Rutkowska, Joanna

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2018. március 27-én felülvizsgált verziótól ; az ellenőrzéshez 21 szerkesztés szükséges .
Joanna Rutkowska
Joanna Rutkowska
Születési dátum 1981
Születési hely Varsó , Lengyelország
Ország
Tudományos szféra Információ biztonság
Munkavégzés helye Invisible Things Labs
alma Mater Varsói Műszaki Egyetem
ismert, mint a Blue Pill szoftver szerzője , a Qubes
OS szerzője
Weboldal invisiblethingslab.com
 Médiafájlok a Wikimedia Commons oldalon

Joanna Rutkowska [1] ( lengyel Joanna Rutkowska ; 1981 , Varsó ) lengyel szakember és kutató az információbiztonság területén. Elsősorban alacsony szintű biztonsággal és rejtett szoftverekkel kapcsolatos kutatásairól ismert [2] .

Így beszél magáról [3] :

Kutató vagyok, aki a rendszerszintű biztonsági kérdésekre összpontosít, mint például a kernel, a hipervizor, a lapkakészlet stb. területén. Kutató, nem sebezhetőség-vadász vagy tesztelő. Inkább az alapvető problémák érdekelnek, nem pedig a felhasználói programokban lévő konkrét "lyukak". Például, az operációs rendszer vagy a platform nyújthat-e védelmet a felhasználó számára, még akkor is, ha az olyan alkalmazások, mint az Adobe Reader vagy az IE , esetleg veszélybe kerülhetnek? Hiszek az „elszigetelődésen keresztüli biztonságban”.

A Black Hatben 2006-ban nyújtott fellépése után sok publikáció hackernek nevezte , de Joanna maga ellenzi ezt, és ezt egy 2007 végén adott interjúban kijelentette [4] :

Nem tartom magam hackernek (bár gyakran hívnak így a sajtóban). Számítógép-biztonsági kutatónak tartom magam, újabban pedig üzletasszonynak.

Életrajz

Gyermekkor és ifjúság (1981-2003)

1981 - ben született Varsóban , Lengyelországban . Az első számítógépemet 11 évesen kaptam [5] . PC / AT 286 lett belőlük , 16 MHz -es frekvencián működő processzorral , 2 MB memóriával [3] és 40 MB- os merevlemezzel [5] .

Volt benne egy monokróm Hercules grafikus kártya , és a legtöbb játék nem ment rajta, így nem volt más választásom, mint elkezdeni programozni.Joanna Rutkowska [5]

Szinte azonnal megismerkedtem a GW-BASIC-cal , majd körülbelül egy év múlva váltottam a Borland Turbo Basic -re [3] . A programozás megkezdésekor Joanna érdeklődni kezdett az operációs rendszer működése iránt. Körülbelül 14 éves korában elkezdett assembly nyelvet tanulni az x86 architektúrához ( MS-DOS- on ), majd fokozatosan áttért a vírusírás felé, majd inkább a matematikára és a mesterséges intelligenciára összpontosított [6] . Aztán elkezdte tanulmányozni a hálózatépítés alapjait, a Linuxot, a rendszerprogramozást , ami az 1990-es évek végén történt. visszavezette a számítógépes biztonság és a Linux x86, majd a Win32 rendszerek írási exploitjainak területére [7] . Így hát sok híres kutatóhoz hasonlóan Joanna is tinédzserkorában kezdett exploitokat írni [5] .

Joanna azután hajtotta végre első feltörését , hogy elolvasott egy hírhedt cikket a Phrack magazinban egy veremtörésről , amelyet szintén ő állított össze és tesztelt:

Elolvastam a cikket, és azt mondtam: „Nem, ez nem működhet. Lehetetlen". De valójában működött.Joanna Rutkowska [5]

Néhány évvel később abbahagyta az exploitok írását, de szeretettel emlékszik vissza arra az elégedettségre, amelyet egy jó tett megírása okozott:

Csodálatos és izgalmas, mint egy varázstrükk. Most egy kicsit más területre koncentrálok, de még mindig érdekes kizsákmányolásokat követek nyomon.Joanna Rutkowska [5]

Aztán fokozatosan továbblépett: kernel sebezhetőségek, rootkitek, rejtett csatornák és így tovább, valamint ezeknek a sebezhetőségeknek a kezelésének módjai [7] . Egy 2007-es interjúban így emlékszik vissza:

Egy bizonyos időszak után, amikor kizsákmányoltam, elkezdtem gondolkodni azon, hogy mit tegyek ezután. Nagyon érdekeltek az operációs rendszer belső részei, és elég jó ismereteim voltak róla. Ez elvezetett a rootkitek birodalmába.Joanna Rutkowska [5]

Ezzel párhuzamosan a Varsói Műszaki Egyetemen szerzett számítástechnikai mesterképzést [8] . Emlékiratai szerint a nők mindössze 5 százalékát tették ki azon a karon, ahol Rutkovszkaja matematikát tanult [5] . Szavai szerint egyetemi végzettségének nem sok köze volt a biztonsághoz [5] . Így az egyik interjúban azt mondta, hogy bár informatikát tanult a Varsói Politechnikai Intézetben, a legtöbb dolgot maga tanulta meg, mint sok kollégája a szakmában [6] .

Első tanulmányok (2001–2002)

Joanna 2001 körül kezdett komolyan foglalkozni a Linux és Win32 operációs rendszeren alapuló platformok számítógépes biztonságának kutatásával, majd két évvel később a lopakodó technológiát használó programok kutatásába kezdett [9 ] .  

Szakmai pályafutása kezdete (2003–2006)

2004. október közepén Rutkowska felszólalt az IT Underground 2004 konferencián , amelyet október 12-13-án tartottak Varsóban . Két prezentációt mutatott be a Linux és a Win32 platformok rootkitjeiről, valamint azok észlelésének módszereiről. Az első „Hátsó ajtók a Linux rendszermagban és azok észlelése” [10] első előadása az intelligens kernel hátsó ajtók Linux  kernel hálózati veremben való megvalósításának két módjáról szólt kezelő ptypeés Netfilter segítségével , és bemutatta az észlelésük eredeti módjait is, amelyeket később sikeresen megvalósítva az egyik kereskedelmi eszközben, amelyet Joanna maga írt. Bevezette a leírt módszerekben használt passzív rejtett csatornák ötletét is.

A második előadásban, "Detecting Rootkits on Windows Systems" [11] címmel a felhasználói szintű és a kernel szintű rootkit észlelésről volt szó. A prezentáció első felét az MS Kernel Debugger (a LiveKD-vel együtt) használatának szentelték a felhasználói szintű rootkitek észlelésére. A fennmaradó részt a fejlettebb kernel szintű rootkiteknek szentelték, és bemutattak néhány ötletet ezek észlelésére [12] .

Ezenkívül a beszéd alszövege a rootkitek tökéletesítésének módjairól szóló megbeszélés volt. Ebéd közben Yoanna bemutatta, hogy gyakorlatilag egyetlen utasítás (néha Sinan kedvenc utasításaként is emlegetve )  használatával kimutatható a VMware [13] (vagyis a Red Pill projekt alapjául szolgáló ötlet ) használata.

2004. október 20-án Joanna megtette első bejegyzését személyes weboldalán, az invisiblethings.org-on, és a következő napon mindkét ITUnderground prezentációját közzétette [14] .

2004. december 28-án a Hackerek Világkongresszusán , amelyet Berlinben ( Németország ) tartottak december 27. és 29. között, Joanna „Passzív rejtett csatornák a Linux kernelben” [15] című jelentését mutatja be . A riport témája a passzív rejtett csatornák (röv. PSC; angol  passive covert channels , röv. PCC ) voltak, amelyek nem generálnak saját forgalmat, hanem csak a legális felhasználói alkalmazások vagy folyamatok által a fertőzött gépen létrehozott csomagok egyes mezőit változtatják meg. .

2005. szeptember 28-án Yoanna előadást tartott "Hide and Find: Defining a Way to Detect Malware on Windows" [16] a Hack in a Box [17] konferencián , amelyet szeptember 26. és 29. között tartottak Kuala Lumpurban ( Malajzia ). párhuzamosan, miközben bemutatják több fejlesztésüket, köztük a System Virginity Verifiert . Az előadás fő célja az operációs rendszer létfontosságú részeinek listájának és a rosszindulatú programok észlelésének módszertanának meghatározása volt. A lista az alapvető dolgokkal kezdődik, például a fájlrendszer és a rendszerleíró adatbázis integritásának ellenőrzéséhez szükséges lépésekkel , majd jön a felhasználói szintű memóriaellenőrzés (a rosszindulatú folyamatok, a rosszindulatú dinamikus könyvtárak ( DLL ), az injektált adatfolyamok azonosítása stb.), és véget ér. olyan fejlett dolgokkal, mint a kernel olyan létfontosságú részeinek meghatározása, amelyeket a modern rootkit-alapú rosszindulatú programok módosíthatnak (például nyers IRP hooking , különféle DKOM-manipulációk vagy virtuális gépekkel végzett trükkök segítségével ). Sőt, e lista teljességétől függetlenül Yoanna szerint csak bizonyos számú módszert használnak fel a rendszer rosszindulatú programokkal való kompromittálására, vagyis egy ilyen lista egyetlen szakaszban sem lehet végtelen, és teljessége csak attól függ, a szakemberek közössége. Elvileg egy ilyen lista létrehozása nagymértékben növelheti a fenyegetések tudatosságát, és végső soron jobb kártevőirtó programok kifejlesztését tenné lehetővé. Joanna bemutatta előadásában az ilyen programok koncepcióit, valamint számos érdekes malware-t [18] .

A leírt közösségről alkotott elképzelésének megvalósításaként, amely a kompromittáló rendszerek módszereinek azonosításával foglalkozik, Joanna ugyanezen a konferencián bemutatta a nyílt módszertanok projektjét a kompromisszumok felderítésére [19] ( eng.  open Methods for kompromiss detection Ez a projekt szeptember legelején indult a Biztonsági és Nyílt Methodológiák Intézetével [20]  (Eng.) A Yoanna által vezetett projekt célja a rosszindulatú programok és rootkitek Windows rendszereken történő észlelésének módszertanának kidolgozása volt. szabvány meghatározása mind a kutatók, mind az ezt a folyamatot automatizáló eszközök fejlesztői számára [21] .

2006. január 25-én Joanna előadást tartott a Black Hat Federalban [22]  (eng.) , amelyre január 23. és 26. között került sor Washingtonban ( USA ) a "Hunting for rootkits against kompromiss detection" [23]  témában. (eng.) [ 24] . Az előadás a rendszerkompromisszumok típusainak leírásával foglalkozott, és bemutatta azokat a módszereket is, amelyek segítségével a támadó a klasszikus rootkit technológia használata nélkül érheti el a teljes láthatatlanságot. Az előadás során Joanna olyan hagyományos rootkit trükköket vizsgált meg, mint az újraindítás, a folyamatok elrejtése és a socketek megnyitása. Bemutatta új DeepDoor rootkitjét is (amelyről nem volt hajlandó elárulni semmilyen részletet), amely képes az NDIS kód feltörésére [25] négy szó módosításával azon a memóriaterületen, ahol az NDIS tárolja az adatait. A bemutató során Joanna bemutatta, hogy rootkit-je hogyan végezte el a forgalom megfelelő elfogását, annak ellenére, hogy a ZoneAlarm tűzfal blokkolta a hozzáférést. Végül Joanna kijelentette, hogy nincs biztonságos módja a kernelmemória olvasásának a Windows rendszerben. Véleménye szerint a Microsoftnak lehetővé kellene tennie külső cégek számára, hogy kernelmemória-védelmi megoldásokat kínáljanak. A szakértők, akik megtekintették ezt a bemutatót, lenyűgöző munkának és őrültségnek minősítették [26] .

Ugyanez az előadás hangzott el 2006. február 1-jén az IT-Defense [27]  konferencián (eng.) , amely január 30. és február 3. között zajlott a németországi Drezdában [ 28] [29] .

Később, a bemutatott besorolás alapján, mégpedig 2006. november 24-én, Yoanna közzétette malware besorolásának egy kibővített változatát , amelyhez hozzátette különösen a harmadik típusú malware-t [30] .

A COSEINC kutatási időszaka (2006–2007)

Joanna COSEINC-kel való hivatalos munkája kezdetének pontos dátuma nem ismert. Ez azonban köztudottan 2006 márciusa-áprilisa körül történt, ahogy Joanna egy márciusi interjúban biztonsági kutatóként jellemezte magát, aki IT-biztonsági projekteken dolgozik a világ különböző vállalatainál [31] , azonban június végén blogjában azt írta, hogy a Blue Pill -t kizárólag a COSEINC számára fejlesztették ki [32] , és 2006 márciusában kezdett el dolgozni ezen a projekten [33] .

2006. május 13-án felszólalt a CONFidence [34]  (Eng.) számítógép-biztonsági konferencián, amelyet május 13. és 14. között tartottak Krakkóban [35] [36] . A „ Rootkits vs. Stealth by Design Malware  (hozzáférhetetlen link) ”( orosz „Rootkitek a láthatatlan kártevők ellen” ), a rootkitek működésével kapcsolatos kérdéseknek szentelték .

2006. június 22. Joanna közzéteszi a legújabb Blue Pill fejlesztésének előzetesét a blogjában , amelyen az elmúlt néhány hónapban dolgozott. Yoanna fejlesztését 100%-ban észlelhetetlen szoftverként írja le. A program ötlete meglehetősen egyszerű volt: a Blue Pill bevezetése után a támadott számítógépen a cél operációs rendszer teljes mértékben az ultravékony Blue Pill hipervizor irányítása alatt áll , és mindez menet közben történik (vagyis , a rendszer újraindítása nélkül). Nincsenek továbbá teljesítményveszteségek, amelyek minden "normál" virtuális gépre jellemzőek, az összes rendszereszköz teljes mértékben elérhető az operációs rendszer számára, ami az SVM / Pacifica néven ismert AMD technológia használatával érhető el. Bár ez az ötlet általában véve nem új, Joanna leírja a különbségeket a korábban bemutatott SubVirt rootkittől [32] .

2006. június 28- án az eWeek portál közzétesz egy cikket " A Blue Pill Prototype Creates 100% Undetectable Malware " ( orosz "Blue Pill Prototype Creates 100% Undetectable Malware " ), amely a Joanna Blue Pill fejlesztésével foglalkozik. Ryan Narayen Yoanna blogbejegyzésére hivatkozva alapvetően megismétli, amit Yoanna írt. A cikk sok zajt és heves vitákat vált ki. 2006. július 1-jén Joanna maga írja blogcikkében " The Blue Pill Hype " ( oroszul: "The Blue Pill Excitement" ):

a cikk általában pontos, kivéve egy részletet - a címet, ami félrevezető. Azt írja, hogy egy „100%-ban észlelhetetlen szoftvert létrehozó Blue Pill prototípust” már megvalósítottak, ami nem igaz. Ha ez így lenne, akkor az implementációmat nem nevezném prototípusnak, ami a termék nagyon korai verzióját jelenti [37] .

Ráadásul ugyanebben a cikkben Joanna cáfolja azokat a pletykákat, amelyek szerint munkáját az Intel Corporation (az AMD fő versenytársa a processzorpiacon) szponzorálta volna. Joanna azt állítja, hogy a munkáját a COSEINC Research fizette, amelynek akkoriban dolgozott, és egyáltalán nem az Intel. Joanna csak a Blue Pill-t valósította meg az AMD64 architektúrán , mert korábbi kutatásai (a COSEINC esetében is) Vista x64-re vonatkoztak, ahol az AMD64 processzort vásárolták a futtatáshoz. És annak ellenére, hogy a Blue Pill-t az Intel VT-hez szeretné áthelyezni, Joannának nincs közvetlen terve erre a szabadidő hiánya miatt.

2006. július 21. Joanna befejezi a 2006. július 20-21-én Szingapúrban tartott SyScan '06 konferenciát [38] . A konferencia szervezője Thomas Lim , a COSEINC vezérigazgatója , ahol Joanna akkoriban dolgozott. Yoanna előadásának hivatalos neve "Subverting Vista Kernel for Fun and Profit" volt , és két részből állt. Az első részben bemutatott egy általános módszert (azaz különösebb hiba nélkül), hogy rosszindulatú kódot illesszen be a Windows Vista Beta 2 kernel legújabb 64 bites verziójába, ezzel sikeresen megkerülve a Vista sokat hangoztatott kódaláírását. jelölje be. Ráadásul a bemutatott támadáshoz még a rendszer újraindítása sem volt szükséges.  

A beszéd második része (informálisan, mivel lényegében alcím volt) az "Introducing Blue Pill" ( orosz "Introducing Blue Pill" ) címet viselte, amelyen belül bemutatja új fejlesztését "Blue Pill". A beszéd általános célja az volt, hogy bemutassa a lehetőségét (hamarosan vagy már) észlelhetetlen kártevők létrehozásának, amelyek nem kötődve semmilyen fogalomhoz, de bizonyos algoritmusként veszélyt jelentenek [39] .

2006. augusztus 3- án a Las Vegas - i Black Hat Briefings konferencián ismét bemutatja Blue Pill nevű fejlesztését , de mivel ez a konferencia jelentős figyelmet kelt a szakkiadványok körében, ez a fejlesztés nagy zajt keltett az informatikai közösségben, és elhozta Yoanna világát. hírnév. Ezen a konferencián a Microsoft bemutatta új Windows Vista operációs rendszerét az informatikai szakemberek széles köre számára. A bemutató során az operációs rendszer kiadás előtti példányait terjesztették (valójában ezek a rendszer akkori utolsó stabil kiadásának másolatai voltak) [40] . 2006 márciusában a Microsoft már tartott egy különleges találkozót a hackerekkel ("Blue Hat 3" néven), amelyen az általános biztonsági kérdéseket vitatták meg [41] . Ezért a kapott információkat figyelembe véve a Microsoft képviselői a Vistát a legbiztonságosabb Windows operációs rendszerként pozícionálták. Az előadás során John Lambert , a Microsoft részlegének vezetője a korábban a béta verziókban talált javított rendszersebezhetőségekről beszélt [40] . Egy idő után Joannán volt a sor, hogy beszéljen. Előadása alatt az egész terem zsúfolásig megtelt, annak ellenére, hogy ez volt az utolsó nap utolsó beszéde a Black Hat biztonsági konferencia keretében. Kutatáshoz és demonstrációhoz Joanna a Windows Vista egyik korai tesztverzióját használta. A rendszer védelmének egyik módjaként a Microsoft olyan mechanizmust vezetett be, amely blokkolja az aláíratlan kódot (vagyis a digitális aláírás nélküli kódot ) a rendszer 64 bites verziójában. Joanna azonban megtalálta a módját, hogy megkerülje ezt az ellenőrzést. A támadáshoz rendszergazdai jogokra van szükség, amelyeket elméletileg a felhasználói fiókok felügyeleti (UAC) mechanizmusának kellett volna blokkolnia, ami korlátozza a felhasználói jogokat, és szükség esetén a felhasználó megerősítését igényli a fontos műveletek végrehajtásához. Arra a kérdésre azonban, hogy hogyan tudta megkerülni az UAC-t, Joanna azt válaszolta: "Csak az "Elfogadás" gombra kattintottam, miközben elmagyarázta, hogy ez az üzenet olyan gyakran jelenik meg a felhasználók számára, hogy automatikusan válaszolnak rá, még nem is igazán értik, hogy ezt teszik. Az előadás során maga Joanna a következőket nyilatkozta: 

Az a tény, hogy ezt a mechanizmust megkerülik, nem jelenti azt, hogy a Vista teljesen bizonytalan. Nem olyan biztonságos, mint ahogy hirdetik. Rendkívül nehéz megvalósítani a 100%-os kernelbiztonságot.

Beszédét az amúgy is szenzációs Blue Pill projekt [42] bemutatásával zárta .

A Microsoft válasza meglehetősen nyugodt volt. Tehát 2006. augusztus 7- én Austin  Wilson a következőket írta a vállalat egyik hivatalos, a Windows Vista biztonságával foglalkozó blogjában , hangsúlyozva, hogy rendszergazdai jogokkal rendelkezik a megtámadott rendszerben:

Joanna kétségtelenül rendkívül tehetséges. Bemutatta azt a módot, ahogyan rendszergazdai jogosultságokkal rendelkezők aláíratlan kódot fecskendezhetnek a Windows Vista 64 bites verzióinak kernelébe. Egyesek úgy értelmezték, hogy a Microsoft bizonyos biztonsági újításai haszontalanok. Ez nem igaz. Két dolgot fontos megérteni: a biztonság terén nincs "ezüstgolyó", és rendkívül nehéz védekezni egy rendszergazdai jogokkal rendelkező számítógép konzoljában ülő felhasználó támadása ellen. Mindkét demonstráció az illesztőprogram aláírásával és a virtualizációval kapcsolatban azzal a feltételezéssel indult, hogy a kódot végrehajtani próbáló személy már rendelkezik rendszergazdai jogosultságokkal az adott számítógépen [43] .

Ezzel a válasszal azonban nem minden elemző értett egyet. Például Chris Kaspersky a Yoanna által közölt információkat elemezve kifogásolta:

Például rendszergazdai jogokkal (és a "Blue Pill" megköveteli) ez nem is lehetséges! És valójában mi lehetséges velük ?! Aláíratlan illesztőprogram betöltése, vagy bármilyen más legális módon a kernel szintre kerülése lehetetlen, ami sok problémát okoz mind a rendszergazdáknak, mind a fejlesztőknek. Őfelsége Biztonság nevében ezt el lehetne viselni, ha a Microsoft betömné az összes kiskaput, de kiderül, hogy kénytelenek vagyunk lemondani a szabadságjogok és a kényelem egy részéről, cserébe felajánlva... semmit! Hol itt a logika?! Mint mindig, a logika a Microsoft oldalán van, akinek egyetlen dologban sikerült – glükodromjait a piacon népszerűsíteni [44] .

Felismerve a Blue Pill projekt sikerét, Joanna röviddel ezután létrehoz egy kis kutatócsoportot a COSEINC-en belül, "Advanced Malware Labs" néven, melynek fő célja az volt, hogy a virtualizáción alapuló kártevők területén tovább dolgozzanak. Néhány hónapos munka után azonban a vállalat megváltoztatta a prioritásokat, és a Blue Pill -lel kapcsolatos munkát lezárták [45] .

2006. szeptember 21- én Joanna ismét előadást tart " A Vista Kernel felforgatása szórakozásból és profitból " a Hack In The Box 2006 [46] konferencián Kuala Lumpurban , Malajziában . A Blue Pill konferencián bemutatott verziója ugyanaz maradt, de a Windows Vista RC1 [47] új kiadását használták a támadott operációs rendszerként (míg korábban a Windows Vista Beta 2 [48] verzióját használták ).

Period with Invisible Things Lab (2007 - jelen)

2007 áprilisában Joanna úgy dönt, hogy elhagyja a COSEINC-t, és létrehozza saját cégét, az "Invisible Things Lab" (" Láthatatlan dolgok orosz laboratóriuma "), amely tanácsadói szolgáltatásokra és kutatásra szakosodott az információbiztonság területén. Saját cégének létrehozása nagy felhajtás nélkül zajlott, debütálása a júliusi Black Hat USA-ra készült. A cég neve „Láthatatlan dolgok” című blogja nevének játéka volt, amely akkorra már nagyon népszerűvé vált. 2007. május 1-jén az orosz Alekszandr Tereshkint (más néven 90210-et), szintén a COSEINC AML [45] [49] korábbi tagját alkalmazzák főfejlesztőnek . A cég jogilag bejegyzett Varsóban , Lengyelországban . Nincs fizikai irodája. Maga Joanna ezt mondja a cégéről:

Büszkék vagyunk arra, hogy egy modern cég vagyunk. Egyáltalán nincs fizikai irodánk. Mindenki otthonról dolgozik, és titkosított leveleken keresztül cserélünk információkat. Nálunk nincs kilenctől ötig ülő alkalmazottunk az irodában. Az általunk végzett munka kreativitást igényel, és ostobaság lenne rákényszeríteni az embereket, hogy ragaszkodjanak a rögzített menetrendhez [3] .

A cég az operációs rendszerek és a virtuális gépek biztonságára specializálódott, és különféle tanácsadási szolgáltatásokat nyújt. 2008-ban Rafal Voychuk csatlakozott a céghez, aki korábban Joannával és Alexanderrel is együttműködött [50] . Alekszandr Tereshkin az ITL vezető nyomozója. Yoanna szerint ő és Alexander fenyegetéskutatási és tanácsadói projektekben vesznek részt, de Alexander egy kicsit több időt szentel a programozási munkának, Rutkovszkaja pedig közvetlenül az üzleti feladatokra összpontosít [51] .

2007. május 10-én nyitotta meg az NLUUG konferenciát , amelyet a hollandiai Edében tartottak [52] [53] . A „ Virtualizáció – Az érem másik oldala című jelentését ismét a Blue Pill projektnek szentelte [54] . Az előadás során a közelmúltban bevezetett virtualizációs technológia előnyeit és hátrányait vették figyelembe. A jelentés jelentős része megismételte a Yoanna által tavaly a Black Hat konferencián bemutatott „Subverting Vista Kernel” című jelentés anyagát, de csak a virtualizáció témájára korlátozódott (a Windows Vista kernel elleni támadás megvitatása nélkül), és „filozófiai” szempontból is megvizsgált még néhány kérdést [12] .

2007. május 13-án Joannát a CONFidence 2007 konferencián , amelyet május 12-13-án Krakkóban tartottak [55] . A riportja, amely az „A la carte” („ orosz nyelven választható ”) feltételes nevet kapta, valójában több előre elkészített témából állt (azokból a riportokból, amelyekről Joanna akkoriban beszélt), és a közönségnek konkrétat kellett választania. témát a szavazással javasoltak közül. Az előadásra azonban Joanna betegsége miatt nem került sor [56] . (Egyébként ez az oka annak, hogy Joanna jelentése szerepel a CONFidence honlapján, de nem tölthető le [57] .)

2007. május 16-án nyitja meg a 2007 -es Info-Security Conference  (a link elérhetetlen) rendezvényét Hongkongban [52] [58] . Az „Emberi tényező vs. Technológia” („ Oroszország. Az emberi tényező a technológiával szemben ”), Joanna az operációs rendszerek biztonságának biztosításában a korszerű problémákat vizsgálta mind a felhasználó, mind a műszaki szempontból, és felvázolta gondolatait ezeknek a problémáknak a megoldásáról a jövő [59] .

2007. május 31. Joanna felszólal a Security@Interop Moscow 2007 kiállításon és kongresszuson Moszkvában „Láthatatlan vírusok – a jófiúk nyernek” [52] [60] vitaindító beszédével .

2007. július 28-án Joanna Alekszandr Tereshkinnel a Black Hat USA Training 2007: Weekend Session keretében megtartja a Understanding Stealth Malware tréninget a Black Hatnál , amely július 28. és augusztus 2. között zajlott az Egyesült Államokban, Las Vegasban [ 52] [61] . A tanfolyam résztvevői lehetőséget kaptak arra, hogy mélyebben elsajátítsák a rejtett malware alapjait, interakcióját az operációs rendszerrel, hardverrel és hálózattal. A kurzus részeként a hallgatók megismerkedhettek és kísérletezhettek több kiadatlan rootkit koncepcióval, amelyet kifejezetten ehhez a kurzushoz készítettek, és hasonlóak a Deepdoor, FireWalk, Blue Pill és másokhoz. Röviden átgondolták kimutatásuk kérdését is [62] .

Néhány nappal később, augusztus 2-án pedig Joanna és Alexander bemutatta az „ IsGameOver(), valaki? "(" Rus. GameOver() vagy bárki más? ") [52] [63] . A jelentés alapját a Vista x64 kernel "menet közbeni" új gyakorlati módszere képezte, valamint a TPM/Bitlocker technológia hiányosságainak vizsgálata az ilyen támadások szempontjából. A jelentés jelentős részét a virtualizációt használó rosszindulatú szoftverekkel kapcsolatos új részletek bemutatásának szentelték. Ez magában foglalta a különböző észlelési módszereket, amelyek akár a virtualizáció használatának észlelésére, akár magának a rosszindulatú programnak a megtalálására használhatók. Megfontolták a rosszindulatú programok általi védelem megkerülésének módszereit és a beágyazott virtualizáció megvalósításának lehetőségeit [64] .

2007. szeptember 17. Joanna felszólal a Gertner IT Security Summit rendezvényen Londonban , az Egyesült Királyságban [52] .

2007. október 23-án felszólalt a Nordic Virtualization Forumon, amelyet Stockholmban , Svédországban tartottak [52] .

2007. november közepén Joanna előadást tartott az "Információs technológia és az emberi tényező" címmel az oroszországi informatikai igazgatók kongresszusán, amelyet Rostov-on-Donban , Oroszországban tartottak . Jelentését egy olyan új megközelítésnek szentelte, amely lehetővé teszi a virtualizáció hardveres támogatásával rendelkező processzorok irányítását [65] .

2007-ben demonstrálja a megbízhatatlanságot és bizonyos típusú (például FireWire alapú) hardver alapú memória megkerülésének képességét [66] .

2008-ban Rutkowska és csapata a Xen hypervisor biztonsági kutatására összpontosított [67] .

2008. március 25-én Tereshkinnel együtt képzést tart a rejtett szoftverekről az amszterdami Black Hatben [52] .

2008. április 8-án előadást tartott egy jelentős RSA konferencián az Egyesült Államokban , San Franciscóban [52] [68] .

2008. április 24-én felszólal a RISK konferencián Oslóban , Norvégiában [52] .

2008. május 16-án a különlegesen meghívott szakértők egyikeként " Biztonsági kihívások virtualizált környezetekben  (elérhetetlen link) " (" Oroszország. Biztonsági kérdések virtuális környezetben ") című előadásával megnyitja a CONFidence 2008 konferenciát , amelyen hely május 16. és 17. között Krakkóban [69] . Az előadást a virtuális környezet különböző lehetséges biztonsági problémáinak szentelték: virtualizáción alapuló rootkitek (például Blue Pill ), izolált virtuális gép szereplők, virtuális gép „bizalmi” problémái, beágyazott virtualitás és annak hatása a virtuális rendszerek biztonságára [ 70] .

2008. augusztus 4-én Tereshkinnel együtt képzést tart a rejtett szoftverekről a Las Vegas-i Black Hatben [52] . A konferencia egyik kulisszatitkai interjújában arra a kérdésre, hogy kutatásai hogyan befolyásolják a hipervizorok ipari felhasználását, Joanna azt válaszolta, hogy „munka egyik előnye, hogy az emberek egyre tudatosabbak a hipervizorral, de a fő cél továbbra is az. információkat közölni a megoldásszolgáltatókkal, akiknek tisztában kell lenniük az alkalmazás veszélyeivel, hogyan védekezhetnek ellenük és kijavíthatják azokat” [71] .

2008. augusztus 7-én, a Black Hat konferencián Joanna, Rafal és Alexander bemutatták, hogy a DQ35JO alaplap BIOS -ában talált hiba többek között lehetővé teszi a Xen hypervisor memóriavédelmének megkerülését . Néhány héttel később az Intel kiadott egy BIOS-frissítést a hiba kijavítására, majd Rutkowska közzétette a támadási mechanizmus összes részletét [72] és az azt bemutató kódot [73] . A támadás a lapkakészlet memória-újratérképezésén vagy AKA memória-visszanyerési képességén alapult, és lehetővé teszi a processzorban vagy lapkakészletben megvalósított bizonyos memóriavédelmi mechanizmusok megkerülését. Ezenkívül hasonló módon megkerülheti a memóriavédelmi SMM -t, miután teljes hozzáférést kapott hozzá. Később ezt a sérülékenységet az SMM sebezhetőségeinek tanulmányozása során részletesebben is megvizsgálták, lehetővé téve számukra az SMM bináris kódjának tanulmányozását, amely lehetővé tette számukra, hogy további sebezhetőségeket találjanak benne [74] .   

2008. december 10-én bejelentették, hogy új biztonsági réseket fedeztek fel az Intel Product Security Response Centerben az SMM-hez kapcsolódóan. A talált SMM biztonsági rések mindegyike egyetlen tervezés eredménye, amely bizonyos funkciókat nem biztonságos módon valósít meg. Ennek eredményeként több mint 40 potenciális sérülékenység található az SMM motorban (a kísérleteket DQ35JOE alaplapon végezték, és 2008 decemberétől az összes javítás elérhető volt). A talált sebezhetőségek közül csak kettőt teszteltek meglehetősen sikeresen, mivel Joanna és ... nem látta gyakorlati értelmét a többi használatának. Véleményük szerint erre a problémára a megfelelő megoldás a meglévő SMM-kezelők teljes újratervezése lenne. Az Intel képviselői személyes levelezésükben megerősítették a "mobil, asztali és szerver alaplapok" problémáját anélkül, hogy részleteket és sebezhető modelleket említettek volna. Yoanna és ... azt javasolták, hogy az összes nemrégiben kiadott Intel alaplapot érinti a támadás.

Az Intel megígérte, hogy 2009 nyaráig kijavítja a firmware-t, ugyanakkor azt kérte, hogy ne fedjék fel az SMM sebezhetőségeinek részleteit, amíg az összes vonatkozó javítás elkészül. Ezért a sérülékenységek részletes leírását a 2009. július végére tervezett Black Hat USA 2009 konferencián kellett bemutatni. Az Intel képviselői elmondták, hogy értesítették a CERT -et erről a problémáról, mivel szerintük más gyártók BIOS-ai is tartalmazhatnak hasonló hibákat. A CC CERT ehhez a hibához a VU#127284 [74] sorozatszámot rendelte hozzá .

2008. szeptember 2. Joanna egy oslói IT-biztonsági fórumon beszél [52] .

2009. február 18-án Joanna kollégájával , Rafal Voychukkal együtt bemutatta Attacking Intel Trusted Execution Technology  ( hozzáférhetetlen hivatkozás) című jelentését a Black Hat DC 2009 konferencián , amelyet 2009. február 16. és 19. között tartottak Crystal Cityben (Arlington, Virginia). ) ( en ) [75] [76] . A jelentés a 2008 végén felfedezett Intel Trusted Execution Technology (az Intel vPro márka része ) és az Intel System Management Mode védelmi technológiák megkerülésének módszerével foglalkozik .

A riport elején szót ejtettünk azokról a sebezhetőségekről, amelyek lehetővé teszik a Dynamic Root of Trust Measurement (DRTM) technológia megkerülését, amely általában veszélyezteti a modern rendszerek jelentős részét. Ezután a vita a Static Root of Trust Measurement (röviden SRTM) problémáira terelődött, pontosabban annak szükségességére, hogy minden kódrészletet ellenőrizni kell, amely a rendszer indítása után fut [77] .

Mint ismeretes, az Intel Trusted Execution Technology (röv. TXT), amely a "késői indítás" (vagy késleltetett indítás ) megvalósítása, nem ellenőrzi a rendszer állapotát indítás előtt, így lehetővé teszi a rendszer biztonságos indítását még a rendszerindításkor is. fertőzött számítógép. De Joanna és Rafal rájött, hogy a TXT nem biztosít futásidejű védelmet, azaz banális puffertúlcsordulás elleni védelmet a hypervisor kódban . A TXT-t csak az indításkor történő védelemre tervezték, vagyis ez a mechanizmus biztosítja, hogy a betöltéskor betöltődő kód valóban az legyen, amelyet le kell futtatni. Van azonban egy olyan rendszerszoftver, amelyben meg kell bízni. Az ilyen töredéket rendszerkezelési módnak (röv. SMM) hívják és hívják.

Az SMM, amely a processzoron futó szoftverek legkiváltságosabb típusa, megkerülheti a frissen indult virtuális gépen a késői indításkor végrehajtott biztonsági ellenőrzéseket (de hamis az az állítás, hogy az SMM-et egyáltalán nem ellenőrzik). Így a TXT késői indítási funkciója elleni támadás két szakaszban történhet:

  1. az SMM rendszerkezelő fertőzése,
  2. fertőzött SMM-kezelőtől frissen letöltött biztonsági kód fertőzése.

Yoanna és Rafal olyan kódot mutatott be, amely a tboot modullal betöltött Xen hypervisor elleni hasonló támadást demonstrálja . A Tboot biztonságos Linux és Xen rendszerindítást biztosít Intel TXT késői indítási funkcióval. Elméletileg a tbootnak biztosítania kell, hogy a megfelelő (azaz nem módosított) Xen hypervisor indítása után (és csak ebben az esetben!) a megfelelő adatok betöltődnek a TPM regiszterekbe. De a gyakorlatban ez azt jelenti, hogy a Xen hypervisornak csak egy bizonyos (megbízható) verziója lesz képes elérni a TPM védett területeit, és/vagy képes pozitívan azonosítani magát interakcióhoz (például egy rendszergazda laptopjával). a "Távoli tanúsítás" TPM speciális funkció használatával ( " orosz. Távoli ellenőrzés "). Így Joanna és Rafal megmutatta, hogy egy fertőzött SMM-kezelő segítségével lehetőség van egy újonnan betöltött virtuális gép módosítására, vagyis a támadás teljesen megkerüli a TXT által a letöltés védelmében biztosított összes védelmi mechanizmust.

Az ilyen támadások elleni védelemként az Intel kifejlesztett egy SMM Transfer Monitor (röv. STM) nevű mechanizmust, amely egyfajta környezet (vagy "homokozó"), amelyben a meglévő SMM-kezelőket virtualizáción keresztül helyezik el VT-x és VT- segítségével. d. Ebben az esetben az STM-et interaktív hipervizornak ( angol  peer hypervisor ) kell felfogni a késői indítás miatt betöltött virtuális gépek számára, és a késői indítás során elemezni kell az STM-et. De a bemutató idején ez a technológia még mindig nem volt elérhető, mert az Intel képviselői szerint (magánlevelezésben) "nem volt kereskedelmi értelme" [74] .

2009. május 15-én „ Gondolatok a megbízható számítástechnikáról  (elérhetetlen hivatkozás) ” című jelentésével (“ Russzi gondolatok a megbízható információfeldolgozásról ”) felszólal a CONFidence 2009 konferencián , amelyet 2009. május 15. és 16. között tartottak Krakkóban [78 ] . A jelentés teljes mértékben a Trusted Computing technológiának szentel: mi ez, a technológiát alkotó főbb blokkok (TPM, VT és TXT) és elérhetőek a modern berendezésekben, az ilyen berendezések használatának forgatókönyveinek megvitatása, valamint a az elméleti funkcionalitás és használatának gyakorlati korlátai közötti különbségek [79] .

2009. május 26-án Joanna előadást tartott a londoni EuSecWest rendezvényen [52] .

2009. július 25-én Joanna és Alexander rejtett szoftveres tréningnek ad otthont a Black Hatben Las Vegasban [52] .

2009. július 27-én Joanna és Rafal virtualizációs biztonsági tréninget tartanak a Las Vegas-i Black Hatben [52] .

2009. szeptember 15-én előadást tartott az Intel Security Summit rendezvényen Hillsborough-ban (Oregon, USA ) [52] .

2009. október 29-én előadást tartott a Computerbild Anti-Virus-Symposiumon Hamburgban [52] .

2009. november 24-én Joanna vitaindító beszédet tart a müncheni Universität der Bundeswehr biztonsági szemináriumán [52] .

2010. április 16-án előadást tartott a madridi CampusParty EU rendezvényen [52] .

Fejlesztés és kutatás

Red Pill

2004 novemberében Joanna közzétette a Red Pill program kódját és az általa kihasznált sebezhetőség leírását. A program neve (valamint a Blue Pill projekt neve) a „ Mátrix ” című filmből származik, ahol az egyik jelenetben a főszereplőnek két pirula közül választhat: kék – a rendszerben (a Mátrixban), piros - kijutni belőle. Rutkowska egy piros pirula lenyelését egy nullától eltérő értéket (vagyis hibaüzenetet) visszaadó szubrutinhoz hasonlítja, amely a filmben lehetővé tette a hős számára, hogy rájöjjön, hogy egy virtuális világban van. A program fő feladata az volt, hogy demonstrálja a virtuális gép használatának meghatározását a processzor SIDT utasításával, amely nem privilegizált módban fut, de visszaadja az operációs rendszeren belül használt regiszter tartalmát.

A fő technika, amely lehetővé tette ezt, a megszakításleíró tábla ( angol  interrupt descriptor table register , rövidítés IDTR) regiszterének helyének elemzése volt. A SIDT utasítás az IDTR tartalmát a megadott operandusba helyezi, azaz elhelyezi a memóriában, és az IDT tábla meghatározott címre történő áthelyezéséről beszélünk.

Yoanna először néhány évvel korábban vette észre a SIDT utasítás eme furcsa viselkedését, amikor egy Suckit rootkitet tesztelt a VMWare-en. Ez a rootkit teljesen helyesen működött valódi operációs rendszeren, de virtuális gépen futtatva hibát adott. Joanna több órát töltött azzal, hogy rájöjjön, hogy a probléma a SIDT-ben van, amelyet Suckit használt az IDT-tábla címének lekérésére.

Ugyanakkor maga Joanna sem tagadja, hogy előtte is végeztek hasonló vizsgálatokat. Így például hivatkozik egy 2000-ben USENIX -ben megjelent dokumentumra , amely a virtuális gépek Intel processzorokon való megvalósításának problémájával foglalkozik. A megvitatott problémák között szerepelt a SIDT-vel kapcsolatos probléma is.

A projekt ötletét Joanna októberben mutatta be az IT Underground 2004 rendezvényen Varsóban , Lengyelországban . A konferencia után , október 18-án Dave Eitel közzétette beszámolóját a konferenciára tett utazásáról, amely jelentős érdeklődést váltott ki. Ennek eredményeként Joanna rengeteg e-mailt kezdett kapni olyan emberektől, akik azt akarták tudni, "hogyan lehet egyetlen utasítással észlelni a VMWare használatát" [12] [14] .

Végül 2004. november 14- én Joanna kiadta a Red Pill-t egy kis C program forráskódjaként [14] . Ezt a kódot Intel processzoron futó Windowson kellett lefordítani [80] .

De sajnos ennek a programnak voltak hibái, és a program fő hátránya az volt, hogy nem képes észlelni a hardver virtualizációját:

Különbség van a virtualizáció meghatározása és egy adott hipervizor, például a BluePill meghatározása között, amelyet korábban tárgyaltunk. Nem szabad elfelejteni, hogy a RedPill célja a VMWare termékek által használt szoftvervirtualizáció meghatározása volt, még az Intel és az AMD VT-x/AMD-v bevezetése előtt (2006 előtt). Az eredeti, 2004-ben megjelent RedPill detektorom nem képes a hardveres virtualizáció észlelésére [3] .

NUSHU

2004 decemberében Joanna előadást tartott a 21. Chaos Communication Kongresszuson Berlinben a Linux kernel 2.4-es verziójának titkos csatornáiról. Ehhez az előadáshoz egy olyan koncepcióprogramot készített, amely bemutatja a vállalati hálózatok rejtett csatornáiból eredő lehetséges veszélyeket, és ezáltal a kutatók számára adatokat szolgáltat ezeken a csatornákon keresztül az elemzéshez.

Egy Joanna által írt kísérő megjegyzés szerint a programot nem tesztelték alaposan, és csak magának az ötletnek a bemutatása [81] .

2005. január 2-án Joanna a honlapján bejelentette a NUSHU anyagok és kód felfedezését [14] .

A program felkeltette az érdeklődést a hacker közösségben, aminek eredményeként számos módszert javasoltak ennek a programnak az észlelésére. Például Stephen Murdoch és Stephen Lewis, a Cambridge Computer Laboratory ( www.cl.cam.ac.uk ) munkatársa 2005 áprilisában publikált egy tanulmányt a TCP/IP titkos csatornáiról. Ebben a dokumentumban különösen a NUSHU elven alapuló rejtett csatornák kimutatására szolgáló módszer leírását mutatjuk be, és a „Lathra” [14] [82] nevű rejtett csatornák ötletének új megvalósítását javasoljuk .

2005. november közepén Jevgenyij Tumojan és Maxim Anikejev, a Taganrog Állami Egyetem munkatársa közzétett egy dokumentumot " Passzív rejtett csatornák hálózati alapú észlelése TCP/IP-ben " , amely egy új módszert ír le a rejtett csatornák [83] . Egy hónappal később ezt a dokumentumot ingyenes áttekintésre közzétették [14] .

Stephen Murdoch 2005. december végén a 22. Káosz Kommunikációs Kongresszuson felszólaló előadásában kifejezetten a NUSHU program technikai részleteire összpontosított . Maga Joanna is „nagyon menőnek” tartotta ezt az előadást [14] .

FLISTER

A FLISTER egy koncepciókód, amely bemutatja a Windows rootkitek által rejtett fájlok egyszerre történő észlelését mind felhasználói, mind kernel módban. A program a hibák kihasználásán alapul (általában a rootkit szerzők által okozott) függvényhívások kezelésében , IGAZ ZwQueryDirectoryFile()metódussal [84] . ReturnSingleEntry

A program 2005 elején íródott [85] . 2005. január 24- én Joanna közzétette a program forráskódját [14] .

A 2007 elején végzett tesztek azt mutatták, hogy ez a program nemcsak instabil volt, hanem "gyakorlatilag lehetetlen a rootkitek felismerése ezzel a programmal" [86] .

modGREPER

A modGREPER egy rejtett modul-detektor Windows 2000/XP/2003 rendszerhez. A program átvizsgálja a kernel által használt összes memóriát (címeket 0x80000000 — 0xffffffff), olyan struktúrákat keresve, amelyek érvényes modulleíró objektumoknak tűnnek [84] . A program eddig csak a két legfontosabb objektumtípust ismeri fel: egy meglehetősen jól ismert _DRIVER_OBJECTés _MODULE_DESCRIPTION. A modGREPER rendelkezik valamilyen beépített mesterséges intelligenciával (pontosabban több logikai szabálykészlettel, amelyek leírják a struktúra lehetséges mezőit), amely lehetővé teszi annak megállapítását, hogy az adott bájtok valóban leírják-e a modulobjektumot.

Ezután a modGREPER összeállítja a talált objektumok listáját, összehasonlítja azokat egymással, végül az eredményül kapott listát összehasonlítja a dokumentált API -függvények (EnumDeviceDrivers) segítségével kapott kernelmodulok listájával.

Feltételezték, hogy a modGREPER mindenféle használatban lévő modult képes észlelni a program kiadásakor. Ezenkívül egyes modulok „GYANÚSÍTOTT” (" rus. Suspicious ") jelölést kaphatnak. Ez azokra a nem rejtett modulokra vonatkozik, amelyek megfelelő képfájljai vagy hiányoznak, vagy rejtett könyvtárakban találhatók (a rootkit rejti el, nem a rendszer). Ez a viselkedés azért történt, mert a legtöbb rootkit meg sem próbálja elrejteni a kernelmoduljait az API elől.

A program képes észlelni és listázni a betöltetlen kernelmodulokat is. Ez néha lehetővé teszi a fejlettebb (illesztőprogram nélküli) kernel rootkiteket. Ennek a listának azonban vannak korlátai: korlátozott a hatóköre, és csak a modul fő (alap) nevét tartalmazza (az elérési út megadása nélkül).

Joanna azonban maga is elismerte, hogy teljesen lehetséges olyan rootkiteket írni, amelyek nem alkalmasak ilyen ellenőrzésre. Sőt, egy ilyen program kiadásának fő céljaként ő maga is azt a vágyat jelölte meg, hogy a hackereket kifinomultabb rootkitek írására ösztönözze [87] .

A program első verziója (0.1) 2005. június 6- án , a második és legújabb verziója (0.2) 2005. június 14- én jelent meg [88] .

A 2007 elején végzett tesztek azt mutatták, hogy ez a program nemcsak instabil volt, hanem "gyakorlatilag lehetetlen a rootkitek felismerése ezzel a programmal" [86] .

System Virginity Verifier

A program egy kis konzol-segédprogram, amelyet a parancssorból indítanak el. Az SVV mögött meghúzódó ötlet az, hogy megvizsgálja az alapvető Windows rendszerelemeket, amelyeket a különféle rosszindulatú programok módosítani kívánnak. Az ellenőrzés lehetővé teszi a rendszer integritásának garantálását és a rendszer lehetséges fertőzésének azonosítását [84] .

2005. szeptember végén a Hack In The Box konferencián Kuala Lumpurban , Malajziában bemutatta a program első verzióját (1.0) [89] . 2005. október 3- án Joanna közzéteszi honlapján a program első változatát [14] . 2005. november 1-jén jelent meg a program első stabil verziója (1.1) [90] .

A 2005 végén végzett tesztek azt mutatták, hogy a program csak "korlátozott számú tesztet" valósított meg, és csak azokat a rootkiteket észlelte, amelyek "adataik csak egy részét rejtik el, vagy törlik magukat a rendszer újraindítása előtt" [91] .

2006. január 25- én, a Black Hat konferencián a Federal kiadta a 2.2-es verziót [92] .

A legújabb verzió (2.3) 2006. február 27- én jelent meg [90] .

2006. május 12- én Joanna a blogján bejelentette, hogy az SVV forráskódja nyílt forráskódú, mert elmondása szerint nincs ideje továbbfejleszteni, de továbbra is helyesnek és ígéretesnek tartja a programban alkalmazott megközelítést. . A licenc alapján, amellyel a kódot megnyitotta, lehetővé teszi a felhasználók számára, hogy bármit tegyenek a forráskóddal, egészen a kereskedelmi célú felhasználásig [93] .

A 2007 elején végzett tesztek azt mutatták, hogy ez a program nemcsak instabil volt, hanem "gyakorlatilag lehetetlen a rootkitek felismerése ezzel a programmal" [86] .

Blue Pill

Joanna 2006 márciusa óta gondolkodik egy ilyen projekten, amikor is az AMD új AMD-V virtualizációs technológiáról (korábbi nevén Pacifica) szóló dokumentációja megérkezett hozzá. Az első, ezt a technológiát támogató processzorok május végén kerültek a piacra, és már június első hetében Joannának sikerült megszereznie egy ilyen processzort Lengyelországban. Ettől a pillanattól kezdve pontosan hat napba telt, mire megírta a Blue Pill [33] első működő változatát . A programot a 2006. augusztus 3-án Las Vegasban tartott Black Hat Briefings konferencián mutatták be [45] .

Amikor a Microsoft tavaly bejelentette, hogy a rendszermag védve lesz a [jogosulatlan] kód betöltésével szemben, azt gondoltam: "Hmmm, ez egy érdekes rejtvény. Játszani kéne ezzel [5] .

Egyes rootkit-szakértők (például Greg Hoagland , aki az egyik első rootkitet írta Windowshoz) azzal érveltek, hogy a virtuális gépeken alapuló rootkitek csak laboratóriumi játékok, és nem jelentenek valódi veszélyt. Válaszul Yoanna ellenezte, hogy ez az állítás igaz lehet az olyan programokra, mint a SubVirt, amelyet a Microsoft Research és a University of Michigan fejlesztett ki , de nem a Blue Pill vagy a Vitriol esetében, mivel ezek hardveres virtualizáción alapulnak, nem szoftveren [94] .

Röviddel a COSEINC AML bezárása után Joanna megalapította az Invisible Things Lab-t, majd a Blue Pill-en folytatódott a munka. Joanna és Alekszandr Tereshkin úgy dönt, hogy új Blue Pill rootkitet írnak (a New Blue Pill névre hallgatva, hogy megkülönböztesse az új Blue Pill-t az eredetitől), hogy azt további kutatásokhoz és oktatási célokra is felhasználhassák. Az új Blue Pill kódjának nagy részét Tereshkin írta. Az új Blue Pill jelentősen eltért az eredetitől, nem csak az új funkciók megvalósításában, hanem az architektúra változásaiban is (már a XEN 3-ban használt HVM-hez hasonlított).

A Rong Fan újratervezte az  új Blue Pill-t, hogy az Intel processzorokkal működjön, miközben támogatja az Intel VT-x hardvervirtualizációját. Ron a VT-x alapú beágyazott virtualizáció támogatását is hozzáadta a következő NBP-ekhez, de ez a kód a korlátozott közzétételi megállapodás miatt nem publikálható, de az AMD hardveres virtualizációhoz hasonló támogatás nyílt forráskódú.

2007 ősze óta az amerikai Phoenix Technologies [45] cég támogatja az új Blue Pill kidolgozását .

Qubes

2010. április 7. Joanna bejelentette egy új, rendkívül biztonságos Qubes operációs rendszer kifejlesztését (az angol  kockákból  - kockák, kockák). Az operációs rendszerrel kapcsolatos munka 2009 decemberében kezdődött, körülbelül két hónapig tartott a rendszer megtervezése, majd megkezdődött a kódolási szakasz [95] . A Qubes architektúrát Yoanna és Rafal tervezte, a grafikus felület virtualizációs kódját Rafal, a rendszer többi részét pedig nagyrészt Yoanna írta [96] .

Az operációs rendszer nevével kapcsolatban maga Joanna a következőket mondja [95] :

Ó, szerintem ez elég nyilvánvaló. A Qubes  olyan sajátos módja a Cubes szó írásának , és minden ilyen „kockának” egy virtuális gépet kell szimbolizálnia. Amikor egy virtuális gép védelmi célú használatára gondolunk, egyfajta ketrecet vagy kockát képzelünk el, vagyis olyasmit, ami képes tartalmazni és korlátozni azt, ami benne van (például egy rosszindulatú program).

Eredeti szöveg  (angol)[ showelrejt] Ó, bár ez elég nyilvánvaló volt. A Qubes csak egy divatos módja a Cubes írásának , és minden egyes "kocka" egy virtuális gépet (VM) jelképez. Amikor egy virtuális gépre gondolunk biztonsági szempontból, akkor valamiféle ketrecre vagy kockára gondolunk, valamire, ami képes elzárni és börtönbe zárni bármit, ami benne van (pl. rosszindulatú program).

Valójában a fejlesztés egyfajta kiegészítője a Fedora 12 operációs rendszernek . Jelenleg a Qubes nem rendelkezik saját telepítővel, így a fejlesztők minden szükséges RPM-csomagot elkészítettek és ezen a rendszeren tesztelték. A fejlesztők feltételezik, hogy a Qubes más, RPM-csomagokat támogató Linux rendszereken is működni fog, de ezt a funkciót még nem tesztelték. Saját telepítőjük megírása után a fejlesztők a Qubest egy önálló rendszerré akarják alakítani, amelyhez nincs szükség más operációs rendszerek telepítésére [97] .

Az Alpha 2 1. kiadását 2010. június 11- re tervezték , az első béta 2010. szeptember 1-jén, az első stabil pedig 2010. december 31- én [98] .

Az 1.0-s verzió 2012. szeptember 3-án jelent meg [99] [100] .

Díjak és eredmények

Személyi számítógépes felszerelés

Személy szerint az Apple termékeket kedveli [5] .

Joanna számos más nem Apple számítógépet is használ (laptopokat és asztali számítógépeket egyaránt) [3] .

Érdeklődési körök és hobbik

Joanna hobbija " egy autonóm hatujjú robot programozása , amelynek agya két 8 bites mikrokontrolleren alapul" [3] .

Személyes élet

2007-ben egy újságíró arra a kérdésére, hogy Joanna mit tart a legnagyobb eredményének, így válaszolt: „Boldog életet a párommal” [4] .

Érdekes tények

Jegyzetek

  1. A lengyel-orosz gyakorlati átírás szerint . Egyes orosz nyelvű forrásokban a nevét kettős átírással rögzítik (az angol változaton keresztül) - Joanna Rutkowska.
  2. Invisible Things Lab – Erőforrások archiválva 2010. június 11. a Wayback Machine -nél 
  3. 1 2 3 4 5 6 7 8 9 10 11 12 Dmitrij Csekanov. Interjú Joanna Ratkowskával: Virtualizáció, rootkitek és hipervizorok . Tom's Hardware (2009. augusztus 10.). Hozzáférés dátuma: 2010. december 14. Az eredetiből archiválva : 2012. március 8.
  4. 1 2 3 Hacker Joanna Rutkowska . Letöltve: 2010. június 9. Az eredetiből archiválva : 2016. március 4..
  5. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Black Hat Woman archiválva 2009. június 22-én a Wayback Machine -nél 
  6. 1 2 Joanna Rutkowska - o sobie i bezpieczeństwie systemów operacyjnych Archivált : 2010. augusztus 26., a Wayback Machine  (lengyel)
  7. 1 2 Rutkowska: A víruskereső szoftver nem  hatékony
  8. A cégről Archiválva : 2010. június 12. a Wayback Machine -nél 
  9. CONFidence 2007 – konferencja bezpieczeństwo sytemów, ochrona fizyczna, security Joanna Rutkowska Archivált 2012. március 9. a Wayback Machine -nél 
  10. A Linux kernel hátsó ajtói és észlelésük archiválva 2011. július 20-án a Wayback Machine -nél 
  11. Rootkit-észlelés Windows rendszereken archiválva 2011. július 20-án a Wayback Machine -nél 
  12. 1 2 3 Előadások és konferencia előadások Archiválva : 2011. július 8. a Wayback Machine -ben 
  13. IT Underground utazási jelentés Archivált 2011. július 26. a Wayback Machine -nél 
  14. 1 2 3 4 5 6 7 8 9 Invisiblethings.org. Hírarchívum Archiválva : 2011. július 8. a Wayback Machine -nél 
  15. Passzív fedőcsatornák a Linux kernelben archiválva 2020. november 29-én a Wayback Machine -en 
  16. Bújócska: A rosszindulatú programok észlelésének ütemtervének meghatározása Windows rendszeren Archiválva : 2011. április 18. a Wayback Machine -nél 
  17. Hack In The Box archiválva : 2007. augusztus 10. a Wayback Machine -nél 
  18. HITBSecConf2005 - Malajzia " Joanna Rutkowska archiválva : 2007. február 8. a Wayback Machine -nél 
  19. Nyílt módszerek a kompromisszumészleléshez archiválva : 2010. június 14. a Wayback Machine -nél 
  20. Biztonsági és Nyílt Módszertani Intézet . Letöltve: 2010. július 1. Az eredetiből archiválva : 2010. július 22..
  21. (OWASP-NewJersey) Fw: (ISECOM-news) új projekt megjelent -  OMCD
  22. Black Hat Federal 2006 . Letöltve: 2010. augusztus 6. Az eredetiből archiválva : 2010. augusztus 6..
  23. Rootkit Hunting vs. Kompromisszumfelismerés . Letöltve: 2010. augusztus 6. Az eredetiből archiválva : 2010. augusztus 4..
  24. Black Hat Briefings Federal 2006 menetrend archiválva 2010. augusztus 6. a Wayback Machine -nél 
  25. A Windows hálózati illesztőprogram-interfész specifikációja archiválva : 2008. április 6. a Wayback Machine -nél 
  26. Black Hat Federal 2006 összefoglaló, 3. rész archiválva : 2021. június 17. a Wayback Machine -nél 
  27. IT-Defense 2006 (elérhetetlen link) . Letöltve: 2010. augusztus 6. Az eredetiből archiválva : 2009. október 12.. 
  28. IT DEFENSE 2006 | AGENDA archiválva : 2009. október 12. a Wayback Machine -nél  (német)
  29. IT DEFENSE 2006 | VORTRÄGE Archiválva : 2007. október 23. a Wayback Machine -nél 
  30. Bemutatkozik a Stealth Malware Taxonomy , archiválva : 2011. július 20. 
  31. Stealth malware: Interjú Joanna Rutkowskával Archiválva 2020. augusztus 11-én a Wayback Machine -nél 
  32. 1 2 A Blue Pill bemutatása archiválva 2010. július 1-én a Wayback Machine -nél 
  33. 1 2 3 4 Joanna Rutkowska - wywiad dla HACK.pl Archiválva : 2020. augusztus 5. a Wayback Machine -nél  (lengyel)
  34. CONFidence 2006 (a link nem érhető el) . Letöltve: 2010. június 10. Az eredetiből archiválva : 2010. október 10. 
  35. CONFidence 2006 - utazási jelentés Archivált 2009. május 11-én a Wayback Machine -nél 
  36. Materiały zgodnie z programem konferencji Archiválva : 2009. szeptember 1., a Wayback Machine  (lengyel)
  37. The Blue Pill Hype archiválva : 2010. február 5. a Wayback Machine -nél 
  38. A hangszóróról Archiválva : 2010. július 13. a Wayback Machine -nél 
  39. Archív program archiválva : 2010. július 13. a Wayback Machine -nél 
  40. 1 2 A Microsoft jó fogadtatásban részesül a Black Hatnél Archiválva : 2013. október 17. a Wayback Machine -nél 
  41. A Microsoft feloldja a leplet a hackerkonferenciáról Archiválva : 2013. november 10. a Wayback Machine -nél 
  42. A Vista feltörve a Black Hatnél Archiválva : 2011. június 16. a Wayback Machine -nél 
  43. Back From Black Hat Archiválva : 2014. május 2. a Wayback Machine -nél 
  44. Kék pirula/piros pirula - a mátrixon windows longhorn van Archiválva az eredetiből 2012. február 25-én.  (Orosz)
  45. 1 2 3 4 Blue Pill Project archiválva : 2009. február 17. a Wayback Machine -nél 
  46. HITBSecConf2006 – Malajzia: A KONFERENCIA NAPIRENDJE archiválva : 2009. január 5. a Wayback Machine -nél 
  47. HITB – A kutató még nehezebbé teszi a Blue Pill észlelését. Archiválva : 2020. december 1., a Wayback Machine -nél 
  48. A hackerkonferencián a Microsoft elismerést kap az  erőfeszítésekért
  49. A Rutkowska elindítja a saját  indítást
  50. Evolution archiválva : 2010. május 7. a Wayback Machine -nél 
  51. Iron Lady archiválva : 2010. május 25. a Wayback Machine -nél  (orosz)
  52. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 Események archivált 2010. július 9-én a Wayback Machine -nél 
  53. Voorlopig tijdschema Archivált 2011. június 14-én a Wayback Machine -nél  (n.d.)
  54. Virtualizáció – Az érem másik oldala Archiválva : 2011. június 14. a Wayback Machine -nél 
  55. CONFidence 2007 - konferencja bezpieczeństwo sytemów, ochrona fizyczna, security Napirend archiválva : 2011. április 1., a Wayback Machine  (lengyel)
  56. Korábbi események Archiválva : 2011. július 8. a Wayback Machine -nél 
  57. CONFidence 2007 - konferencja bezpieczeństwo sytemów, ochrona fizyczna, security.Prezentacje Archivált : 2009. október 31. a Wayback Machine -nél  (lengyel)
  58. A 8. Info-Biztonsági Konferencia, 2007. Napirend  (lefelé hivatkozás  )
  59. A 8. Infobiztonsági Projekt. Kisasszony. Joanna Rutkowska  (nem elérhető link)  (angol)
  60. A leghíresebb női hacker a Don-i Rosztovban lép fel a CIO Summit Rostov keretében . Letöltve: 2010. június 9. Az eredetiből archiválva : 2016. március 4..
  61. Black Hat USA 2007 Training Sessions archiválva 2010. december 17. a Wayback Machine -nél 
  62. A lopakodó kártevők megértése archiválva 2010. december 18. a Wayback Machine -nél 
  63. Black Hat Briefings and Training USA 2007. Shedule archiválva : 2010. december 13. a Wayback Machine -nél 
  64. Black Hat USA 2007 témák és előadók archiválva 2010. december 13. a Wayback Machine -nél 
  65. Az IT igazgatók kongresszusán a biztonságról beszéltek
  66. A CPU-n túl: A hardver alapú RAM-gyűjtő eszközök legyőzése . Letöltve: 2010. június 9. Az eredetiből archiválva : 2010. február 8..
  67. A Xen virtualizáció elnyeli a "kék pirulát" (a link nem érhető el) . Letöltve: 2010. június 9. Az eredetiből archiválva : 2013. december 8.. 
  68. Az RSA Absurd archiválva : 2012. március 15. a Wayback Machine -nél 
  69. CONFidence 2008 - konferencja bezpieczeństwo sytemów, security.Speakers Archivált : 2011. február 24. a Wayback Machine -nél 
  70. CONFidence 2008 - konferencia bezpieczeństwo sytemów, biztonság. Joanna Rutkowska Archivált : 2016. március 4. a Wayback Machine -nél 
  71. Black Hat 2008: The Zen of Xen archiválva 2016. október 16-án a Wayback Machine -nél 
  72. Joanna Rutkowska és Rafal Wojtczuk. A Xen Hypervisor Subversions észlelése és megelőzése. Bemutatták a Black Hat USA-ban, Las Vegas, NV, USA,  2008
  73. Rafal Wojtczuk, Joanna Rutkowska és Alekszandr Tereshkin. Xen 0wning Trilogy: kód és demók. http://invisiblethingslab.com/resources/bh08/ Archiválva : 2010. június 9., a Wayback Machine , 2008.  (angol)
  74. 1 2 3 Rafal Wojtczuk és Joanna Rutkowska – Az Intel Trusted Execution Technology támadása Archiválva : 2010. október 18. a Wayback Machine -nél 
  75. Black Hat DC Briefings 2009 Archiválva : 2010. július 31. a Wayback Machine -nél 
  76. Black Hat Briefings DC 2009 ütemterv archiválva 2010. augusztus 1. a Wayback Machine -nél 
  77. Black Hat DC 2009-es utazási  beszámoló
  78. CONFidence 2009 - konferencia bezpieczeństwo sytemów, biztonság. Hangszórók archiválva : 2010. augusztus 16. a Wayback Machine -nél 
  79. CONFidence 2009 - konferencia bezpieczeństwo sytemów, biztonság. Joanna Rutkowska Archiválva : 2011. április 1. a Wayback Machine -nél 
  80. ↑ Red Pill... vagy hogyan lehet észlelni a VMM-et (majdnem ) egy CPU utasítás használatával Archiválva 2007. szeptember 11. a Wayback Machine -nél 
  81. NUSHU Passzív rejtett csatorna TCP ISN számokban. Readme Archiválva : 2011. július 8. a Wayback Machine -nél 
  82. Rejtett csatornák beágyazása TCP/IP -be Archiválva : 2006. február 8. a Wayback Machine -nél 
  83. Passzív rejtett csatornák hálózat alapú észlelése TCP/  IP -ben
  84. 1 2 3 Eszközök és elméleti kódok archiválva : 2011. július 8. a Wayback Machine -nél 
  85. FLISTER – a Windows rootkitek által rejtett fájlok feltárása. Readme Archiválva : 2011. július 8. a Wayback Machine -nél  
  86. 1 2 3 Modern ARK-k – az észlelés illúziója? Archiválva : 2016. március 5. a Wayback Machine -nál 
  87. modGREPER Readme Archiválva : 2011. július 8. a Wayback Machine -nél 
  88. modGREPER változásnapló Archiválva : 2011. július 8. a Wayback Machine -nél 
  89. Rendszer szüzesség-ellenőrző. A rosszindulatú programok észlelésének ütemtervének meghatározása Windows rendszeren archiválva 2011. július 8-án, a Wayback Machine -en a Hack In The Box biztonsági konferencián 
  90. 1 2 SVV változásnapló archiválva : 2011. július 8. a Wayback Machine -nél 
  91. Polowanie na Duchy  (lengyel) 2005.11.28 .
  92. Rootkit Hunting vs. Kompromisszumészlelés archiválva : 2011. július 8., a Wayback Machine at Black Hat Federal 2006, 2006. január 25  .
  93. SVV-forráskód nyilvános! Archivált : 2009. július 20. a Wayback Machine -nél 
  94. Rutkowska: A víruskereső szoftver nem hatékony (2. oldal  )
  95. 1 2 Interjú Joanna Rutkowskával! Archiválva : 2010. május 30. a Wayback Machine -nél 
  96. Qubes GYIK archiválva 2010. július 27. a Wayback Machine -nél 
  97. Qubes felhasználói GYIK archiválva : 2010. augusztus 7. a Wayback Machine -nél 
  98. Útiterv – Qubes archiválva 2010. június 4-én a Wayback Machine -nél 
  99. Qubes OS 1.0 / Habrahabr . Letöltve: 2012. szeptember 21. Az eredetiből archiválva : 2012. szeptember 15..
  100. The Invisible Things Lab blogja: Bemutatkozik a Qubes 1.0! . Letöltve: 2012. szeptember 21. Az eredetiből archiválva : 2012. szeptember 7..
  101. Öt hacker, aki nyomot hagyott 2006-ban  (nem elérhető link)  (eng.) , Ryan Narain, eWeek.com
  102. 12 "White Hat" hacker, akit ismerned kell Archiválva 2010. június 15., a Wayback Machine -nél 
  103. Invisible Things Lab, Bitlocker/TPM megkerülése és néhány konferencia gondolat Archivált 2011. augusztus 12. a Wayback Machine -nél 
  104. Zero For 0wned's Summer of Hax Archiválva : 2010. március 6. a Wayback Machine -nél 

Linkek

Weboldalak és blogok Cikkek Interjú Egyéb
  Ugrás a Wikidata elemre  A közösségi hálózatokon
Bibliográfiai katalógusokban