Blue Pill prý jde detekovat, tvrdí Thomas Ptacek
Zhruba před rokem rozvlnila svět zabezpečení PC Joanna Rutkowská ze singapurské firmy COSEINC představením svého konceptu „Blue Pill“, což má být potenciálně škodlivý software schopný ovládnout PC nedetekovatelným způsobem, neboť pracuje na bázi virtualizace (a v rámci hardwarové virtualizace by operační systém neměl vědět, že funguje ve virtualizovaném prostředí). To se jí také o měsíc později povedlo na bezpečnostní konferenci Black Hat, kdy „modrá pilulka“ úspěšně napadla počítač s tehdy ještě betaverzí operačního systému Windows Vista (podle Rutkowské je však jedno, že šlo o betu, napadnout lze takto jakýkoli OS z principu fungování virtualizační technologie).
Nyní se však ozval Thomas Ptacek, jeden ze členů mezinárodně uznávaného týmu bezpečnostních expertů Matasano (jeho prezidentem je Dave Goldsmith, spoluautor prvního přetečení zásobníku na i386, z dalších členů se hodí vypíchnout Window Snyder, šéfku přes bezpečnost v Mozille, která se dříve ještě v Microsoftu podílela na zabezpečovacích funkcích v SP2 pro Windows XP). Ten tvrdí, že je to právě tým Matasano, kdo umí „Blue Pill“ detekovat a hodlá to dokázat. Po Joanně chce přístup k „Blue Pill“ potenciálně napadenému PC. Svou jistotu staví na faktu, že Dino Dai Zovi za Matasano prezentoval software „Vitriol“ ovládající PC skrze virtualizační technologii od Intelu, v době, kdy Rutkowská prezentovala „Blue Pill“ na virtualizační technologii od AMD. A právě „Vitriol“ se jim detekovat povedlo.
Rutkowská s výzvou souhlasí, ale klade si jisté podmínky. Jednak těch počítačů bude pět, alespoň jeden bude napadený a alespoň jeden napadený nebude. Až po napadení „modrou pilulkou“ (spuštěna bude na všech, ale jen na některých skutečně počítač napadne) spustí tým Matasano svůj detekční program, z nějž bez dalšího zásahu uživatele musí vypadnout jasný výsledek – počítač je/není napaden „Blue Pill“. Detektor přitom nesmí způsobit pád nebo zatuhnutí počítače, jinak Matasano prohrává. A navíc nesmí detektor příliš zatěžovat procesor, což je podle Joanny více jak 90% zátěž na dobu více než sekunda, pak už je detektor pro své „obtěžování“ považován za nepraktický. Stanovený rozhodčí této „soutěže“ dostane k dispozici zdrojové kódy „Blue Pill“ i detektoru, zkompiluje je a nasadí na všechny testovací počítače. Nakonec po soutěži nezávisle na tom, kdo vyhraje, budou všechny zdrojové kódy zveřejněny.
Jenže je tu ještě jedna podmínka, kterou nehodlá Matasano tým akceptovat. Rutkowská totiž tvrdí, že aktuální verze „Blue Pill“, jejíž vývoj zabral jen dva měsíce, není možné použít (kvůli právům od COSEINC) a navíc je to spíše prototyp než verze, která by mohla být potenciálně používána v měřítku představujícím opravdový „malware“. A tak prý potřebuje ještě šest měsíců intenzivní práce dvou lidí na to, aby byla „Blue Pill“ dotažena do stádia schopného soutěž vyhrát (toto stádium nazývá „commercial grade creature“). Tuto práci by však měl někdo zaplatit a tak požaduje standardní taxu v této branži, což prý je 200 dolarů za hodinu na osobu.
Tým Thomase Ptacka na to opáčil: „Proč bychom měli platit 384 tisíc dolarů na koupi rootkitu, o němž víme, že ho zvládneme detekovat?“ Následuje pravděpodobný scénář: na Black Hatu (letos od 28. července do 2. srpna) představí tým Matasano jejich detekční mechanizmus, vysvětlí, jak pracuje a dá k dispozici zdrojové kódy. Nepředpokládá, že by do té doby Rutkowská a spol. stihli onu fázi „commercial grade creature“ své „modré pilulky“ zdarma vytvořit (protože od Matasano nejspíše neuvidí ani cent), zdůrazňují však, že oni se budou na celé věci podílet bez nároku na finanční odměnu. Zhruba za měsíc bychom se tedy měli dozvědět, jak se dá „Blue Pill“ v počítači odhalit. Rovněž můžeme předpokládat, že uvolněné zdrojové kódy se dostanou Rutkowské do rukou a ta pak nejspíše řekne, že to nemůže fungovat … nebo bude takticky mlčet ;-).
