点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 新黑客程序可在操作系统外运行
新闻来源:驱动之家
美国佛罗里达州安全企业Clear Hat Consulting的两位研究人员日前宣布,他们开发出了一款概念性的rootkit黑客程序,能够在操作系统外运行,无法被任何现有杀毒软件或防火墙察觉。
这一新安全威胁的奥妙来自于它的运行方式,该rootkit工作在系统管理模式(SMM)下。这种模式下的代码运行在完全独立的存储空间内,对主内存和操作系统来说是完全隐形的。
SMM这种更贴近硬件的运行方式早在386时代就已经出现,目的是为了让处理器开发人员使用软件方式修正Bug,或是提供 诸如控制处理器进入休眠状态等电源管理功能。
开发者Shawn Embleton和Sherri Sparks表示,这种rootkit可以被用来窃取受害计算机中的所有数据。但它几乎不可能被广泛传播,因为更贴近硬件,它需要使用难度颇高的汇编语言 来编写,并且极为依赖硬件。黑客需要为某一台机器专门编写攻击代码,因此更可能出现在针对企业、政府系统的大规模入侵行动中。
两位开发人员将在今年8月的Black Hat安全会议上展示这种攻击方法。他们表示,尽管这种rootkit非常难以发现,但并不意味着说它完全无解。他们将在会议上探讨如何防御这种攻击的技术手段。
游云庭律师:P2P用户击败七大唱片公司的法律思考
虽然最近美国电影版权人的代表美国电影协会(MPAA)在对P2P行业的维权高歌猛进:先是告赢了BT下载站TorrentSpy.com,法院判决的侵 权赔偿高达1.11亿美元,然后又起诉了全球第一BT站——海盗湾(The Pirate Bay)侵犯其版权,并索赔1500万美元.但根据国外网站的消息,美国音乐版权人的代表美国唱片业联合会(RIAA)围剿P2P音乐共享的努力最近却在 美国本土遭到了打击,其试图确立的P2P共享“Making Available”原则并未被法院采纳,他们发起的针对P2P共享软件用户的一起诉讼被法院驳回,以下是笔者编译的相关新闻.
美国法院最近驳回了RIAA旗下七大唱片公司指控一对夫妻侵权的诉讼,认定P2P软件用户把音乐文件放在了电脑硬盘的共享区内使其他网友可以通过 P2P方式下载的行为并不违法.此案的关键在于:美国唱片业联合会要求法院确立的“Making Available”原则,即P2P用户设置文件为共享状态就构成侵权的企图遭到了挫败.
案情如下:2006年1月,美国唱片业联合会的调查员在P2P平台Kazaa的共享区内发现被告夫妇的电脑上有4000多个文件可供共享,经调查,其中有54个音频文件经检验为美国唱片业联合会成员拥有版权的音乐文件,协会旗下七大唱片公司遂提起了侵权诉讼.但被告夫妇辩称,音乐文件为他们出于个人欣赏目的使用自有CD压制,并非从Kazaa上下载;这些文件并没有存储在电脑上Kazaa程序专用的共享存储区,(笔者推测,这对夫妻可能把整个D 盘或其他硬盘非操作系统区域都设置成了Kazaa共享区域)被告还辩称,是电脑而不是被告进行了共享音乐文件的行为,因此,其不应当承担侵权责任.
法院的判决认定,除非被告实际发行并传播了美国唱片业联合会会员享有权利的作品,否则其行为不应被视为违法.仅仅将非授权作品设置为公众共享状态并不侵犯版权所有者独占享有的作品发行权.
在大洋彼岸的中国,虽然目前以美国唱片业联合会、国家唱片协会为代表的音乐作品权利人与互联网共享音乐的行为进行斗争目前还停留在与百度MP3搜索为代表的互联网共享节点斗争的状态,尚未进展到起诉盗版用户的阶段,但考虑到美国的互联网发展远远领先我们,他们现在发生的很有可能就是我们发生的,因此这两起案件对我们还是有一定启示的.
首先,笔者认为根据中国的相关法律,本案中的P2P用户倒是有可能被判侵权的.根据我国现行的《著作权法》,为个人学习、研究或者欣赏,使用他人已经发表的作品是不侵权的,但是法律同时规定,行使上述权利时不得侵犯著作权人依照本法享有的其他权利.根据此规定,如果用户把自己购买的CD压制为 mp3欣赏,显然不侵权,但是,如果用户把文件放入P2P共享软件的共享区,或者把文件压缩成BT种子上传到网上,就使得其他网友可以复制这些文件,此时就有可能侵犯到著作权人的复制、发行、信息网络传播等权利.
其次,虽然美国法院判定,P2P用户将文件设置为共享状态并不侵犯版权人的版权,但这个原则显然只适用于个人用户而不适用于企业,如果有商业性网站把版权作品放到互联网服务器上,使此文件可以下载(即making it available)此时,不论其是否在网页上提供此文件的下载链接,都会构成侵权.
最后,由于互联网的真正蓬勃兴起和大规模应用至今不过十几年,包括中美两国在内的各国都在摸索中建立网络版权共享的各种规则,在本文提到的几个案例中,虽然版权人和P2P各有胜负,但互联网版权规则,则在两方的博弈中不断得到了完善.实际上,整个互联网发展的大潮就是由包括这几个案例为代表的朵朵浪花推动的.
黑客为Rootkit找到新藏身之所
据国外媒体报道,安全专家已经发现一个新类型的恶意rootkit软件可以将自己隐藏在计算机微处理器中一个非常隐蔽的地方,以躲避目前杀毒软件的查杀。
该软件被称为系统管理模式(System Management Mode,SMM)rootkit,它运行在计算机内存的一个受保护区域中,这个区域是操作系统无法发现和访问的,但它可以让黑客了解在计算机内存中正在发生的操作。
如果黑客将这个系统管理模式rootkit与键盘记录器和其它通讯工具配合使用的话,将可以很轻松的盗窃感染者计算机上的敏感信息。该rootkit由安全专家Shawn Embleton和Sherii Sparks共同开发,他们在美国佛罗里达州开办了一个叫Clear Hat的安全顾问公司。
在今年八月的拉斯维加斯举行的黑帽安全大会上,验证这一概念的软件将首次被公开演示。
现在黑客们所使用的rootkit多数是在运行的时候偷偷隐藏自己的痕迹,以免被安全软件所检测到。在2005年底索尼BMG唱片公司被曝光使用rootkit技术来隐藏它的版权保护软件,使人们加深了对rootkit技术的了解。后来该公司被迫收回相关的唱片CD。
不过近几年以来,黑客们已经开始寻找在操作系统之外运行rootkit软件的方法,以使其更难于被发现。举个例子来说,两年前安全专家Joanna Rutkowska曾演示了一个叫“蓝色药丸”的rootkit,它使用了AMD芯片级别的虚拟化技术来隐藏自己。她表示,利用该技术甚至可以开发出“百分之百防检测的木马程序”。
三年前曾编写出另一个被称为Shadow Walker的rootkit的Sparks表示,“Rootkit正在越来越多的转向硬件,它在系统中藏的越深,其实现的功能就越大,并且被杀毒软件检测到的难度就越大。”
蓝色药丸所利用的新虚拟化技术现在正在被加入到微处理器中,但是系统管理模式rootkit使用的却是一个已经存在了很长时间且已经存在于很多计算机中的一个功能。早在英特尔的386处理器中就用到了系统管理模式,该功能被用来帮助硬件厂商通过软件来修复硬件中的漏洞。该技术还被用来帮助管理计算机的电源管理,例如进入睡眠模式。
安全顾问公司NGS软件的专家John Heasman表示,在很多方面,运行在内存锁定区域的系统管理模式rootkit都比蓝色药丸更难于被检测到。他表示,“目前的反病毒软件将无法检测到一个系统管理模式rootkit。”
几年以前就有安全专家猜想恶意软件可以被编写运行在系统管理模式中。早在2006年,安全专家Loic Duflot就已经证明,可以编写系统管理模式木马。Embleton表示,“Duflot编写了一个小型系统管理模式软件,可以攻破操作系统的安全模式,现在我们将这种思想进一步深化,编写了一个更复杂的系统管理模式程序,可以使用类似rootkit的技术。”
除了编写一个调试器之外,Sparks和Embleton还要利用难于使用的汇编语言来编写一个驱动程序,来使他们的rootkit正常运行。Sparks表示,“对它进行调试是一件非常困难的事情。”
由于与操作系统分离使得这个系统管理模式rootkit很难被发现,但是同时也意味着黑客们必须专门为他们攻击的系统编写这个驱动程序。
Sparks表示,“我不认为这是个影响广泛的安全威胁,因为它取决于不同的硬件类型。”
那么这种rootkit是否完全不能被检测到呢?Sparks表示并非如此,“我并不是说它无法被检测到,但是我认为检测到它的难度也很大。”在黑帽安全大会上她和Embleton将就检测技术进行更多探讨。
[ Last edited by 点饭的百度空间 on 2008-5-13 at 00:15 ]
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
