Прикольные дела творятся…

June 29th, 2007
Goto comments Leave a comment

Джоанна Рутковска (Joanna Rutkowska), stealth malware researcher из COSEINC Advanced Malware Labs прошлом , а ныне одна из двух основателей Invisible Things Labs, разработала синюю таблетку (Blue Pill) – технологию, позволяющую создавать, как заявляется, 100% необнаруживаемые вирусы.

Фактически речь идет о миниатюрном rootkit’е, способном установить полный контроль над системой и, при этом, остаться незамеченным. Пикантность ситуации добавляет то, что технология позволяет обойти anti-rootkit защиту 64-х версий Vista.

Вслед за анонсом Blue Pill (а что, будет ещё и красная таблетка?), Томас Пташек (Thomas Ptacek), один из основателей Matasano Security, Нейт Лосон (Nate Lawson) из Root Labs и Питер Ферри (Peter Ferrie) из Symantec, бросили вызов Джоанне, утверждая, что создание абсолютно необраружимого вируса невозможно. Джоанна, недолго думая, соглашается.

По условиям состязания, Blue Pill будет установлен на 5-ти компьютерах. Затем, вирус будет активирован на части машин, выбранных случайным образом. Команда Пташека должна будет разработать детектор, способный отличить инфицированные компьютеры от неинфицированных, в автоматическом режиме, т.е. без вмешательства человека.

На подготовку состязания отводится шесть месяцев. Через полгода узнаем как и что…

, ,

  1. eisernWolf
    June 30th, 2007 at 00:35 | #1
    Reply | Quote

    Пиар Симантека :)

  2. vitaly kuznetsov
    June 30th, 2007 at 01:53 | #2
    Reply | Quote

    Поживём увидим :) хотя пол года что-то очень много… хотя может быть для таких вещей это и нормально. Вы как считаете?

  3. Not a kernel guy
    July 1st, 2007 at 14:46 | #3
    Reply | Quote

     

    Пиар Симантека

    Да там вообще все пиарятся. :-)

    пол года что-то очень много…

    Для реального состязания - много, для пиара - в самый раз. Глядишь через пол-года все уже забудут. :-)

  4. Wesha
    July 1st, 2007 at 15:27 | #4
    Reply | Quote

    Расскажите мне пожалуйста, как именно их таблетка собирается защищаться от стандартной процедуры - сканирования зараженного винта на гарантированно чистом компе? =^.^=

  5. Not a kernel guy
    July 1st, 2007 at 23:20 | #5
    Reply | Quote

    По условиям конкурса - никак. Речь идет про обнаружение rootkit’а непосредственно на зараженной машине.

  6. Neandertalets
    July 2nd, 2007 at 01:11 | #6
    Reply | Quote

    Если руткит будет использовать ошибки в ЦПУ, а не только в ОС, то не обнаруживаемым сделать его куда как легче. Не обнаруживаемым средствами ОС.
    http://www.opennet.ru/opennews/art.shtml?num=11232
    P.S. Про это уже давно говорят, пока про известные реализации не слышно. Хотя кто знает…

  7. Omari
    July 2nd, 2007 at 02:10 | #7
    Reply | Quote

    Читал где-то полгода назад? что внутри MS, для иследовательских целей, разработан не обнаруживаемый руткит на основе виртуализации OS. Т.е. руткит фактически становится тонким хостом? на котором работает система-жертва.

  8. Wesha
    July 2nd, 2007 at 16:10 | #8
    Reply | Quote

    > По условиям конкурса - никак. Речь идет про обнаружение rootkit’а непосредственно на зараженной машине.

    Ну и пусть она хоть сто раз заражённая. Подключаем NAS-винт, одна система его имеет как системный, вторая прозрачно для первой сканирует, все счастливы.

  9. Not a kernel guy
    July 2nd, 2007 at 16:19 | #9
    Reply | Quote

    Так не спортивно. :-)

  1. June 29th, 2007 at 21:43 | #1
    Зеркало: Not a kernel guy
  2. July 1st, 2007 at 15:00 | #2
    Алёна C++: Рутковска против команды Пташека