Blue Pill
Blue Pill (с англ. — «Голубая пилюля») — кодовое имя класса руткитов, основанных на использовании аппаратной виртуализации. Первоначально программа Blue Pill требовала поддержки процессором виртуализации AMD-V (ранее известной как «Pacifica»), но в дальнейшем в программу была добавлена поддержка Intel VT-x (кодовое имя «Vanderpool»). Разработана Йоанной Рутковской и впервые была публично продемонстрирована на конференции Black Hat Briefings 3 августа 2006 года в виде образца реализации для ядра Microsoft Windows Vista.
Обзор
Концепция Blue Pill заключается в захвате запущенного экземпляра операционной системы (захват производится при запуске ОС) «тонким» гипервизором и виртуализацией им остальной части компьютера. Предыдущая операционная система будет все ещё поддерживать существующие в ней ссылки на все устройства и файлы, но почти все, включая аппаратные прерывания, запросы данных и даже системное время будут перехватываться гипервизором, который будет отсылать фальшивые ответы.
Йоанна Рутковская утверждает, что поскольку любая программа обнаружения может быть обманута гипервизором, то такая система будет «100 % необнаруживаемой». Поскольку виртуализация от AMD была спроектирована как целостная система, то предполагается, что виртуализируемый гость не сможет определить, гость он или нет. Таким образом, единственной возможностью обнаружить Blue Pill является определение того факта, что виртуализированная реализация функционирует не так, как положено.
Эта оценка, повторенная в многочисленных журнальных статьях, вызвала множество споров, тем более, что AMD выпустила опровержение полной необнаруживаемости. Некоторые другие исследователи в области безопасности, а также журналисты, также отвергают концепцию невозможности.[1] Виртуализация может быть обнаружена при атаке по времени, основанной на внешних источниках времени.
В 2007 году группа исследователей под руководством Томаса Птацека из компании Matasano Security на проходящей тогда конференции Black Hat бросили вызов Рутковской, предложив ей протестировать её Blue Pill при помощи их программы обнаружения руткитов, но в ответ Рутковская запросила 384 тыс. $ за участие в подобном соревновании, поэтому эта сделка так и не состоялась. Рутковская и Александр Терешкин объявили подобные заявления инсинуацией в последующей речи на Black Hat, аргументировав это тем, что заявленные методы обнаружения слишком неточны.
Происхождение названия
Название Blue Pill является отсылкой к синей таблетке из фильма Матрица, где присутствует сцена, в которой один из главных героев (Морфеус), находясь в симуляции виртуальной реальности, общался с другим персонажем (Нео), не подозревающим о том, что они находятся в виртуальной реальности.
Морфеус сказал:
Это твой последний шанс. Потом возврата уже не будет. Берешь голубую пилюлю — история заканчивается, а ты просыпаешься в своей постели и продолжаешь верить в то, во что ты хочешь верить. Берешь красную пилюлю — остаешься в Стране Чудес, а я покажу тебе насколько глубока кроличья нора.
Целевая система для Blue Pill, как и Нео, не подозревает о том, что она может быть скомпрометирована (например, атакована).
См. также
- Red Pill — метод обнаружения использования виртуальной машины. Также разработан Йоанной Рутковской.
Примечания
- Debunking Blue Pill Myth (англ.), virtualization.info
Ссылки
- Introducing the Blue Pill by Joanna Rutkowska (англ.)
- InternetNews — Blackhat takes Vista to Task (англ.)
- Heading Off the Hackers (англ.) — Business Week, August 10, 2006
- Blue Pill, Episode 54 of the Security Now Podcast (англ.)
- Black Hat 2006 Presentation (англ.)
- Detecting and Blocking Blue Pill, Vitriol etc (англ.)