Blue Pill

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Blue Pill (англ. «Голубая пилюля») — кодовое имя класса руткитов, основанных на использовании аппаратной виртуализации. Первоначально программа Blue Pill требовала поддержки процессором виртуализации AMD-V (ранее известной как «Pacifica»), но в дальнейшем в программу была добавлена так же и поддержка Intel VT-x (кодовое имя «Vanderpool»). Разработана Йоанной Рутковской и впервые была публично продемонстрирована на конференции Black Hat Briefings 3 августа 2006 года в виде образца реализации для ядра Microsoft Windows Vista.

Обзор[править | править вики-текст]

Концепция Blue Pill заключается в захвате запущенного экземпляра операционной системы (захват производится при запуске ОС) «тонким» гипервизором и виртуализацией им остальной части компьютера. Предыдущая операционная система будет все еще поддерживать существующие в ней ссылки на все устройства и файлы, но почти все, включая аппаратные прерывания, запросы данных и даже системное время будут перехватываться гипервизором, который будет отсылать фальшивые ответы.

Йоанна Рутковская утверждает, что поскольку любая программа обнаружения может быть обманута гипервизором, то такая система будет «100 % необнаруживаемой». Поскольку виртуализация от AMD была спроектирована как целостная система, то предполагается, что виртуализируемый гость не сможет определить, гость он или нет. Таким образом, единственной возможностью обнаружить Blue Pill является определение того факта, что виртуализированная реализация функционирует не так, как положено[1].

Эта оценка, повторенная в многочисленных журнальных статьях, вызвала множество споров, тем более, что AMD выпустила опровержение полной необнаруживаемости[2]. Некоторые другие исследователи в области безопасности, а также журналисты, также отвергают концепцию невозможности.[3] Виртуализация может быть обнаружена при атаке по времени, основанной на внешних источниках времени[4].

В 2007 году группа исследователей под руководством Томаса Птацека из компании Matasano Security на проходящей тогда конференции Black Hat бросили вызов Рутковской, предложив ей протестировать ее Blue Pill при помощи их программы обнаружения руткитов[5], но в ответ Рутковская запросила 384 тыс. $ за участие в подобном соревновании, поэтому эта сделка так и не состоялась[6]. Рутковская и Александр Терешкин объявили подобные заявления инсинуацией в последующей речи на Black Hat, аргументировав это тем, что заявленные методы обнаружения слишком неточны[4].

Происхождение названия[править | править вики-текст]

Название Blue Pill является отсылкой к голубой пилюле из фильма Матрица, где присутствует сцена, в которой один из главных героев (Морфеус), находясь в симуляции виртуальной реальности, общался с другим персонажем (Нео), не подозревающим о том, что они находятся в виртуальной реальности.

Морфеус сказал:

Это твой последний шанс. Потом возврата уже не будет. Берешь голубую пилюлю — история заканчивается, а ты просыпаешься в своей постели и продолжаешь верить в то, во что ты хочешь верить. Берешь красную пилюлю — остаешься в Стране Чудес, а я покажу тебе насколько глубока кроличья нора.

Целевая система для Blue Pill, как и Нео, не подозревает о том, что она может быть скомпрометирована (например, атакована).

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

  1. 'Blue Pill' Prototype Creates 100 % Undetectable Malware  (англ.), Ryan Naraine, eWeek.com
  2. Faceoff: AMD vs. Joanna Rutkowska  (англ.), eWeek.com
  3. Debunking Blue Pill Myth  (англ.), virtualization.info
  4. 1 2 Showdown at the Blue Pill Corral  (англ.)
  5. Rutkowska faces ‘100 % undetectable malware’ challenge  (англ.), Ryan Naraine at zdnet.com
  6. Blue Pill hacker challenge update: It’s a no-go  (англ.), Ryan Naraine at zdnet.com
  7. Red Pill… or how to detect VMM using (almost) one CPU instruction  (англ.)

Ссылки[править | править вики-текст]