Az észlelhetetlen fenyegetés

Tavaly augusztus elején zajlott a Black Hat konferencia az Egyesült Államokban, amelyen – akkor először – a Microsoft hivatalosan is képviseltette magát. Eközben a másik teremben – természetesen nem Redmond emberei – az operációs rendszer meghackelésén dolgoztak. Egy lengyel kutató, Joanna Rutkowska mutatta be, hogy miként lehet a Vistába beépített biztonsági funkciókat megkerülve nem hitelesített kódot futtatni a microsoftos szoftverkörnyezetben. A szakértő a virtualizációs technológiát felhasználva vált képessé ártalmas kód futtatására az operációs rendszeren – hasonló eljárással, mint ahogy jelenleg a rootkitek igyekeznek elrejteni magukat az adott számítógép védelmi feladatait ellátni hivatott szoftverek, szolgáltatások elől. Rutkowska Kék Pirulának (Blue Pill) nevezte el programját, utalván a nagysikerű Mátrix filmtrilógia első részére (további részletek itt).

Egy Zdnet blogban tett bejegyzésével Thomas Ptacek ismét a rootkit-szerű programmal foglalkozott. A korábban 100 százalékig észlelhetetlennek titulált programnak pont ezt a tulajdonságát próbálta megcáfolni a biztonsági kutató, kollégáival együtt. Tudni kell, hogy a rejtőzködéshez a Blue Pillnek készítenie kell egy másolatot az x86-os platformról, amit ellenőrizni tud. Ez pedig sok, percekben mérhető időbe telik, közölte Ptacek, hiszen az egész környezetet emulálnia kell az alkalmazásnak. Ahhoz, hogy a kutatók felfedezzék a digitális kártevőt, csak azt a területet kell megtalálniuk, amit a rootkit kifelejtett.

Múlt héten aztán Ptacek cége, a Matasano Security kihívta Rutkowskát egy versenyre. A lengyel származású szakértőt arra kérték fel, hogy álljon ki Blue Pilljével a cég védelmi programja ellen. Ehhez két laptopot biztosítottak volna, amelyet Rutkowska megkaphatott volna, ha sikertelenül járnak a biztonsági kutatók. Ő belement a fogadásba, néhány kitétellel. Öt noteszgépet akart és óránként 200 dollárt a rootkit kereskedelmi változatával töltött fejlesztési időért – a 12 hónap bére így 412 ezer dollárra jött ki.

A kihívás egyelőre nem kezdődött meg, a felek úgy döntöttek, hogy az idén is nemsokára esedékes Black Hat konferencián beszélik meg a további részleteket.