ОКНО ДИАЛОГА: Железная леди
Автор: Родион Насакин
Конгресс и выставку корпоративных ИТ – Interop Moscow 2007, второй раз проходившую в России, посетила целая плеяда весьма известных в компьютерной (в том числе андеграундной) тусовке личностей. В частности, для доклада и участия в конференции на тему информационной безопасности в Россию прибыли Джоанна Рутковска и ее коллега Александр Терешкин. Вместе они не так давно создали компанию Invisible Things Lab, занимающуюся консультированием по вопросам ИТ-безопасности.
Популярность Джоанны резко выросла после того, как eWeek Magazine в прошлом году отметил ее в числе "великолепной пятерки" самых заметных хакеров. Таким образом, журналисты оценили выступление на прошлогодней конференции Black Hat, где она продемонстрировала два метода взлома второй беты Windows Vista.
Первый из них заключается в использовании руткита Blue Pill. Название – "синяя пилюля" было навеяно фильмом «Матрица». Действие руткита Джоанна сравнивала с невидимым мировым контролем глобальной информационной системы, подсовывающей пользователям виртуальную иллюзию действительности. Blue Pill действительно работает через виртуальную машину AMD Pacifica и способна использовать обращения системы к этой машине для незаметного перехвата управления ОС гипервизором. Подробнее об этом докладе уже писал Бёрд Киви (КТ № 1-2 от 18 января 2007).
Выбор технологии виртуализации вызвал несколько обвинений в адрес эксперта по поводу финансирования ее исследований конкурентами компании. Однако Джоанна отмела эти домыслы, заявив, что Blue Pill без особых сложностей может быть «портирован» и под аналогичную технологию процессорной виртуализации Intel Vanderpool. Второй метод заключается в обходе системы проверки целостности с тем же результатом.
После этого выступления Рутковска неоднократно делала заявления об обнаружении новых уязвимостей в Windows Vista и выступала с критикой в адрес Microsoft, утверждая, что слова представителей корпорации о высочайшей защищенности ОС не соответствуют истине. Другой излюбленной темой докладов Рутковской является несовершенство современной архитектуры ПК, из-за которой даже аппаратные средства защиты не способны обеспечить настоящую безопасность.
Сейчас Джоанна – непременный участник всех крупных мировых конференций и круглых столов, посвященных информационной безопасности, и, видимо, уже звезда. По крайней мере, после окончания круглого стола на Interop, ее окружила толпа поклонников (видимо, начинающих хакеров), выпрашивающих автограф, и добиться беседы с ней оказалось не самым простым делом. На некоторые вопросы также ответил Александр Терешкин.
Женщина-хакер – это необычно. Почему вы выбрали для себя это занятие?
– Не считаю себя хакером, скорее исследователем в сфере безопасности. Почему выбрала эту карьеру? Потому что меня интересовала информатика, «начинка» ОС и еще я люблю челленджи.
Вы знаете многих женщин-хакеров?
– Нет, их очень мало. Думаю, меньше пяти, к сожалению. Интересно, что все они американки.
Существуют ли элементы некоего «женского стиля» в технике работы?
– Никакого специфического подхода к решению компьютерных задач, в зависимости от того женщина вы или мужчина, нет. Пол действительно не имеет значения.
Какие элементы или службы в современных ОС наиболее уязвимы? В какие «дыры» наиболее просто «пролезть» злоумышленнику?
– Самая чувствительная составляющая любой ОС – это ядро. Я провела большую исследовательскую работу в последние несколько лет, для того чтобы показать, что на сегодняшний день ядро современной ОС чрезвычайно уязвимо. Таким образом, мне кажется, что главные усилия, прежде всего в академической сфере, следует приложить для создания эффективной системы, основанной на микроядерной архитектуре. То есть само ядро можно сделать очень маленьким, и тем самым свести к минимуму количество потенциальных багов. Вообще, на вопрос, какие «дыры» наиболее легки для проникновения, невозможно дать хороший ответ.
Вы неоднократно говорили, что эффективная защита в современных условиях невозможна. Что же сделать обычному пользователю для обеспечения своей безопасности?
– Сегодня – только молиться, что он не будет жертвой умно поставленной атаки.
64-битная версия Windows безопаснее, чем Windows x86?
– Я так не думаю. Самые современные 32-битные процессоры поддерживают NX-бит (non-executable bit, реализует запрет на выполнение), благодаря чему становится возможным использовать DEP – одну из Windows-технологий защиты от экплойтов столь же эффективно, как и на 64-битных процессорах.
Что же касается Vista x64, то эта версия ОС содержит два дополнительных средства безопасности, а именно, проверка на наличие электронной подписи у всех драйверов, работающих с ядром, а также т. н. технологию Patch Guard [Другое название – Kernel Patch Protection, функция безопасности в ОС, отвечающая за мониторинг ядра и обнаружения перехвата и попыток модификации кода ядра. Технология призвана защитить ядро, как от вредоносного, так и от вполне нейтрального кода, который может оказать негативное влияние на работу ОС]. Однако обе эти технологии относительно легко обойти (например, новые методы загрузки неподписанного кода в ядро мы будем обсуждать в конце июля в Лас-Вегасе), и я не считаю, что их можно расценивать в качестве дополнительного уровня безопасности.
В Panda Labs бьют тревогу. В Интернете резко увеличивается количество вредоносных кодов, использующих технологии сокрытия следов своей деятельности (файлы, запущенные процессы и модификации системного реестра) от защитного ПО. По данным антивирусной компании руткиты становятся все более популярными у создателей spyware и троянов, рассчитанных на кражу банковских реквизитов. Между тем адекватной ответной активности от софтверных компаний и разработчиков антивирусов пока не последовало. Системы безопасности, которые могли бы выявлять по косвенным признакам и поведению кода скрытые угрозы, пока не очень распространены.
В прошлом году количество обнаруженных руткитов выросло на 62 %, а по итогам 2007 года, если верить прогнозам, нас ждет, как минимум, 40-процентный рост. Рейтинг наиболее опасных угроз на момент составления отчета возглавляли руткиты Nurech.A/B, Bagle.HX и Abwiz.A.
Придуманный Джоанной метод внедрения кода в ядро Windows Vista в обход стандартных защитных процедур ОС стал возможным из-за того, что система допускает прямой доступ пользователя с правами администратора к содержимому винчестера из приложений. Достаточно просто Джоанна спровоцировала переход составляющих ядра из оперативной памяти в файл подкачки – это обычная системная операция. Затем она открыла этот файл, и в разделе драйверов, заменила одну из стандартных процедур на руткит, который затем был запущен в оперативную память.
На вашем семинаре Understanding Stealth Malware речь идет об инструментах, позволяющих обходить защиту ядра Windows Vista x64, Можно об этом подробнее?
– Да, мы представили новые пути внедрения неподписанного кода в ядро Vista x64. Наша цель была – продемонстрировать, что архитектура семейства Windows, включая Vista, крайне неудачна, и в Microsoft должны кардинально ее изменить для лучшей защиты ОС. Мы хотим продемонстрировать, что нынешних средств, используемых в Windows, таких как TPM/Bitlocker [Система защиты BitLocker с помощью микросхемы TPM (Trusted Platform Module), расположенной на материнской плате, шифрует весь жесткий диск и гарантирует безопасность даже в момент загрузки системы. В Microsoft позиционируют эту функцию, как наиболее эффективное средство для сохранения конфиденциальности данных корпоративных пользователей и рекомендуют использование TPM/BitLocker в рабочих ноутбуках ответственных лиц компаний. Вместо TPM можно использовать USB-ключ или парольную защиту] или подписывание драйверов, недостаточно для защиты ядра, в то время как Microsoft говорит обратное. Это, кстати, относится и к Linux, которая имеет очень схожую с Windows архитектуру.