Blue Pill

Blue Pill – nazwa hipotetycznego rootkita, którego działanie opiera się na technologii wirtualizacji mikroprocesorów, i przeznaczonego dla systemu operacyjnego Microsoft Windows Vista. Blue Pill wykorzystuje technologię wirtualizacji AMD Pacifica, lecz istnieje możliwość przystosowania go do współpracy z mechanizmami wirtualizacji Intel Vanderpool. Rootkit został zaimplementowany przez Joannę Rutkowską i zaprezentowany na konferencji Black Hat Briefings 3 września 2006.

Według zapewnień autorki, Blue Pill poprzez wykorzystanie technologii Pacifica, może umieścić działający system operacyjny w maszynie wirtualnej procesora, działając sam w trybie nadzorcy (hypervisor) i posiadając pełnię kontroli nad zasobami komputera. Joanna Rutkowska zapewnia, że próby wykrycia nadzorcy są nieskuteczne, a więc istnieje możliwość stworzenia w 100% niewykrywalnego rootkita^[1].

Twierdzeniu temu, powtarzanemu w wielu artykułach prasowych, zaprzecza m.in. firma AMD, która wydała oświadczenie odrzucające możliwość stworzenia w pełni niewykrywalnego nadzorcy (hypervisora)^[2]. Niektórzy z badaczy zajmujących się bezpieczeństwem teleinformatycznym również postulują możliwość wykrycia takiego oprogramowania^[3]^[4].

W 2007 grupa związana z firmą Matasano Security rzuciła wyzwanie Joannie Rutkowskiej, podając w wątpliwość możliwość stworzenia w 100% niewykrywalnego rootkita i proponując skonfrontowanie oprogramowania Blue Pill oraz detektora rootkitów napisanego przez grupę^[5]. Rywalizacja nie doszła do skutku gdyż Joanna Rutkowska zażądała 384 tys. dolarów amerykańskich wynagrodzenia za wykonaną pracę^[6], jako warunku przystąpienia do zakładu.

Joanna Rutkowska i Aleksandr Tereszkin przedstawili kolejne argumenty wspierające własne badania podczas wykładu na konferencji Black Hat w 2007, sugerując, że metody detekcji zaproponowane przez grupę związaną z Matasano Security są nieskuteczne^[7]^[8].

Kod źródłowy Blue Pill został upubliczniony^[9].

Nazwa rootkita pochodzi od "niebieskiej pigułki" z filmu Matrix.

Przypisy edytuj

↑ 'Blue Pill' Prototype Creates 100% Undetectable Malware, Ryan Naraine, eWeek.com
↑ Faceoff: AMD vs. Joanna Rutkowska. securitywatch.eweek.com. [zarchiwizowane z tego adresu (2008-05-04)]., eWeek.com
↑ Debunking Blue Pill Myth, virtualization.info
↑ Blue Pill is an attention-whoring non-threat, period. weblog.infoworld.com. [zarchiwizowane z tego adresu (2009-03-16)]., Tom Yager, InfoWorld
↑ Rutkowska faces ‘100% undetectable malware’ challenge. blogs.zdnet.com. [zarchiwizowane z tego adresu (2009-09-03)]., Ryan Naraine, zdnet.com
↑ Blue Pill hacker challenge update: It’s a no-go. blogs.zdnet.com. [zarchiwizowane z tego adresu (2009-11-26)]., Ryan Naraine, zdnet.com
↑ Showdown at the Blue Pill Corral, eWeek
↑ Blue Pill Gets a Refill, darkreading.com
↑ Blue Pill Project. [dostęp 2008-04-18]. [zarchiwizowane z tego adresu (2008-04-18)].

Linki zewnętrzne edytuj

Joanna Rutkowska, Introducing the Blue Pill
InternetNews, Blackhat takes Vista to Task
Blue Pill, 54 odcinek podcasta Security Now.
Prezentacja z konferencji Black Hat 2006

[1] 'Blue Pill' Prototype Creates 100% Undetectable Malware, Ryan Naraine, eWeek.com

[2] Faceoff: AMD vs. Joanna Rutkowska. securitywatch.eweek.com. [zarchiwizowane z tego adresu (2008-05-04)]., eWeek.com

[3] Debunking Blue Pill Myth, virtualization.info

[4] Blue Pill is an attention-whoring non-threat, period. weblog.infoworld.com. [zarchiwizowane z tego adresu (2009-03-16)]., Tom Yager, InfoWorld

[5] Rutkowska faces ‘100% undetectable malware’ challenge. blogs.zdnet.com. [zarchiwizowane z tego adresu (2009-09-03)]., Ryan Naraine, zdnet.com

[6] Blue Pill hacker challenge update: It’s a no-go. blogs.zdnet.com. [zarchiwizowane z tego adresu (2009-11-26)]., Ryan Naraine, zdnet.com

[7] Showdown at the Blue Pill Corral, eWeek

[8] Blue Pill Gets a Refill, darkreading.com

[9] Blue Pill Project. [dostęp 2008-04-18]. [zarchiwizowane z tego adresu (2008-04-18)].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]