ОКНО ДИАЛОГА: Железная леди
ОКНО ДИАЛОГА: Железная леди
Автор: Родион Насакин
Конгресс и выставку корпоративных ИТ – Interop Moscow 2007, второй раз проходившую в России, посетила целая плеяда весьма известных в компьютерной (в том числе андеграундной) тусовке личностей. В частности, для доклада и участия в конференции на тему информационной безопасности в Россию прибыли Джоанна Рутковска и ее коллега Александр Терешкин. Вместе они не так давно создали компанию Invisible Things Lab, занимающуюся консультированием по вопросам ИТ-безопасности.
Популярность Джоанны резко выросла после того, как eWeek Magazine в прошлом году отметил ее в числе "великолепной пятерки" самых заметных хакеров. Таким образом, журналисты оценили выступление на прошлогодней конференции Black Hat, где она продемонстрировала два метода взлома второй беты Windows Vista.
Первый из них заключается в использовании руткита Blue Pill. Название – "синяя пилюля" было навеяно фильмом «Матрица». Действие руткита Джоанна сравнивала с невидимым мировым контролем глобальной информационной системы, подсовывающей пользователям виртуальную иллюзию действительности. Blue Pill действительно работает через виртуальную машину AMD Pacifica и способна использовать обращения системы к этой машине для незаметного перехвата управления ОС гипервизором. Подробнее об этом докладе уже писал Бёрд Киви (КТ № 1-2 от 18 января 2007).
Выбор технологии виртуализации вызвал несколько обвинений в адрес эксперта по поводу финансирования ее исследований конкурентами компании. Однако Джоанна отмела эти домыслы, заявив, что Blue Pill без особых сложностей может быть «портирован» и под аналогичную технологию процессорной виртуализации Intel Vanderpool. Второй метод заключается в обходе системы проверки целостности с тем же результатом.
После этого выступления Рутковска неоднократно делала заявления об обнаружении новых уязвимостей в Windows Vista и выступала с критикой в адрес Microsoft, утверждая, что слова представителей корпорации о высочайшей защищенности ОС не соответствуют истине. Другой излюбленной темой докладов Рутковской является несовершенство современной архитектуры ПК, из-за которой даже аппаратные средства защиты не способны обеспечить настоящую безопасность.
Сейчас Джоанна – непременный участник всех крупных мировых конференций и круглых столов, посвященных информационной безопасности, и, видимо, уже звезда. По крайней мере, после окончания круглого стола на Interop, ее окружила толпа поклонников (видимо, начинающих хакеров), выпрашивающих автограф, и добиться беседы с ней оказалось не самым простым делом. На некоторые вопросы также ответил Александр Терешкин.
Женщина-хакер – это необычно. Почему вы выбрали для себя это занятие?
– Не считаю себя хакером, скорее исследователем в сфере безопасности. Почему выбрала эту карьеру? Потому что меня интересовала информатика, «начинка» ОС и еще я люблю челленджи.
Вы знаете многих женщин-хакеров?
– Нет, их очень мало. Думаю, меньше пяти, к сожалению. Интересно, что все они американки.
Существуют ли элементы некоего «женского стиля» в технике работы?
– Никакого специфического подхода к решению компьютерных задач, в зависимости от того женщина вы или мужчина, нет. Пол действительно не имеет значения.
Какие элементы или службы в современных ОС наиболее уязвимы? В какие «дыры» наиболее просто «пролезть» злоумышленнику?
– Самая чувствительная составляющая любой ОС – это ядро. Я провела большую исследовательскую работу в последние несколько лет, для того чтобы показать, что на сегодняшний день ядро современной ОС чрезвычайно уязвимо. Таким образом, мне кажется, что главные усилия, прежде всего в академической сфере, следует приложить для создания эффективной системы, основанной на микроядерной архитектуре. То есть само ядро можно сделать очень маленьким, и тем самым свести к минимуму количество потенциальных багов. Вообще, на вопрос, какие «дыры» наиболее легки для проникновения, невозможно дать хороший ответ.
Вы неоднократно говорили, что эффективная защита в современных условиях невозможна. Что же сделать обычному пользователю для обеспечения своей безопасности?
– Сегодня – только молиться, что он не будет жертвой умно поставленной атаки.
64-битная версия Windows безопаснее, чем Windows x86?
– Я так не думаю. Самые современные 32-битные процессоры поддерживают NX-бит (non-executable bit, реализует запрет на выполнение), благодаря чему становится возможным использовать DEP – одну из Windows-технологий защиты от экплойтов столь же эффективно, как и на 64-битных процессорах.
Что же касается Vista x64, то эта версия ОС содержит два дополнительных средства безопасности, а именно, проверка на наличие электронной подписи у всех драйверов, работающих с ядром, а также т. н. технологию Patch Guard [Другое название – Kernel Patch Protection, функция безопасности в ОС, отвечающая за мониторинг ядра и обнаружения перехвата и попыток модификации кода ядра. Технология призвана защитить ядро, как от вредоносного, так и от вполне нейтрального кода, который может оказать негативное влияние на работу ОС]. Однако обе эти технологии относительно легко обойти (например, новые методы загрузки неподписанного кода в ядро мы будем обсуждать в конце июля в Лас-Вегасе), и я не считаю, что их можно расценивать в качестве дополнительного уровня безопасности.
Руткиты в моде
В Panda Labs бьют тревогу. В Интернете резко увеличивается количество вредоносных кодов, использующих технологии сокрытия следов своей деятельности (файлы, запущенные процессы и модификации системного реестра) от защитного ПО. По данным антивирусной компании руткиты становятся все более популярными у создателей spyware и троянов, рассчитанных на кражу банковских реквизитов. Между тем адекватной ответной активности от софтверных компаний и разработчиков антивирусов пока не последовало. Системы безопасности, которые могли бы выявлять по косвенным признакам и поведению кода скрытые угрозы, пока не очень распространены.
В прошлом году количество обнаруженных руткитов выросло на 62 %, а по итогам 2007 года, если верить прогнозам, нас ждет, как минимум, 40-процентный рост. Рейтинг наиболее опасных угроз на момент составления отчета возглавляли руткиты Nurech.A/B, Bagle.HX и Abwiz.A.
Расколотое Ядро
Придуманный Джоанной метод внедрения кода в ядро Windows Vista в обход стандартных защитных процедур ОС стал возможным из-за того, что система допускает прямой доступ пользователя с правами администратора к содержимому винчестера из приложений. Достаточно просто Джоанна спровоцировала переход составляющих ядра из оперативной памяти в файл подкачки – это обычная системная операция. Затем она открыла этот файл, и в разделе драйверов, заменила одну из стандартных процедур на руткит, который затем был запущен в оперативную память.
На вашем семинаре Understanding Stealth Malware речь идет об инструментах, позволяющих обходить защиту ядра Windows Vista x64, Можно об этом подробнее?
– Да, мы представили новые пути внедрения неподписанного кода в ядро Vista x64. Наша цель была – продемонстрировать, что архитектура семейства Windows, включая Vista, крайне неудачна, и в Microsoft должны кардинально ее изменить для лучшей защиты ОС. Мы хотим продемонстрировать, что нынешних средств, используемых в Windows, таких как TPM/Bitlocker [Система защиты BitLocker с помощью микросхемы TPM (Trusted Platform Module), расположенной на материнской плате, шифрует весь жесткий диск и гарантирует безопасность даже в момент загрузки системы. В Microsoft позиционируют эту функцию, как наиболее эффективное средство для сохранения конфиденциальности данных корпоративных пользователей и рекомендуют использование TPM/BitLocker в рабочих ноутбуках ответственных лиц компаний. Вместо TPM можно использовать USB-ключ или парольную защиту] или подписывание драйверов, недостаточно для защиты ядра, в то время как Microsoft говорит обратное. Это, кстати, относится и к Linux, которая имеет очень схожую с Windows архитектуру.
А.Т.: – Даже если предположить, что атакующему неизвестны способы внедрения неподписанного кода в ядро Vista, у него всегда остается возможность воспользоваться официальным путем – покупкой сертификата за 250 долларов. Это лишний раз говорит о том, что защита, построенная на проверках подписей, не может быть абсолютно надежна.
Одной из главных тем вашей работы является крайняя сложность обнаружения вредоносного кода, использующего технологии виртуализации. Эффективные средства для идентификации таких угроз в современном программном и аппаратном обеспечении отсутствуют. Вы говорили, что производители должны снабдить архитектуру своих продуктов инструментами контроля и обнаружения зловредного ПО в виртуальных машинах. Появился ли интерес со стороны ИТ-гигантов, таких как Intel, AMD или Microsoft?
– Мне неизвестно ни о каких шагах Intel и AMD по созданию эффективных средств обнаружения этих угроз. Хотя некоторые разработчики ОС, в том числе Microsoft планируют снабдить свои системы встроенными гипервизорами. Вероятно, этот процесс начнется через два года или около того. Остается надеяться, что эти гипервизоры будут достаточно надежными средствами контроля за виртуальными машинами.
А.Т.: – Некоторые дистрибутивы Linux уже содержат компонент KVM (Kernel-based Virtual Machine), использующий расширения виртуализации современных процессоров. Он способен исполнять немодифицированные Linux и Windows. Также, открытый проект по виртуализации серверов Xen, начиная с версии 3.0, использует расширения SVM и VT-x. В этом проекте принимают участие разработчики многих известных компаний, таких, как Intel, AMD и IBM. Разумеется, эти проекты не являются средствами обнаружения вредоносного кода, использующего виртуализацию, но их гипервизоры не должны позволить такому коду получить контроль над виртуальной машиной. Ситуация во многом схожа с переходом операционных систем на использование защищенного режима 80386: после установки супервизора ОС код, работающий в режиме виртуального 8086, более не мог сам стать супервизором.
Как складывается судьба Blue Pill? Вы не планируете выложить в открытый доступ сигнатуры к ней и протестировать эффективность современных антивирусов?
– Я написала работающий прототип Blue Pill приблизительно год назад и продемонстрировала ее в рамках конференции Black Hat в Лас-Вегасе и на многих других мероприятиях. В этом году в рамках нашего семинара в Вегасе мы собираемся представить другую, намного более зрелую реализацию Blue Pill, которая была переписана с нуля. Нынешняя версия может, например, обходить временной анализ даже в том случае, если детектор использует надежный источник данных о времени (например, протокол NTP). Также новая реализация полностью поддерживает работу со встроенными гипервизорами, так что можно запустить множество одних Blue Pill внутри других.
Никакой необходимости в опубликовании сигнатур нет, это ничего не изменит в эффективности обнаружения угрозы антивирусами. Каждый слушатель нашего семинара в Лас-Вегасе получит возможность скомпилировать, запустить и проанализировать рабочую версию Blue Pill. Ну а публиковать ее код в Интернете мы все же не собираемся.
По бизнес-стезе
Недавно вы вместе с Александром Терешкиным создали компанию In-visible Things Lab. Каковы основные направления деятельности? Можете ли вы рассказать о первых проектах компании?
– Invisible Things Lab – это консалтинговая компания, которая специализируется на вопросах безопасности ОС. Мы выделяем три основные группы клиентов. Первая категория – это разработчики защитного ПО и ОС, которым мы предлагаем наш продукт для оценки безопасности и консультационную поддержку. Другая группа – это корпоративные клиенты, заинтересованные в независимом аудите технологий ИТ-защиты, которые они планируют внедрить в компании. И, наконец, последняя категория – это правоохранительные структуры и органы следствия, которым мы помогаем находиться в курсе современных возможностей киберзлоумышленников, например, malware-угроз, проводя различные курсы обучения и семинары. К сожалению, я не могу говорить об отдельных проектах компании или называть наших клиентов в силу договоров о конфиденциальности.
Александр Терешкин – известный российский эксперт по руткитам и реверсному инжинирингу. В Invisible Things Lab он – главный исследователь. Мы зачастую вместе занимаемся изучением угроз и консультационными проектами, однако Александр немного больше времени уделяет программистской работе, а я сосредоточена непосредственно на бизнес-задачах.
У Джоанны есть «коллега» – другой крупный специалист по руткитам Марк Руссинович. Он очутился в центре внимания в 2005 году, когда обнаружил в DRM-системе для компакт-дисков от Sony BMG полноценный руткит.
Для многих поклонников Марка стало настоящим шоком, когда в прошлом году он продал свой сайт Sysinternals.com Microsoft и сам ушел трудиться туда же.
Кстати, что вы думаете об уходе Марке Руссиновича в Microsoft?
– Марк Руссинович – прекрасный эксперт по Windows, и тот факт, что он теперь в Microsoft нисколько не умаляет значимости этого человека. В Microsoft вообще работает много очень умных людей.
TOP-5: ПЯть самых заметных хакеров прошлого года по версии eWeek
H.D.Moore – автор ряда хакерских программ и известной open source-утилиты Metasploit Framework, используемой для создания эксплойтов и тестирования ПО на наличие «дыр» в защите. Эта программа вызывает неоднозначную реакцию у специалистов по ИТ-безопасности и софтверных разработчиков. С одной стороны это эффективный инструмент для самостоятельного отыскания уязвимостей и создания патчей, который используется некоторыми фирмами при проверке контроля качества выпускаемого софта.
С другой, ничто не мешает использовать Metasploit и злоумышленникам с гораздо менее благородными целями. В прошлом году H.D. Moore обновил свою программу, добавив в нее ряд новых возможностей для обнаружения потенциальных целей для вторжений. В частности, теперь программ «поддерживает» автоматические атаки через скриптовые сценарии.
Исследования H.D. Moore вошли в проект MoBB (Month of Browser Bugs), который позволил обнаружить уязвимости в драйверах WiFi и браузерах.
Джон «Джонни Кэш» ЭллЧ (Jon «Johnny Cache» Ellch), Дэвид Мэйнор (David Maynor) – Хакер Эллч сделал на Black Hat совместный доклад с бывшим исследователем из SecureWorks, посвященный уязвимостям беспроводных устройств. Основная порция критики пришлась на продукцию Apple, которая относительно редко попадает в зону внимания специалистов по ИТ-безопасности. Также докладчики указали на серьезные уязвимости в ПО Broadcom, D-Link и Toshiba.
Марк Руссинович (Mark Russinovich) – Его имя по сей день ассоциируется, в основном, со скандалом по поводу DRM-защиты, используемой в Sony BMG, после которого слово «руткит» перестало быть техническим термином и перекочевало в маркетинговый лексикон разработчиков антивирусного ПО. Разоблачения Руссиновича ярко проиллюстрировали неэффективность антивирусов в отношении соответствующих угроз. Последний год Марк, уже будучи сотрудником Microsoft, занимался в основном разработкой средств обнаружения руткитов и утилит, уничтожающих spyware и прочее скрытое вредоносное ПО на компьютере.
Джоанна Рутковска (Joanna Rutkowska) – Вошла в этот перечень благодаря демонстрации Blue Pill и доказательств беззащитности ОС перед угрозами, связанными с аппаратной виртуализацией.