понедельник, июля 02, 2007

Рутковска против команды Пташека

У Not a kernel guy прочитала. Джоанна Рутковска, специалист в области безопасности, написала некий руткит, который назвала Blue Pill (это из "Матрицы" название). Этот руткит позволяет получить полный контроль над Вистой, при этом его обнаружить никак нельзя. Вернее, это Джоанна утверждает, что обнаружить его никак нельзя. Есть люди, которые считают, что очень даже можно и они готовы это доказать. Их всего четверо, на них ссылаются как на "команду Пташека", потому что Томас Пташек у них вроде как за главного. Они предложили установить Blue Pill на один из двух компьютеров. Команда Пташека напишет детектор, который обнаружит на какой из них установлен Blue Pill. Джоанна вроде как этот вызов приняла, но с оговорками. Некоторые оговорки нормальные - она хочет, чтобы в эксперименте участвовали не две машины, а пять. Это справедливо, чтобы эксперимент был показательным двух машин мало, там угадать легко. Но кроме этого она хочет много денег. В итоге она сейчас с командой Пташека препирается. Чем дело кончится непонятно, но народ оживился, ибо мероприятие может получиться веселое.

Напоследок куча ссылок:
Rutkowska Faces 'Blue Pill' Rootkit Challenge - обсуждение происходящего на Слэшдоте

invisible things - блог стартапа Джоанны. Пока только она туда и пишет


Rutkowska on Cheating Physical Memory Acquisition: Details


Joanna’s Shocking Confession: There Exists Some Amount Of Money For Which I Would Agree To See BluePill Detected By Lawson, Ferrie, Dai Zovi and Ptacek.


Five Hackers Who Left a Mark on 2006

10 коммент.:

Анонимный комментирует...

Она выдвинула два условия, с которыми безусловно выиграет:

1. It must act autonomously -- no human assistance when interpreting the results.
2. The detector can not consume significant amount of CPU time (say > 90%) for more then, say 1 sec.

Без этих условий детектирование её руткита вполне возможно.

Анонимный комментирует...

Если рассчитывать на реальное применение детектора rootkits, то я бы выдвинул более жесткое условие - не более 25% загрузки на (одноядерном) Pentium 2 ГГц. Если это условие не выполняется, то зачем нам детектор, который будет поглощать все ресурсы?

Помните шутку про антивирус касперского (времен версий 4.х)?

"Вирусы не могут размножаться на машине, находящейся под защитой антивируса касперского. Антивирус занимает 100% CPU и вирусам ничего не достается."

Unknown комментирует...

"Красную пилюлю" она еще в 2004 года, опубликовала :)

http://invisiblethings.org/papers/redpill.html

Анонимный комментирует...

А вам не кажется что Джоанна зажралась?
Поясню.
Делает голословные заявления про "100% undetectable rootkit" (как работает Blue Pill никто (подчеркну, НИКТО) не видел), а на предложение проверить это выдвигает требования от которых выигрывает только она (и код детектора для отладки своего творения получит, и бабла срубит). Насколько я помню для конкурсов по проверке стойкости криптоалгоритмов устроители сами выделяли деньги на призы. А тут... у меня есть круть несусветная, но я её вам не покажу, но вы должны мне покланяться из-за этой крути, а хотите проверить насколько она крута денег давайте (в сторону: "Ну и хрен с ним что хрень, зато бабла срубим...").

А вы как вы думаете?...

Alena комментирует...

2alex:

Она выдвинула два условия, с которыми безусловно выиграет:

1. It must act autonomously -- no human assistance when interpreting the results.


Это вполне справедливое условие. Обычный пользователь не будет анализировать поведение компьютера и искать там руткиты. А для обычных пользователей все в конечном итоге и делается.


2. The detector can not consume significant amount of CPU time (say > 90%) for more then, say 1 sec.

Вот это да, странно. Особенно если учесть, что объясняется оно удобством пользователя. Пользователь может и подождать, лишь бы убедиться, что с его машиной все в порядке.

Без этих условий детектирование её руткита вполне возможно.

Пташека только требование денег напрягает, насколько я поняла из его блога.

2Vladislav Artukov:
Если рассчитывать на реальное применение детектора rootkits, то я бы выдвинул более жесткое условие - не более 25% загрузки на (одноядерном) Pentium 2 ГГц. Если это условие не выполняется, то зачем нам детектор, который будет поглощать все ресурсы?

А зачем его все время в памяти держать? Запускаешь один раз в день (в неделю, в месяц) на какое-то время, а он за это время пытается определить есть руткит на машине или нет.

Анонимный:

А вам не кажется что Джоанна зажралась?
Поясню.
Делает голословные заявления про "100% undetectable rootkit" (как работает Blue Pill никто (подчеркну, НИКТО) не видел),

Она грозилась что-то представить на конференциях прошлым летом. Я сейчас поспрашивала Гугл, но так и не поняла - она только рассказывала про Blue Pill или смогла что-то показать. В блоге у себя она пишет, что у нее есть работающий прототип, который далеко не все умеет.

а на предложение проверить это выдвигает требования от которых выигрывает только она (и код детектора для отладки своего творения получит, и бабла срубит).

Согласна. Вся эта история с требованием денег выглядит не очень хорошо.

Анонимный комментирует...

На конференциях она показывала работающую Red Pill. Про Blue Pill были только заявления, даже proof-of-concept не было показано.
В принципе это и понятно, на момент заявления технологии виртуализации и от Intel, и от AMD ещё не были выпущены на рынок (я имею ввиду не столько поддержку железа, а всё решение целиком, и особенно supervisor software) (да и Vista находилась в стадии какого-то там release candidate). Но непонятен подход Джоанны в отношении этого контеста.
IMHO (с большой долей иронии): Она обнаружила себя в списке 5 самых известных хакеров за прошлый год, посмотрела в кошелёк и обнаружила полнейший диссонанс между внешним и внутренним .... :)

Анонимный комментирует...

"Обычному пользователю" плевать на руткиты. Он в самом деле не будет заниматься их поиском.
А вот IT-специалист может потратить, скажем, пять минут времени, чтобы получить точный результат.

Рутковская совсем не случайно выдвинула "временные" условия.
Потому что способ с измерением временем человеком, например, достаточно надёжен (годится и другой источник точного времени, например, шифрованный ntp).

См. "Timing reliability" http://invisiblethings.org/papers/NLUUG-virtualization.ppt

А также статьи по теме:
http://www.rootkit.com/newsread.php?newsid=548
http://www.rootkit.com/blog.php?newsid=554
http://www.rootkit.com/blog.php?newsid=550

Alena комментирует...

2alex:
"Обычному пользователю" плевать на руткиты. Он в самом деле не будет заниматься их поиском.

Пользователь запускает антивирус. В надежде, что тот найдет все вредоносные программы. А уж как что называется: червь, троян, руткит ему все равно...

Анонимный комментирует...

Столкнулся с rootkit некоторое время назад. Kaspersky 7.0 просто не запускался. NOD32 запускался, сообщал о rootkit и лапки кверху. Пришлось форматировать диск, благо была типовая рабочая станция.

Анонимный комментирует...

Пишет Рупперт.
Алёна, понимаете, цель руткита скрыть факт несанкционированного проникновения и расширения полномочий. Т.е. если эта зверюга на компе завелась, то никакой антивирь уже не поможет, системе кирдык, она скомпроментирована окончательно.