Blue Pill

6 Sierpień 2006

Wszystkie do tej pory znane backrodoory czy rootkity opierały się na jakiejś prostej zasadzie działania, jakimś jednym pomyśle – tym samym, który był później znajdywany i w ten sposób malware był unieszkodliwiany.

A teraz wyobraź sobie malware, który nie ma reguł działania, nie da się go wykryć, nawet mimo znanym powszechnie algorytmom. A teraz wyobraź sobie, że ten kod dostaje się w publiczne ręce …

Joanna Rutkowska, specjalistka w dziedzinie bezpieczeństwa systemów od kilku miesięcy pracuje nad technologią zwaną Blue Pill (Niebieska Pigułka), technologią niewykrywalnego malware. Pomysł wydaje się być prosty: wszczepiany w system kawałek kodu “wirtualizuje” system operacyjny – on sam staje się gościem kontrolowanym przez “niebieski” kod. W przeciwieństiwe do Neo z filmowego Matrix, który “budzi się” w nowym świecie, tutaj obywa się to nawet bez restartu zarażonej maszyny (on-the-fly)!
Podwaliny Niebieskiej Pigułki już powstały – AMD opracowało technologię wirtualizacji zwaną SVM/Pacifica.

Kilka szczegółów: ze względu na specyfikę wirtualizacji, Niebieska Pigułka nie zadziała na maszynach i systemach x86 – jedynie x64; technologia nie wykorzystuje żadnej dziury w systemie!; jako pierwszy system operacyjny, który został poddany działanion Niebieskiej Pigułki był Windows Vista x64 (prezentacja odbyła się na tegorocznej Microsoftowej konferencji Black Hat [link do strony konferencji]), jednak twórczyni nie widzi przeszkód w implementacjach na 64-bitowych platformach Linuxowych czy BSD.

But Fathi, VP w Microsoft od spraw bezpieczeństwa zapewnił jednak, że wykorzystywana przez Rutkowską wersja Windows Vista x64 była wersją beta zawierającą bugi i następne wersje nie będą już podatne na ataki Blue Pill.

Miejmy nadzieję, bo niedługo możemy wszyscy obudzić się w Matrixie.

Źródło: eweek, bink, blog autorki