Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #95, НОЯБРЬ 2006 г.

Зверский взлом Windows Vista

Крис Касперски

Хакер, номер #095, стр. 095-068-1

Совершенные руткиты готовы атаковать новую винду

Совершенствование stealth-технологий в конечном счете (в середине 2006 года) привело к созданию rootkit'ов принципиально нового типа, которых практически невозможно обнаружить, а тем более остановить. Стоит только компьютеру «проглотить» Голубую пилюлю, как операционная система погружается в виртуальный мир, полностью контролируемый rootkit'ом. Прежний, реальный, мир перестает существовать, и, чтобы увидеть его, необходимо «проглотить» Красную пилюлю, над созданием которой бьются лучшие хакерские умы, но... пока не слишком успешно.

Введение

Не успела Windows Vista поступить в продажу, как была зверки взломана польской пани Жанной Рутковской (Joanna Rutkowska). На конференции SyScan в Сингапуре 21 июля она продемонстрировала результат своего взлома - руткит нового поколения, который практически невозможно обнаружить, а тем более взломать.

Реакция представителей Microsoft оказалась на удивление спокойной. Подумаешь, подломали бету! Никто же и не утверждал, что взломать Висту/Longhorn невозможно! Идет нормальный процесс «обкатки» системы, и чем больше ошибок будет выявлено на стадии бета-тестирования, тем меньше их окажется в финальной версии продукта. Однако Vista RC1, выпущенная двумя месяцами позже, не претерпела никаких изменений и осталась по-прежнему уязвимой. Microsoft проанализировала ситуацию и, вместо того чтобы заткнуть дыру, сделала вид, что никакой дыры нет (смотри выступление одного из сотрудников Microsoft: http://blogs.msdn.com/windowsvistasecurity/archive/2006/08/07/691441.aspx)!

Мол, с правами администратора (а Голубая Пилюля требует их) еще и не такое возможно! А что, собственно говоря, с ними возможно?! Загрузить неподписанный драйвер или каким бы то ни было другим легальным способом проникнуть на уровень ядра? Нельзя, и это доставляет множество проблем как самим администраторам, так и разработчикам. Если бы Microsoft заткнула все лазейки, во имя ее величества Безопасности с этим можно было бы и смириться. А так получается, что нас вынуждают поступиться частью свобод и удобств, предлагая взамен... ничего! Где логика?! Как всегда логика на стороне Microsoft, преуспевшей только в одном - в продвижении своих глюкодромов на рынок.

Голубая Пилюля базируется на двух основных концепциях - обходе цифровой подписи драйверов (обязательной в x86-64-редакциях Windows, начиная с Vista Beta 2 build 5384) и установке гипервизора (hyper-visor), использующего технологии аппаратной виртуализации AMD Pacifica/Intel Vanderpool. Эти технологии позволяют запускать операционную систему на эмуляторе, контролирующем все интересные события. В грубом приближении это можно проиллюстрировать на примере 80836 ЦП, поддерживающего режим «виртуального 8086» (он же V86), который обеспечивает одновременную работу нескольких сессий MS-DOS. А теперь появился режим «виртуального 386+», причем правильно спроектированный гипервизор (также называемый Монитором Виртуальных Машин - Virtual Machine Monitor, VMM) не позволяет гостевой системе определить, исполняется ли она на «живом» процессоре или нет.

Содержание  Вперед на стр. 095-068-2
ttfb: 3.4270286560059 ms