Blue Pill

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacji, wyszukiwania

Blue Pill – nazwa hipotetycznego rootkita, którego działanie opiera się na technologii wirtualizacji mikroprocesorów, i przeznaczonego dla systemu operacyjnego Microsoft Windows Vista. Blue Pill wykorzystuje technologię wirtualizacji AMD Pacifica, lecz istnieje możliwość przystosowania go do współpracy z mechanizmami wirtualizacji Intel Vanderpool. Rootkit został zaimplementowany przez Joannę Rutkowską i zaprezentowany na konferencji Black Hat Briefings 3 września 2006.

Według zapewnień autorki, Blue Pill poprzez wykorzystanie technologii Pacifica, może umieścić działający system operacyjny w maszynie wirtualnej procesora, działając sam w trybie nadzorcy (hypervisor) i posiadając pełnię kontroli nad zasobami komputera. Joanna Rutkowska zapewnia, że próby wykrycia nadzorcy są nieskuteczne, a więc istnieje możliwość stworzenia w 100% niewykrywalnego rootkita[1].

Twierdzeniu temu, powtarzanemu w wielu artykułach prasowych, zaprzecza m.in. firma AMD, która wydała oświadczenie odrzucające możliwość stworzenia w pełni niewykrywalnego nadzorcy (hypervisora)[2]. Niektórzy z badaczy zajmujących się bezpieczeństwem teleinformatycznym również postulują możliwość wykrycia takiego oprogramowania [3][4].

W 2007 grupa związana z firmą Matasano Security rzuciła wyzwanie Joannie Rutkowskiej, podając w wątpliwość możliwość stworzenia w 100% niewykrywalnego rootkita i proponując skonfrontowanie oprogramowania Blue Pill oraz detektora rootkitów napisanego przez grupę[5]. Rywalizacja nie doszła do skutku, w wyniku zażądania przez Joannę Rutkowską 384 tys. dolarów amerykańskich, w formie wynagrodzenia za wykonaną pracę[6], jako warunku przystąpienia do zakładu.

Joanna Rutkowska i Alexander Tereshkin przedstawili kolejne argumenty wspierające własne badania podczas wykładu na konferencji Black Hat w 2007, sugerując, że metody detekcji zaproponowane przez grupę związaną z Matasano Security są nieskuteczne[7][8].

W międzyczasie został upubliczniony kod źródłowy Blue Pill[9].

Nazwa rootkit'a pochodzi od "niebieskiej pigułki" z filmu Matrix.

Przypisy

Linki zewnętrzne[edytuj | edytuj kod]