Gyurkity Péter
Jönnek az érzékelhetetlen számítógépes kártevők
A biztonsági szakértők egy része szerint a virtualizációs technológiák elterjedése észrevehetetlen kártevők megjelenését hozza magával, amelyek tevékenységét a jelenlegi módszerekkel nem lehet korlátozni.
Joanna Rutkowska, a szingapúri COSEINC kutatója vetette fel az általa "kék pirulának" nevezett módszer ötletét, amelynek révén a mai módszerekkel nem érzékelhető kártevők jelenhetnek meg, nagyrészt az új virtualizációs technológiák nyújtotta lehetőségek kihasználásával. Érvelése szerint a célpontként kijelölt operációs rendszeren nem korlátozható a támadó, amely a hardveres virtualizációt kihasználva teljes irányítást nyer a célrendszer felett.
A kutató arról ír blogjában, hogy az ily módon kifejlesztett kártevők a Mátrixból ismerős kék pirulát adják be az operációs rendszernek, amely így a támadó által kontrollált "világba" kerül, mit sem érzékelve a megváltozott helyzetből. Rutkowska érvelése szerint az SVM/Pacifica technológián alapuló módszer nem korlátozható, mi több, nem is érzékelhető a jelenlegi biztonsági megoldásokkal, jelenléte kizárólag akkor lepleződne le, ha maga a Pacifica is hibákat hordozna magában. A megoldás legnagyobb előnye, hogy az eredményes támadáshoz nincs szükség az operációs rendszer hibájára, biztonsági résére, vagyis a teljességgel védett rendszerek felett is bármikor átvehetik az irányítást.
A bejegyzésből megtudjuk, hogy a kártevő némileg hasonlít a Microsoft és a Michigan Egyetem által SubVirt rootkit néven kidolgozott megoldásra, amely szintén a virtualizáció kihasználásán alapul. Néhány különbség azért akad köztük: a Blu Pill bármikor, az operációs rendszer elindulását követően is alkalmazható, és a 64 bites architektúra teljesen hardveres virtualizációjára támaszkodik. Ez ellen még a Vista új biztonsági eszközei sem jelentenek majd védelmet, amit a Beta 2 verzión keresztül be is mutatnak a július 21-én esedékes szingapúri SyScan, illetve az augusztus 3-án induló Black Hat konferencián. Ez utóbbi rendezvényen ismerteti a Microsoft új operációs rendszerének biztonsági funkcióit, tehát mindenképpen érdekes találkozóra kerül majd sor.
A szoftver elérhetőségéről még nincs hír, a cég saját használatra tartogatja azt, az érdeklődők mindössze előadások formájában ismerkedhetnek meg magával a megoldással, illetve annak forráskódjával. Készítője szerint amennyiben a Pacifica mentes a hibáktól, a kártevő jelenlétét nem lehet majd érzékelni a megtámadott rendszerekben.
Joanna Rutkowska, a szingapúri COSEINC kutatója vetette fel az általa "kék pirulának" nevezett módszer ötletét, amelynek révén a mai módszerekkel nem érzékelhető kártevők jelenhetnek meg, nagyrészt az új virtualizációs technológiák nyújtotta lehetőségek kihasználásával. Érvelése szerint a célpontként kijelölt operációs rendszeren nem korlátozható a támadó, amely a hardveres virtualizációt kihasználva teljes irányítást nyer a célrendszer felett.
A kutató arról ír blogjában, hogy az ily módon kifejlesztett kártevők a Mátrixból ismerős kék pirulát adják be az operációs rendszernek, amely így a támadó által kontrollált "világba" kerül, mit sem érzékelve a megváltozott helyzetből. Rutkowska érvelése szerint az SVM/Pacifica technológián alapuló módszer nem korlátozható, mi több, nem is érzékelhető a jelenlegi biztonsági megoldásokkal, jelenléte kizárólag akkor lepleződne le, ha maga a Pacifica is hibákat hordozna magában. A megoldás legnagyobb előnye, hogy az eredményes támadáshoz nincs szükség az operációs rendszer hibájára, biztonsági résére, vagyis a teljességgel védett rendszerek felett is bármikor átvehetik az irányítást.
A bejegyzésből megtudjuk, hogy a kártevő némileg hasonlít a Microsoft és a Michigan Egyetem által SubVirt rootkit néven kidolgozott megoldásra, amely szintén a virtualizáció kihasználásán alapul. Néhány különbség azért akad köztük: a Blu Pill bármikor, az operációs rendszer elindulását követően is alkalmazható, és a 64 bites architektúra teljesen hardveres virtualizációjára támaszkodik. Ez ellen még a Vista új biztonsági eszközei sem jelentenek majd védelmet, amit a Beta 2 verzión keresztül be is mutatnak a július 21-én esedékes szingapúri SyScan, illetve az augusztus 3-án induló Black Hat konferencián. Ez utóbbi rendezvényen ismerteti a Microsoft új operációs rendszerének biztonsági funkcióit, tehát mindenképpen érdekes találkozóra kerül majd sor.
A szoftver elérhetőségéről még nincs hír, a cég saját használatra tartogatja azt, az érdeklődők mindössze előadások formájában ismerkedhetnek meg magával a megoldással, illetve annak forráskódjával. Készítője szerint amennyiben a Pacifica mentes a hibáktól, a kártevő jelenlétét nem lehet majd érzékelni a megtámadott rendszerekben.