Rootkity - małe, wredne i trudne do usunięcia

Joanna Rutkowska, specjalistka ds. zabezpieczeń, zaprezentowała kilka różnych metod, za pomocą których wyspecjalizowane rootkity mogą oszukać nawet najlepsze dostępne obecnie mechanizmy obronne.

Joanna Rutkowska

Joanna Rutkowska

Rutkowska zaprezentowała wyniki swoich badań podczas poświęconej komputerowemu bezpieczeństwu konferencji Black Hat w Arlington, w stanie Virginia. Z jej prezentacji wynika, iż jeśli rootkit jest wystarczająco zaawansowany, aktualnie nie ma całkowicie skutecznej metody jego wykrycia w systemie.

Niektóre sprzętowe mechanizmy obrony przed rootkitami (m.in. takie produkty jak Tribble, CoPilot i RAM Capture Tool) działają w ten sposób, że wykonują "obraz" pamięci RAM (jest to najpewniejszy sposób na wykrycie obecności pewnych rodzajów rootkitów).

Rutkowska pokazała jednak trzy rodzaje ataków, skutecznie radzących sobie z tego typu zabezpieczeniami. Jeden z nich prowadził do zawieszenia komputera w momencie, gdy mechanizm zabezpieczający próbował uzyskać dostęp do stanu pamięci RAM, inny polegał na udostępnieniu do wglądu jedynie pewnej części pamięci. Ostatni typ ataku polegał na całkowitym maskowaniu rzeczywistego stanu pamięci fizycznej podczas jej skanowania. Druga z wymienionych technik w niektórych przypadkach pozwalałaby na odnalezienie śladów działania złośliwego oprogramowania w systemie, ale bez możliwości jego identyfikacji, zaś dzięki trzeciej oprogramowanie typu malware mogłoby nigdy nie zostać odnalezione.

Joanna Rutkowska

Specjalistka w dziedzinie bezpieczeństwa systemów operacyjnych. W ubiegłym roku za prace nad rootkitami i ominięcie zabezpieczeń jądra systemu Windows Vista została przez magazyn eWeek wymieniona wśród "5 hakerów, którzy wyróżnili się w 2006 roku". Jest autorką technologii o nazwie "Blue Pill", która wykorzystuje technologię wirtualizacji procesorów AMD i pozwala ukryć działanie szkodliwego kodu w systemie.

W ostatnim czasie Rutkowska poinformowała o odkryciu luk w mechanizmach User Account Control i Protected Mode IE, zabezpieczających Windows Vistę. Joanna Rutkowska pracuje w singapurskiej firmie COSEINC.

Wywiad z Joanną Rutkowską

Rutkowska twierdzi: "Żyjemy w XXI wieku, ale najwyraźniej nie potrafimy miarodajnie odczytać stanu pamięci naszych komputerów. Może powinniśmy pomyśleć o zmianie architektury systemów tak, aby można je było w pewien sposób zweryfikować".

Więcej informacji:Techworld


Zobacz również