Black-Hat-Konferenz: Viel Microsoft und eine blaue Pille
Ein ganzer Track beschäftigt sich auf der Sicherheitskonferenz mit der Sicherheit von Windows Vista und dem Internet Explorer 7. Eine Sicherheitsspezialistin präsentiert erstmals ihr Virtual Machine Based Rootkit.
- Daniel Bachfeld
Die am morgigen 2. August beginnende Black-Hat-Konferenz steht in einem ganz besonderem Licht: Ein ganzer Track beschäftigt sich nur mit der Sicherheit von Microsofts kommenden Betriebssystem Windows Vista und dem Internet Explorer 7. Sämtliche Präsentationen des Tracks werden von Microsoft durchgeführt, die auch als einer der Sponsoren der Konferenz auftreten. Die Redmonder wollen die wie jedes Jahr auf der Black-Hat-Konferenz anwesende Elite der Sicherheitsspezialisten davon überzeugen, dass Vista das bislang sicherste Betriebssystem des Softwaregiganten ist und dass Sicherheit auch an vorderster Stelle bei der Entwicklung des Internet Explorer 7 stand.
Allerdings will auch die Rootkit-Forscherin Joanna Rutkowska in einem Vortrag zeigen, wie sich Vistas Kernelschutz aushebeln lässt. Unter anderem erlaubt Microsoft in der 64-Bit-Version nur das Laden digital signierter Kernelmode-Treiber. Rutkowska will demonstrieren, wie sich trotzdem beliebiger Code in den Kernel ohne Reboot einschleusen lässt und zudem einen ersten funktionieren Prototyp von "Blue Pill" vorführen. Blue Pill erlaubt nach ihren Angaben "hundertprozentig nicht erkennbare" Malware, indem es bei einer Infektion einfach das Betriebssystem im laufenden Betrieb in eine virtuelle Umgebung verschiebt – ohne Neustart und ohne dass es der Anwender bemerkt.
Da ein Antivirenprogramm nicht außerhalb der virtuellen Maschine suchen kann, bleibt die Infektion unentdeckt. Auch die Redmonder haben ein ähnliches Rootkit namens SubVirt entwickelt, das sich gewissermaßen unter das vorgefundene Betriebssystem installiert, um dieses nach einem Neustart in einer virtuellen Maschine auszuführen. Microsoft geht davon aus, dass von Virtual Machine Based Rootkits (VMBR) in Zukunft eine realistische Gefahr ausgeht. Antivirenprogramme müssten dann zum Schutz bereits in der Hardware oder das BIOS integriert sein.
Die Black Hat bietet aber auch Hausmannskost: Laut Jeff Moss, Veranstalter der Konferenz, präsentieren die anderen Vortragenden 25 neue Tools und 15 neue Exploits. Besonderes Augenmerk richtet sich diesmal auf Web 2.0 und die dahinterstehenen Techniken AJAX und Javascript. Auch die Network Admission Control (NAC) zum Schutz des Netzwerks bekommt ihr Fett weg: Ofir Arkin will Lücken erläutern, mit der sich NAC umgehen lässt. (dab)
