יומן אבטחה

החוקרת Joanna Rutkowska מפרסמת בבלוג שלה כי הצליחה לבנות אבטיפוס של Rootkit שאינו ניתן לגילוי, שם קוד גלולה כחולה (Blue Pill).

בגדול טענתה היא כזו:

1. כל ה-Rootkits למיניהם מבוססים על קונספט כלשהו. מרגע שגילית מהו הקונספט ניתן לבנות כלי שיאתר את התוכנה. בקיצור, שמירת ה"איך" בסוד הופכת את גילוי ה-Rootkit לבעייתי.
2. היא פיתחה אבטיפוס שגם ידיעת ה"איך" שלו לא תאפשר את הגילוי שלו ואבטיפוס זה מתבסס על יכולות ה-Virtualization החדשות של מעבדי AMD - Pacifica (להסבר כנסו לכאן ותתחילו מהמאמר הראשון, למרות שהקישור הוא לשלישי). עד כמה שאני מבין (ואני מנסה להסביר משהו שהוא לגמרי מעבר לתחום הידע שלי) האבטיפוס שלה מנצל את העובדה ש-AMD מאפשרת Virtualization בחומרה, להבדיל מהמצב המוכר לנו של Virtualizaion בתוכנה.
3. לאחר הפעלת ה-Rootkit מערכת ההפעלה רצה מעל ה-Rootkit (כך לפחות הבנתי) וכל התהליך קורה בזמן ריצה, בלי פגיעה במשאבים כלשהם.
4. מאחר ומדובר על ניצול יכולות החומרה של AMD זה יהיה שקוף למערכת ההפעלה ואינו תלוי מערכת הפעלה. היא ניסתה זאת על גרסת 64bit של חלונות ויסטה, אך כעיקרון זה אמור לרוץ בכל מערכת שרצה על מעבדי 64bit של AMD.
5. לא מדובר על באג בתכנון השבב אלא על ניצול יכולותיו המתועדות. לטענתה אם ניתן יהיה לגלות את ה-Rootkit המשמעות היא באג ב-Pacifica של AMD.

האבטיפוס אמור להיות מוצג בכנס Syscan בסינגפור

חוץ מזה היא מתכננת להציג מתקפה גנרית להזרקת קוד שרירותי לחלונות ויסטה תוך עקיפת מנגנון החתימה הדיגיטלית שאמור לוודא כי רק קוד חתום רץ במערכת. הכשל נובע לטענתה מבעיית תכנון במערכת ההפעלה.

חוץ מזה אין יותר פרטים, יהיו יותר אחרי Syscan ואחרי כנס Blackhat (כך היא אומרת וכך אני מקווה).

מחשבה שעלתה לי בלילה: יייתכן ולא ניתן לאתר את ה-Rootkit לאחר שהוא מתחיל לפעול, אך מאחר והוא נכנס דרך מערכת ההפעלה, ייתכן מאוד וניתן לזהות ולמנוע ממנו לפעול לפני שהוא רץ.