ahora o dentro de diez años.

Hoy anuncian que han roto esa protección. El investigador de seguridad que lo ha roto ha publicado la utilidad para proteger y desproteger archivos en Vista, pero no publica las fuentes, de momento. Razón: no quiere que el malware empieze a usarlo.

El autor de la utilidad cuenta porque la protección de procesos es una mala idea: all applications such as virus scanners, malware protectors, and any other kind of application that hooks all system processes, injects threads into them or even discretely reads their memory doesn’t work on Vista when it hits a protected process. Tambien da, en ese mismo articulo, detalles de como romper la proteccion. Y la conclusion: The interesting thing is that I can make any application of my choosing protected, and thus undebuggable, uninjectable and with its address space secure.

¿Ahora quien va a vigilar a esos procesos, si los antivirus aun no saben como escanearlos?

2 comentarios:

  1. Shaglok7:57 p. m.

    No debiste titularlo así. Me han vuelto a entrar las ganas de leer "Watchmen"...

    ResponderEliminar