Прикольные дела творятся…
Джоанна Рутковска (Joanna Rutkowska), stealth malware researcher из COSEINC Advanced Malware Labs прошлом , а ныне одна из двух основателей Invisible Things Labs, разработала синюю таблетку (Blue Pill) – технологию, позволяющую создавать, как заявляется, 100% необнаруживаемые вирусы.
Фактически речь идет о миниатюрном rootkit’е, способном установить полный контроль над системой и, при этом, остаться незамеченным. Пикантность ситуации добавляет то, что технология позволяет обойти anti-rootkit защиту 64-х версий Vista.
Вслед за анонсом Blue Pill (а что, будет ещё и красная таблетка?), Томас Пташек (Thomas Ptacek), один из основателей Matasano Security, Нейт Лосон (Nate Lawson) из Root Labs и Питер Ферри (Peter Ferrie) из Symantec, бросили вызов Джоанне, утверждая, что создание абсолютно необраружимого вируса невозможно. Джоанна, недолго думая, соглашается.
По условиям состязания, Blue Pill будет установлен на 5-ти компьютерах. Затем, вирус будет активирован на части машин, выбранных случайным образом. Команда Пташека должна будет разработать детектор, способный отличить инфицированные компьютеры от неинфицированных, в автоматическом режиме, т.е. без вмешательства человека.
На подготовку состязания отводится шесть месяцев. Через полгода узнаем как и что…
Прикольные дела творятся……
Джоанна Рутковска (Joanna Rutkowska), stealth malware researcher из COSEINC Adva…
Пиар Симантека
Поживём увидим
хотя пол года что-то очень много… хотя может быть для таких вещей это и нормально. Вы как считаете?
Да там вообще все пиарятся.
Для реального состязания - много, для пиара - в самый раз. Глядишь через пол-года все уже забудут.
[...] против команды Пташека У Not a kernel guy прочитала. Джоанна Рутковска, специалист в области [...]
Расскажите мне пожалуйста, как именно их таблетка собирается защищаться от стандартной процедуры - сканирования зараженного винта на гарантированно чистом компе? =^.^=
По условиям конкурса - никак. Речь идет про обнаружение rootkit’а непосредственно на зараженной машине.
Если руткит будет использовать ошибки в ЦПУ, а не только в ОС, то не обнаруживаемым сделать его куда как легче. Не обнаруживаемым средствами ОС.
http://www.opennet.ru/opennews/art.shtml?num=11232
P.S. Про это уже давно говорят, пока про известные реализации не слышно. Хотя кто знает…
Читал где-то полгода назад? что внутри MS, для иследовательских целей, разработан не обнаруживаемый руткит на основе виртуализации OS. Т.е. руткит фактически становится тонким хостом? на котором работает система-жертва.
> По условиям конкурса - никак. Речь идет про обнаружение rootkit’а непосредственно на зараженной машине.
Ну и пусть она хоть сто раз заражённая. Подключаем NAS-винт, одна система его имеет как системный, вторая прозрачно для первой сканирует, все счастливы.
Так не спортивно.