稅務問答》海外所得 98年計入基本所得額
【經濟日報╱台北訊】
2007.06.06 03:13 am
桃園呂小姐詢問:請問那些所得項目應計入個人基本所得額?
北區國稅局桃園縣分局答覆:
(1)申報戶之綜合所得淨額。
(2)受益人與要保人非屬同一人之人壽保險及年金保險給付。
(3)未上市、未上櫃及非屬興櫃公司股票和私募證券投資信託基金受益憑證的交易所得。
(4)非現金捐贈之扣除額。
(5)公司員工分紅配股之時價與面額差額部分。
(6)海外所得(自98年1月 1日起始納入)。
【2007/06/06 經濟日報】
2007年6月6日 星期三
售屋所得年度 移轉登記日為準
【經濟日報╱台北訊】
2007.06.06 03:13 am
中和市桑先生問:個人出售房屋其財產交易所得之計算及歸屬年度應如何認定?
北區國稅局中和稽徵所答覆:個人出售房屋,已登記所有權之房屋部分,財產交易所得歸屬年度,以房屋所有權移轉登記日所屬年度為準。倘房屋遭法院拍賣,其財產交易所得年度之認定,以買受人領得執行法院所發給權利移轉證書之日所屬年度為所得年度。倘個人出售未辦所有權登記之建物,其財產交易所得,應以交付尾款(不包括銀行貸款部分)之日期為所得歸屬年度,惟如尾款交付日期不明時,得以申報投納契稅移轉之日期為所得歸屬年度。又出售房屋財產交易所得之計算,應由納稅義務人提出交易時之實際成交價格及原始取得實際成本之相關資料,經稽徵機關查明屬實者,得以其差額為財產交易所得。倘未能提出相關資料者,稽徵機關得依財政部核定標準核定之。
【2007/06/06 經濟日報】
2007.06.06 03:13 am
中和市桑先生問:個人出售房屋其財產交易所得之計算及歸屬年度應如何認定?
北區國稅局中和稽徵所答覆:個人出售房屋,已登記所有權之房屋部分,財產交易所得歸屬年度,以房屋所有權移轉登記日所屬年度為準。倘房屋遭法院拍賣,其財產交易所得年度之認定,以買受人領得執行法院所發給權利移轉證書之日所屬年度為所得年度。倘個人出售未辦所有權登記之建物,其財產交易所得,應以交付尾款(不包括銀行貸款部分)之日期為所得歸屬年度,惟如尾款交付日期不明時,得以申報投納契稅移轉之日期為所得歸屬年度。又出售房屋財產交易所得之計算,應由納稅義務人提出交易時之實際成交價格及原始取得實際成本之相關資料,經稽徵機關查明屬實者,得以其差額為財產交易所得。倘未能提出相關資料者,稽徵機關得依財政部核定標準核定之。
【2007/06/06 經濟日報】
Intel 開發硬體 rootkit 偵測晶片
Intel to develop hardware rootkit detection chip
http://www.it-observer.com/articles.php?id=977
Intel 決定要屏除人為因素,透過硬體技術將 rootkits 的偵測以晶片來取代。透過該晶片將可以通知使用者正在下載 rootkits 的檔案到電腦上。Intel 的新計畫將會在主機板上放置一個小晶片,不間斷的偵測系統上可能受到惡意攻擊的軟體。Intel 的一位研究人員 Travis Schluessle 表示,這項計畫的目標將要偵測那些程式或是系統服務,是否在進行的非必要記憶體修改。該計畫的主管 David Tennenhouse 表示:"We need to connect the computers directly to the data, so the human beings don't have to be the I/O channel, and elevate the role of the human being to a more supervisory role."
微軟開發新作業系統 Singularity
微軟開發新作業系統 Singularity
http://research.microsoft.com/os/singularity/
The Singularity Operating System
http://www.darksideprogramming.net/2005/11/the_singularity_operating_syst.html#more
微軟的研究人員現在從根本打造一個全新的作業系統原型,具有新的系統、程式語言、以及工具,稱為 Singularity,他強調的是可靠穩定而非效能。Singularity 使用型別安全(type-safe)的語言以及抽像指令集來達成所謂的 Software Isolated Processes (SIPs)。SIPs 可以確保作業系統的程序(process)完全孤立,包括 isolated object space, separate GCs, separate runtimes,而不會超越硬體,如此可以增強保護的能力。他們提到目前的 SIPs 的研發是很 "cheap" 的,因為目前透過 ring 0 的等級在核心空間中就可以執行。Singularity 將每個程式、裝置、驅動程式或是系統的延伸功能獨立在 SIPs 當中執行,如此可以確保整個系統的安全性與可靠性。該計畫的 Overview 可以從這裡下載:ftp://ftp.research.microsoft.com/pub/tr/TR-2005-135.pdf
以下是 SIPs 的一些特性:
* SIPs are the OS processes on Singularity. All code outside the kernel executes in a SIP. differ from conventional operating system processes in a number of ways:
* SIPs are closed object spaces, not address spaces. Two Singularity processes cannot simultaneously access an object. Communications between processes transfers exclusive ownership of data.
* SIPs are closed code spaces. A process cannot dynamically load or generate code.
* SIPs do not rely on memory management hardware for isolation. Multiple SIPs can reside in a physical or virtual address space.
* Communications between SIPs is through bidirectional, strongly typed, higher-order channels. A channel specifies its communications protocol as well as the values transferred, and both aspects are verified.
* SIPs are inexpensive to create and communication between SIPs incurs low overhead.
* Low cost makes it practical to use SIPs as a fine-grain isolation and extension mechanism.
* SIPs are created and terminated by the operating system, so that on termination, a SIP's resources can be efficiently reclaimed.
* SIPs executed independently, even to the extent of having different data layouts, run-time systems, and garbage collectors.
VM Rootkits: 下一個大威脅?
VM Rootkits: The Next Big Threat?
※ 相關報導:
* Intel 開發硬體 rootkit 偵測晶片
* 研究人員表示 Rootkits 瞄準 BIOS
* Sony DRM 使用 rootkits?
* 『魔獸世界』因反作弊被列入間諜軟體的行列?
* Sony修補防拷音樂CD
* 『魔獸世界』的駭客利用 Sony BMG 的 rootkit
* Sony DRM rootkits 後續:危險的反安裝程式與 EULA
* 病毒創作者利用 Sony-BMG DRM 安全漏洞大肆進攻
* Sony BMG 取消 CD 版權保護軟體
* 比 rootkits 更糟糕的 Sony-BMG EULA
* Sony 防盜拷 CD 事件愈補愈大洞 有爭論 CD 將下架
* Sony BMG 因間諜軟體的侵害被德州控告
* EFF, Sony BMG 公開新 DRM 安全漏洞
* 國土安全部:Sony rootkit 可能導致立法規範
* 微軟安全產品即將上路
* Windows 嚴重安全漏洞 2006 年大進攻
* MSN 病蟲利用 WMF 漏洞肆虐
* 微軟下週將推出 WMF 漏洞修補程式
* WINE 仍受到 WMF 漏洞影響
* WMF 是微軟的後門?
* 微軟回應 WMF 後門說
* WMF 後門說的內幕
* 微軟開發新作業系統 Singularity
http://www.eweek.com/article2/0,1895,1936666,00.asp
Microsoft Research 的白老鼠(Lab rats,穿白袍的研究人員)與密西根大學的結盟合作要建立基於虛擬機器(VM)的 rootkit 原型,這很顯然將會加速惡意軟體的隱匿,這些惡意軟體可以控管那些目標作業系統。這個概念驗證的 rootkit 叫做 SubVirt,透過已知安全漏洞進行攻擊,並且會在Widows 與 Linux 系統底層空降(drops)一個 VMM (virtual machine monitor)
根據 eWEEK 所看見的文件顯示:只要目標作業系統升等為(hoisted) VM,這個 rootkit 將不可能會被偵測,因為這些狀態將無法被目標系統的安全軟體所存取。
這個原型將會在 2006 年稍後舉行的 IEEE Symposium on Security and Privacy 上公開發表。這是微軟總部 Cybersecurity and Systems Management Research Group 的獨創概念。他們是為了 Strider GhostBuster 的 anti-rootkit scanner (http://research.microsoft.com/rootkit/)與 Strider HoneyMonkey exploit detection(http://research.microsoft.com/HoneyMonkey/)的偵查而開發的。
現今,反 rootkit 清除工具透過比對登錄檔以及檔案系統 API 描述來檢查呈現在 user mode 或是 kernel mode 當中的 rootkit。不過這種手法對於那些故意隱藏在無法被掃瞄之處的 rootkit 毫無用處。
研究人員在技術報告當中如此描述攻擊情節:"We used our proof-of concept [rootkits] to subvert Windows XP and Linux target systems and implemented four example malicious services."(我們利用這個概念驗證攻入 Windows XP 以及 Linux 系統,並且植入四個惡意服務的樣本。)
這個與密西根大學共同撰寫的報告寫到:"[We] assume the perspective of the attacker, who is trying to run malicious software and avoid detection. By assuming this perspective, we hope to help defenders understand and defend against the threat posed by a new class of rootkits," (透過這種攻擊,我們希望防禦者能夠瞭解並防守這種新rootkit 的威脅)
虛擬機器是一個在硬體與 "客端"(guest)作業系統之間執行作業系統的例子。因為 VM 位於作業系統的底層因此能夠鬼鬼祟祟的控制上層。
研究人員表示:能夠控制系統底層對於攻守之戰較為有益,如果防禦者的安全服務比惡意軟體更位於底層,那麼安全服務將可以偵測並移除惡意軟體,反之亦然。
該小組表示 SubVirt 計畫在 Linux/VMWare 與 Windows/VirtualPC 這二種平台上研發了rootkit,而且能夠在未被偵測的情況下寫入惡意服務。這份報告顯示要在目標系統上放置基於 VM 的惡意軟體是多麼容易。
舉例來說,一項程式執行漏洞,可以透過操縱系統開機順序來來入侵取得root 或是administrator 權限。一旦 rootkit 被安裝,他可以用有所區分的攻擊 OS 來部署惡意軟體而不被目標 OS 發現(因為目標作業系統在上層,看不見攻擊作業系統)。
研究報告表示:任何在攻擊 OS 當中執行的程式不能夠被看見。這項能在攻擊 OS 當中執行看不見的惡意服務,給入侵者大方使用 user-mode 程式,而不必擔憂被偵測到的自由。
這個小組使用這個原型 rootkit 發展了四種惡意服務,一個網路釣魚網站,一個按鍵記錄器,一個可以掃瞄目標 OS 敏感資料的服務,以及一個反偵測的手段,讓現行的 VM 偵測系統束手無策。
研究人員更利用 VM rootkit 來控制目標系統的啟動方式,它甚至可以用來模擬系統關機或是休眠狀態。
雖然這個 rootkit 在理論上是屬於進供的一方,但研究人員也討論到如何不讓惡意軟體使用 VM 的方法。
這個小組建議,透過硬體偵測是獲得底層控制權並偵測 VM rootkit 的一種方法,並且提到晶片製造商如 Intel, AMD 已經提議的硬體,它能夠被用來發展與部署底層安全軟體,該軟體能位於 VM rootkit 更下層。
另一項研究人員建議的技術是,從一個安全的媒體(例如 CD-ROM, USB 或是網路啟動伺服器)啟動,在 rootkit 之前取得控制權。
一個安全 VMM 亦可以在 OS 啟動之前取得系統的控制權。它也可以在系統執行時取得控制權,並且可以增加檢查功能,以便讓修改啟動程序的 VM rootkit 停止。
研究人員表示:"We believe the VM-based rootkits are a viable and likely threat." "Virtual-machine monitors are available from both the open-source community and commercial vendors ... On today's x86 systems, [VM-based rootkits] are capable of running a target
OS with few visual differences or performance effects that would alert the user to the presence of a rootkit."
※ 相關報導:
* Intel 開發硬體 rootkit 偵測晶片
* 研究人員表示 Rootkits 瞄準 BIOS
* Sony DRM 使用 rootkits?
* 『魔獸世界』因反作弊被列入間諜軟體的行列?
* Sony修補防拷音樂CD
* 『魔獸世界』的駭客利用 Sony BMG 的 rootkit
* Sony DRM rootkits 後續:危險的反安裝程式與 EULA
* 病毒創作者利用 Sony-BMG DRM 安全漏洞大肆進攻
* Sony BMG 取消 CD 版權保護軟體
* 比 rootkits 更糟糕的 Sony-BMG EULA
* Sony 防盜拷 CD 事件愈補愈大洞 有爭論 CD 將下架
* Sony BMG 因間諜軟體的侵害被德州控告
* EFF, Sony BMG 公開新 DRM 安全漏洞
* 國土安全部:Sony rootkit 可能導致立法規範
* 微軟安全產品即將上路
* Windows 嚴重安全漏洞 2006 年大進攻
* MSN 病蟲利用 WMF 漏洞肆虐
* 微軟下週將推出 WMF 漏洞修補程式
* WINE 仍受到 WMF 漏洞影響
* WMF 是微軟的後門?
* 微軟回應 WMF 後門說
* WMF 後門說的內幕
* 微軟開發新作業系統 Singularity
新款防護晶片問世 駭客沒轍
陳柏誠/綜合外電報導 工商時報 2007.03.23
* Intel 開發硬體 rootkit 偵測晶片
* 研究人員表示 Rootkits 瞄準 BIOS
* PCI 卡,下一個 rootkits 天堂?
* 終極警探 讓你防駭、防當機
* 硬體防駭!華義與RSA Security合作~
* VM Rootkits: 下一個大威脅?
* Rustock:完全隱身的新種 rootkit
* "藍藥丸" 創造出絕對無法被偵測的惡意軟體
* 避免混淆 軟體漏洞將有統一用語字典
全球對抗電腦攻擊的戰爭,最近得到新武器的支援-針對惡意攻擊提供內建保護裝置的晶片。此一新武器可讓企業在保護網路免遭攻擊上,節省了大量成本。
根據華爾街日報週四的報導指出,英特爾、超微以及其他廠商,目前在強化個人電腦及伺服器晶片的安全裝置上,競爭激烈。此款晶片一經程式人員開發,硬體和軟體即可以嶄新的方式,對抗病毒和其他電腦問題。電腦攻擊的問題,導致企業每年虧損數十億美元。
此外,一家新成立,名為Secure64的軟體公司,利用英特爾Itanium晶片的安全裝置,加上管理DNS(域名管理系統)網路目錄的新軟體,作成保護晶片。測試晶片的專家表示,這款晶片售價九、九九五美元,將首先在惠普(HP)的電腦上使用,似乎能夠完全阻擋一些最麻煩的攻擊。
科羅拉多州立大學的電腦科技助理教授馬賽伊表示,「沒有人進得了這個盒子」。他實驗Secure64軟體的時間超過一年,過程中還不斷鼓勵學生攻擊。
ExtrremeLabs的總經理韓德森表示,「新的防護晶片問世後,電腦攻擊的效果將減弱,因為駭客無法利用這個技術闖進伺服器」。
而微軟新Vista作業系統擁有BitLocker的裝置,這種裝置利用TPM來保護系統檔案,並可避免在電腦下線時,內容遭到竄改。
英特爾上週也透露,今年下半年將把TPM以及新的安全技術,應用到自家的晶片。至於英特爾的對手超微,則已經在其微處理器建立一套稱作強化病毒保護的安全裝置。這項技術和微軟軟體合作,可限制一種稱為緩衝區溢位(buffer overflow)的攻擊。
※ 相關報導:* Intel 開發硬體 rootkit 偵測晶片
* 研究人員表示 Rootkits 瞄準 BIOS
* PCI 卡,下一個 rootkits 天堂?
* 終極警探 讓你防駭、防當機
* 硬體防駭!華義與RSA Security合作~
* VM Rootkits: 下一個大威脅?
* Rustock:完全隱身的新種 rootkit
* "藍藥丸" 創造出絕對無法被偵測的惡意軟體
* 避免混淆 軟體漏洞將有統一用語字典
研究者發現嵌入式裝置攻擊方法
Researcher has new attack for embedded devices
※ 那試試飛機吧... XD
* Firmware flaw threatens routers, phones
http://www.securityfocus.com/brief/486
* 新款防護晶片問世 駭客沒轍
* 用安全晶片玩俄羅斯方塊?
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9015618
Arm 與 XScale 微處理器有弱點
Robert McMillan
April 04, 2007 (IDG News Service) -- Juniper Networks Inc. 的一位安全研究者表示,他計畫展示一種新的攻擊方式,那可使路由器或行動電話之類的電子裝置乖乖就範。
這個弱點就位在 Arm 與 XScale 微處理器當中,這兩款晶片廣泛地在所謂的 "嵌入式" 裝置當中使用。"ARM 與 XScale 架構令人關注的突然轉變,讓攻擊者十分容易得逞," Juniper 的Barnaby Jack 表示。他所開發的技術 "100% 的可靠,而且可以導致程式碼在這類裝置當中被執行," 他說。
攻擊者可以發動這類型的攻擊,在一個連接到網路上的裝置,運行未經授權的軟體。在理論中,犯罪者可使用這種攻擊,自手機中竊取敏感資訊或是改變 Internet 封包在路由器上的流向,例如:從使用者線上銀行帳戶到駭客所設立,用來竊取帳號與密碼資訊的網蘸上。
這是例如:緩衝溢位(buffer overflow)攻擊這類駭客技術的另一種選擇,那可以欺騙處理器執行偷偷塞入電腦記憶體當中的程式碼。
Jack 計畫要在 CanSecWest 資安研討會中公開這種攻擊的細節 -- 讓裝置製造商能夠避免它 -- 該研討會將在本月稍後於溫哥華舉辦。
他說他花了數個月的時間拆解並將測試裝置銲接到各類嵌入式裝置之後,他想出了這樣的技術。利用標準 IC 電路測試界面,稱為 JTAG (Joint Test Action Group) Jack 得以一窺系統的處理器,並進一步瞭解它們如何運作。"對於每種硬體裝置來說,一定有讓開發者替程式碼除錯的方式,我所作的不過是利用這些東西," 他說。"當我愈向此架構深入挖掘,我就看見幾個微妙之處,可以讓某些有趣的事情發生。"
JTAG 使用的相當廣泛,因為它能讓工程師針對嵌入式系統當中的軟體進行除錯,不過它也可能是一種安全風險,Peter Glaskowsky 表示。他是Envisioneering Group 的分析師。
雖然某些公司能夠切割在他們產品上的 JTAG 界面,不過 Jack 表示,在90% 他所檢視的產品中,這項功能都是開啟的。
"這很明顯的是個議題," Glaskowsky 表示。"某些晶片不會被關閉的原因是,如果之後有問題需要進行診斷時,他們可以用得到。"
通常,要讓硬體製造商關閉 JTAG 的存取太昂貴了,Joe Grand 表示,他是一位硬體駭客,他是 Grand Idea Studio Inc., 一家電子設計公司的總裁。
雖然對於這類轉交式(hands on)hacking 技術來說,目前尚未有大規模的研究,只有像 Jack 與 Grand 這樣的先鋒,但很顯然地情勢將有所轉變。
要駭入嵌入式系統的工具與裝置愈來愈便宜,此外硬體 hacking 可以在資安研究社群當中產生認同,Grand 表示。他將在今年的 Black Hat USA 研討會中提供硬體 hacking 工坊。
"對 hacking 社群來說這讓人相當興奮,我對軟體有點感冒。讓我們好好關照硬體吧," 他說。
Barnaby Jack 沒計畫要停下他的研究。
"我現在正在看我的微波爐,不過我認為在上面沒有很多搞頭," 他說。※ 那試試飛機吧... XD
* Firmware flaw threatens routers, phones
http://www.securityfocus.com/brief/486
* 新款防護晶片問世 駭客沒轍
* 用安全晶片玩俄羅斯方塊?
Rustock:完全隱身的新種 rootkit
http://it.slashdot.org/it/06/07/13/1456217.shtml
最近出現了新品種的 rootkit,Rustock,目前熱門的反 rootkit 工具都無法找到它,它使用的新技術除了將自身隱藏在 NTFS 檔案系統的 alternate data stream(ADS)當中(在 system32 這個資料夾的 ADS 上!真狡猾),甚至能夠阻擋能夠檢查 ADS 的工具查到它處於系統裡面。下面是 F-Secure 與 Symantec 最近分別對 Rustock 的分析。
* Symantec Security Response - Backdoor.Rustock.B
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.rustock.b.html
* Hiding the Unseen
http://www.f-secure.com/weblog/archives/archive-062006.html#00000907
PCI 卡,下一個 rootkits 天堂?
PCI 卡,下一個 rootkits 天堂?
序,也將對這種 rootkit 免疫他寫道。(http://www.securityfocus.com/news/11410)
※ 相關報導:
* 研究人員表示 Rootkits 瞄準 BIOS
* 微軟驅動程式 bug 導致雙核心耗能
* 新 DRM 賞 PC 與媒體中心擁有者一記耳光
* Rustock:完全隱身的新種 rootkit
* "藍藥丸" 創造出絕對無法被偵測的惡意軟體
* Sony rootkit 一案以和解收場
* Intel 開發硬體 rootkit 偵測晶片
PCI cards the next haven for rootkits?
http://www.securityfocus.com/brief/360
Published: 2006-11-17
安全研究者 John Heasman 於本週發表一份報告,描述隱藏惡意程式碼在顯示卡與網路卡上的方法,在這種方式下可以避免被偵測到,而且可以在重新安裝作業系統後殘存下來。
這份報告(PDF 檔,http://tinyurl.com/ydjsnk)在週三發表,以 Heasman 在今年早先完成的成果為基礎,該成果指出有方法可以利用幾乎所有主機板都有的 Advanced Configuration and Power Interface (ACPI) 功能來儲存與執行 rootkit,甚至在重新開機之後都有效。(
http://www.securityfocus.com/news/11372)目前這份報告描繪出使用 PCI 卡(例如:顯示卡或網路卡)上的擴展記憶體(expansion memory)的方法。
Heasman 是 Next-Generation Security Software 的研究者,(http://www.ngssoftware.com/)他不相信這樣的技巧會變成司空見慣。
"(因為)很多人並沒有替 Windows 安裝修補程式,也沒有執行防毒軟體,因此惡意軟體作者目前沒有立即的需要轉而使用這些技巧來進行深度危害," 他在報告上寫道。"如果一位使用者偵測到惡意軟體,接著移除它,那裡還有大量沒料想自己會中獎的目標在網際網路上。"
Heasman 也在報告中描述了對付這種 rootkit 技巧的潛在防禦方式。經由對擴展記憶體以及系統記憶的審計,一位管理者將能夠在其他顯著的危險徵兆中找出令人起疑竇的混亂程式碼(obfuscated code),目前出現的 32 位元程式碼,以及奇怪的 class 程式碼。此外,使用 Trusted Computing Module(http://www.securityfocus.com/brief/137)的電腦來保護開機程序,也將對這種 rootkit 免疫他寫道。(http://www.securityfocus.com/news/11410)
※ 相關報導:
* 研究人員表示 Rootkits 瞄準 BIOS
* 微軟驅動程式 bug 導致雙核心耗能
* 新 DRM 賞 PC 與媒體中心擁有者一記耳光
* Rustock:完全隱身的新種 rootkit
* "藍藥丸" 創造出絕對無法被偵測的惡意軟體
* Sony rootkit 一案以和解收場
* Intel 開發硬體 rootkit 偵測晶片
研究人員表示 Rootkits 瞄準 BIOS
Researchers: Rootkits headed for BIOS
http://www.securityfocus.com/news/11372?ref=rss
Robert Lemos, SecurityFocus 2006-01-26
內部攻擊以及工業間諜活動可能會變得更加鬼鬼祟祟。他們藉由主機板的快
閃記憶體當中所提供的核心系統函數,來隱藏惡意程式,研究人員在週三的
Black Hat Federal 研討會上做出如上表示。(相關的簡報可以在此下載:
http://www.blackhat.com/presentations/bh-federal-06/BH-Fed-06-Heasman.pdf)
根據英國 Next-Generation Security Software 的主要安全顧問,John
Heasman 表示,一堆來自於電源管理的功能,亦即 Advanced
Configuration and Power Interface (ACPI),擁有他自己的高階直譯語言
,可用來編寫 rootkit,並且儲存關鍵的攻擊功能到 BIOS 的快閃記憶體當
中。
研究人員測試了基本的功能,例如提高權限,或是讀取物理記憶體,使用惡
意的程序來取代儲存於快閃記憶體中的函數。
Heasman 表示:"Rootkits are becoming more of a threat in
general--BIOS is just the next step." "While this is not a threat
now, it is a warning to people to look out." (未來的 rootkit 很可
能會瞄準 BIOS)
當安全專家愈來愈擔憂 rootkits 時
(http://www.securityfocus.com/news/11300),這項擔憂又到來。在本月
早期,一個安全研究人員警告,數位版權管理軟體,該研究人員表示它像一
個 rootkit,由 Sony BMG 所使用,現在依然在成千上百的 server 上流竄
(http://www.securityfocus.com/news/11369)。去年 Mac OS X 第一個
rootkit (http://www.securityfocus.com/news/11359) 也現身在網際網路
上。
然而一些攻擊者已經試圖要影響一台電腦的快閃記憶體,最著名的就是
1998(台灣的)CIH,或稱為車諾比病毒,而能夠利用高階程式語言建立
ACPI 函數,為更多程式人員開啟了攻擊的方便之門。
一位 rootkit 專家在研討會上預言,這項技術將在不久的未來會變成
rootkits 的 "基本功"。
逆向工程公司 HBGary 的 CEO 以及 Rootkit.com 的編輯 Greg Hoglund 表
示:"It is going to be about one month before malware comes out
to take advantage of this."(一個月內就會有人利用它來為非作歹)
"This is so easy to do. You have widely available tools, free
compilers for the ACPI language, and high-level languages to
write the code in."(要辦到真是太容易了)
這個韌體在現代的主機板上針對硬體指令擁有一個 Table,該 Table 與
ACPI Machine Language (AML) 指令相關。新的功能可以用高階的 ACPI
Source Language (ASL) 來編寫,然後編譯成機器語言,然後寫入到Table
當中。
然而,這項寫入快閃記憶體的能力,端看主機板是否預設允許 BIOS 被改變
,或是經由跳線或機器當中的設定程式是否被改變。在研討會上的安全專家
對於哪些主機板預設是開啟的意見並不相同。當 Hoglund 相信絕大部份的
電腦都沒有將防止快閃記憶體被寫入的功能開啟時,NGSSoftware 的
Heasman 則不同意。
Heasman 表示:阻止部署的障礙相當多。幾乎所有的機器都有物理保護,例
如主機板上的跳線,阻止寫入。
然而,內部的攻擊者可以在他們離開公司之前寫入他人的筆記型電腦當中,
然後使用這個 rootkit,這將可以在重灌作業系統之後存活下來。然後這位
內賊將能夠透過他來存取公司的內部網路。
因為所有可以被攻擊者所使用的,在 BIOS 當中的記憶體相當的小,因此整
個 rootkit 不太可能儲存在主機板的記憶體上。反之,只有特殊的功能以
及啟動碼(bootstrap)會藏在這裡。
另一項用 ASL 進行編程的優點如下:這個程式可以很輕易的移植到不同的
平台上。
Heasman 說,這是平台獨立的,我們可以寫個 Windows 後門用來提升權限
,然後轉而在 Linux 上使用這個程式碼。
研究人員展現 rootkit 寫入 BIOS 的能力顯示我們需要更好的 rootkit 偵
測程式,另一位在 Black Hat Federal 上發表 rootkits 主題的研究人員
如此表示。
Joanna Rutkowska 是 invisiblethings.org 的獨立安全顧問,他說:
"John Heasman's presentation was very interesting and useful in
convincing people that we need to change our thinking about
rootkit/compromise detection."(John 發現很有趣也很有用,他讓我們
相信必須改變 rootkits 的偵測方式) "Today, many people believe
that it's just enough to enumerate all the potential triggering
points ... I don't agree with this approach, as it seems to be
lots of places which can be used as a triggering point - John has
just showed us how to use BIOS for this, but we can also think
about advanced file infection and many others."(現代人以為只要列
舉可能的弱點就夠了,可是我認為還有更多的地方可以用來觸發,John只是
舉出其中一個例子罷了。)
她還強調:事實上現在的偵測軟體應該聚焦於受威脅系統的完整掃瞄,而並
非只是察看特定的檔案,即便這些檔案有使用可以寫入到 BIOS 快閃記憶體
的 rootkit 技術。
Rutkowska 表示:"This is only the triggering aspect of the
malware." "Basically you can take any of the available malware
and add a BIOS-level trigger, or installer, to them. However,
after that malware is activated it needs to go to the operating
system memory and needs to interact with OS somehow."(基本上任何
惡意程式都可以拿這項 BIOS 等級的功能當作開關、當作跳板,用來進行入
侵。)
Defensive software should look to detect that activity
explicitly, she said.
※ 相關報導:
* Sony DRM 使用 rootkits?
* 『魔獸世界』因反作弊被列入間諜軟體的行列?
* Sony修補防拷音樂CD
* 『魔獸世界』的駭客利用 Sony BMG 的 rootkit
* Sony DRM rootkits 後續:危險的反安裝程式與 EULA
* 病毒創作者利用 Sony-BMG DRM 安全漏洞大肆進攻
* Sony BMG 取消 CD 版權保護軟體
* 比 rootkits 更糟糕的 Sony-BMG EULA
* Sony 防盜拷 CD 事件愈補愈大洞 有爭論 CD 將下架
* Sony BMG 因間諜軟體的侵害被德州控告
* Intel 開發硬體 rootkit 偵測晶片
* Windows 嚴重安全漏洞 2006 年大進攻
* MSN 病蟲利用 WMF 漏洞肆虐
* 微軟下週將推出 WMF 漏洞修補程式
* WINE 仍受到 WMF 漏洞影響
* WMF 是微軟的後門?
* 電腦病毒 "歡慶" 20 週年
訂閱:
文章 (Atom)