ОКНО ДИАЛОГА: Железная леди

Автор: Родион Насакин

Конгресс и выставку корпоративных ИТ – Interop Moscow 2007, второй раз проходившую в России, посетила целая плеяда весьма известных в компьютерной (в том числе андеграундной) тусовке личностей. В частности, для доклада и участия в конференции на тему информационной безопасности в Россию прибыли Джоанна Рутковска и ее коллега Александр Терешкин. Вместе они не так давно создали компанию Invisible Things Lab, занимающуюся консультированием по вопросам ИТ-безопасности.

Популярность Джоанны резко выросла после того, как eWeek Magazine в прошлом году отметил ее в числе "великолепной пятерки" самых заметных хакеров. Таким образом, журналисты оценили выступление на прошлогодней конференции Black Hat, где она продемонстрировала два метода взлома второй беты Windows Vista.

Первый из них заключается в использовании руткита Blue Pill. Название – "синяя пилюля" было навеяно фильмом «Матрица». Действие руткита Джоанна сравнивала с невидимым мировым контролем глобальной информационной системы, подсовывающей пользователям виртуальную иллюзию действительности. Blue Pill действительно работает через виртуальную машину AMD Pacifica и способна использовать обращения системы к этой машине для незаметного перехвата управления ОС гипервизором. Подробнее об этом докладе уже писал Бёрд Киви (КТ № 1-2 от 18 января 2007).

Выбор технологии виртуализации вызвал несколько обвинений в адрес эксперта по поводу финансирования ее исследований конкурентами компании. Однако Джоанна отмела эти домыслы, заявив, что Blue Pill без особых сложностей может быть «портирован» и под аналогичную технологию процессорной виртуализации Intel Vanderpool. Второй метод заключается в обходе системы проверки целостности с тем же результатом.

После этого выступления Рутковска неоднократно делала заявления об обнаружении новых уязвимостей в Windows Vista и выступала с критикой в адрес Microsoft, утверждая, что слова представителей корпорации о высочайшей защищенности ОС не соответствуют истине. Другой излюбленной темой докладов Рутковской является несовершенство современной архитектуры ПК, из-за которой даже аппаратные средства защиты не способны обеспечить настоящую безопасность.

Сейчас Джоанна – непременный участник всех крупных мировых конференций и круглых столов, посвященных информационной безопасности, и, видимо, уже звезда. По крайней мере, после окончания круглого стола на Interop, ее окружила толпа поклонников (видимо, начинающих хакеров), выпрашивающих автограф, и добиться беседы с ней оказалось не самым простым делом. На некоторые вопросы также ответил Александр Терешкин.

Женщина-хакер – это необычно. Почему вы выбрали для себя это занятие?

– Не считаю себя хакером, скорее исследователем в сфере безопасности. Почему выбрала эту карьеру? Потому что меня интересовала информатика, «начинка» ОС и еще я люблю челленджи.

Вы знаете многих женщин-хакеров?

– Нет, их очень мало. Думаю, меньше пяти, к сожалению. Интересно, что все они американки.

Существуют ли элементы некоего «женского стиля» в технике работы?

– Никакого специфического подхода к решению компьютерных задач, в зависимости от того женщина вы или мужчина, нет. Пол действительно не имеет значения.

Какие элементы или службы в современных ОС наиболее уязвимы? В какие «дыры» наиболее просто «пролезть» злоумышленнику?

– Самая чувствительная составляющая любой ОС – это ядро. Я провела большую исследовательскую работу в последние несколько лет, для того чтобы показать, что на сегодняшний день ядро современной ОС чрезвычайно уязвимо. Таким образом, мне кажется, что главные усилия, прежде всего в академической сфере, следует приложить для создания эффективной системы, основанной на микроядерной архитектуре. То есть само ядро можно сделать очень маленьким, и тем самым свести к минимуму количество потенциальных багов. Вообще, на вопрос, какие «дыры» наиболее легки для проникновения, невозможно дать хороший ответ.

Вы неоднократно говорили, что эффективная защита в современных условиях невозможна. Что же сделать обычному пользователю для обеспечения своей безопасности?

– Сегодня – только молиться, что он не будет жертвой умно поставленной атаки.

64-битная версия Windows безопаснее, чем Windows x86?

– Я так не думаю. Самые современные 32-битные процессоры поддерживают NX-бит (non-executable bit, реализует запрет на выполнение), благодаря чему становится возможным использовать DEP – одну из Windows-технологий защиты от экплойтов столь же эффективно, как и на 64-битных процессорах.

Что же касается Vista x64, то эта версия ОС содержит два дополнительных средства безопасности, а именно, проверка на наличие электронной подписи у всех драйверов, работающих с ядром, а также т. н. технологию Patch Guard [Другое название – Kernel Patch Protection, функция безопасности в ОС, отвечающая за мониторинг ядра и обнаружения перехвата и попыток модификации кода ядра. Технология призвана защитить ядро, как от вредоносного, так и от вполне нейтрального кода, который может оказать негативное влияние на работу ОС]. Однако обе эти технологии относительно легко обойти (например, новые методы загрузки неподписанного кода в ядро мы будем обсуждать в конце июля в Лас-Вегасе), и я не считаю, что их можно расценивать в качестве дополнительного уровня безопасности.

В Panda Labs бьют тревогу. В Интернете резко увеличивается количество вредоносных кодов, использующих технологии сокрытия следов своей деятельности (файлы, запущенные процессы и модификации системного реестра) от защитного ПО. По данным антивирусной компании руткиты становятся все более популярными у создателей spyware и троянов, рассчитанных на кражу банковских реквизитов. Между тем адекватной ответной активности от софтверных компаний и разработчиков антивирусов пока не последовало. Системы безопасности, которые могли бы выявлять по косвенным признакам и поведению кода скрытые угрозы, пока не очень распространены.

В прошлом году количество обнаруженных руткитов выросло на 62 %, а по итогам 2007 года, если верить прогнозам, нас ждет, как минимум, 40-процентный рост. Рейтинг наиболее опасных угроз на момент составления отчета возглавляли руткиты Nurech.A/B, Bagle.HX и Abwiz.A.

Придуманный Джоанной метод внедрения кода в ядро Windows Vista в обход стандартных защитных процедур ОС стал возможным из-за того, что система допускает прямой доступ пользователя с правами администратора к содержимому винчестера из приложений. Достаточно просто Джоанна спровоцировала переход составляющих ядра из оперативной памяти в файл подкачки – это обычная системная операция. Затем она открыла этот файл, и в разделе драйверов, заменила одну из стандартных процедур на руткит, который затем был запущен в оперативную память.

На вашем семинаре Understanding Stealth Malware речь идет об инструментах, позволяющих обходить защиту ядра Windows Vista x64, Можно об этом подробнее?

– Да, мы представили новые пути внедрения неподписанного кода в ядро Vista x64. Наша цель была – продемонстрировать, что архитектура семейства Windows, включая Vista, крайне неудачна, и в Microsoft должны кардинально ее изменить для лучшей защиты ОС. Мы хотим продемонстрировать, что нынешних средств, используемых в Windows, таких как TPM/Bitlocker [Система защиты BitLocker с помощью микросхемы TPM (Trusted Platform Module), расположенной на материнской плате, шифрует весь жесткий диск и гарантирует безопасность даже в момент загрузки системы. В Microsoft позиционируют эту функцию, как наиболее эффективное средство для сохранения конфиденциальности данных корпоративных пользователей и рекомендуют использование TPM/BitLocker в рабочих ноутбуках ответственных лиц компаний. Вместо TPM можно использовать USB-ключ или парольную защиту] или подписывание драйверов, недостаточно для защиты ядра, в то время как Microsoft говорит обратное. Это, кстати, относится и к Linux, которая имеет очень схожую с Windows архитектуру.

А.Т.: – Даже если предположить, что атакующему неизвестны способы внедрения неподписанного кода в ядро Vista, у него всегда остается возможность воспользоваться официальным путем – покупкой сертификата за 250 долларов. Это лишний раз говорит о том, что защита, построенная на проверках подписей, не может быть абсолютно надежна.

Одной из главных тем вашей работы является крайняя сложность обнаружения вредоносного кода, использующего технологии виртуализации. Эффективные средства для идентификации таких угроз в современном программном и аппаратном обеспечении отсутствуют. Вы говорили, что производители должны снабдить архитектуру своих продуктов инструментами контроля и обнаружения зловредного ПО в виртуальных машинах. Появился ли интерес со стороны ИТ-гигантов, таких как Intel, AMD или Microsoft?

– Мне неизвестно ни о каких шагах Intel и AMD по созданию эффективных средств обнаружения этих угроз. Хотя некоторые разработчики ОС, в том числе Microsoft планируют снабдить свои системы встроенными гипервизорами. Вероятно, этот процесс начнется через два года или около того. Остается надеяться, что эти гипервизоры будут достаточно надежными средствами контроля за виртуальными машинами.

А.Т.: – Некоторые дистрибутивы Linux уже содержат компонент KVM (Kernel-based Virtual Machine), использующий расширения виртуализации современных процессоров. Он способен исполнять немодифицированные Linux и Windows. Также, открытый проект по виртуализации серверов Xen, начиная с версии 3.0, использует расширения SVM и VT-x. В этом проекте принимают участие разработчики многих известных компаний, таких, как Intel, AMD и IBM. Разумеется, эти проекты не являются средствами обнаружения вредоносного кода, использующего виртуализацию, но их гипервизоры не должны позволить такому коду получить контроль над виртуальной машиной. Ситуация во многом схожа с переходом операционных систем на использование защищенного режима 80386: после установки супервизора ОС код, работающий в режиме виртуального 8086, более не мог сам стать супервизором.

Как складывается судьба Blue Pill? Вы не планируете выложить в открытый доступ сигнатуры к ней и протестировать эффективность современных антивирусов?

– Я написала работающий прототип Blue Pill приблизительно год назад и продемонстрировала ее в рамках конференции Black Hat в Лас-Вегасе и на многих других мероприятиях. В этом году в рамках нашего семинара в Вегасе мы собираемся представить другую, намного более зрелую реализацию Blue Pill, которая была переписана с нуля. Нынешняя версия может, например, обходить временной анализ даже в том случае, если детектор использует надежный источник данных о времени (например, протокол NTP). Также новая реализация полностью поддерживает работу со встроенными гипервизорами, так что можно запустить множество одних Blue Pill внутри других.

Никакой необходимости в опубликовании сигнатур нет, это ничего не изменит в эффективности обнаружения угрозы антивирусами. Каждый слушатель нашего семинара в Лас-Вегасе получит возможность скомпилировать, запустить и проанализировать рабочую версию Blue Pill. Ну а публиковать ее код в Интернете мы все же не собираемся.

Недавно вы вместе с Александром Терешкиным создали компанию In-visible Things Lab. Каковы основные направления деятельности? Можете ли вы рассказать о первых проектах компании?

– Invisible Things Lab – это консалтинговая компания, которая специализируется на вопросах безопасности ОС. Мы выделяем три основные группы клиентов. Первая категория – это разработчики защитного ПО и ОС, которым мы предлагаем наш продукт для оценки безопасности и консультационную поддержку. Другая группа – это корпоративные клиенты, заинтересованные в независимом аудите технологий ИТ-защиты, которые они планируют внедрить в компании. И, наконец, последняя категория – это правоохранительные структуры и органы следствия, которым мы помогаем находиться в курсе современных возможностей киберзлоумышленников, например, malware-угроз, проводя различные курсы обучения и семинары. К сожалению, я не могу говорить об отдельных проектах компании или называть наших клиентов в силу договоров о конфиденциальности.

Александр Терешкин – известный российский эксперт по руткитам и реверсному инжинирингу. В Invisible Things Lab он – главный исследователь. Мы зачастую вместе занимаемся изучением угроз и консультационными проектами, однако Александр немного больше времени уделяет программистской работе, а я сосредоточена непосредственно на бизнес-задачах.

У Джоанны есть «коллега» – другой крупный специалист по руткитам Марк Руссинович. Он очутился в центре внимания в 2005 году, когда обнаружил в DRM-системе для компакт-дисков от Sony BMG полноценный руткит.

Для многих поклонников Марка стало настоящим шоком, когда в прошлом году он продал свой сайт Sysinternals.com Microsoft и сам ушел трудиться туда же.

Кстати, что вы думаете об уходе Марке Руссиновича в Microsoft?

– Марк Руссинович – прекрасный эксперт по Windows, и тот факт, что он теперь в Microsoft нисколько не умаляет значимости этого человека. В Microsoft вообще работает много очень умных людей.

H.D.Moore – автор ряда хакерских программ и известной open source-утилиты Metasploit Framework, используемой для создания эксплойтов и тестирования ПО на наличие «дыр» в защите. Эта программа вызывает неоднозначную реакцию у специалистов по ИТ-безопасности и софтверных разработчиков. С одной стороны это эффективный инструмент для самостоятельного отыскания уязвимостей и создания патчей, который используется некоторыми фирмами при проверке контроля качества выпускаемого софта.

С другой, ничто не мешает использовать Metasploit и злоумышленникам с гораздо менее благородными целями. В прошлом году H.D. Moore обновил свою программу, добавив в нее ряд новых возможностей для обнаружения потенциальных целей для вторжений. В частности, теперь программ «поддерживает» автоматические атаки через скриптовые сценарии.

Исследования H.D. Moore вошли в проект MoBB (Month of Browser Bugs), который позволил обнаружить уязвимости в драйверах WiFi и браузерах.

Джон «Джонни Кэш» ЭллЧ (Jon «Johnny Cache» Ellch), Дэвид Мэйнор (David Maynor) – Хакер Эллч сделал на Black Hat совместный доклад с бывшим исследователем из SecureWorks, посвященный уязвимостям беспроводных устройств. Основная порция критики пришлась на продукцию Apple, которая относительно редко попадает в зону внимания специалистов по ИТ-безопасности. Также докладчики указали на серьезные уязвимости в ПО Broadcom, D-Link и Toshiba.

Марк Руссинович (Mark Russinovich) – Его имя по сей день ассоциируется, в основном, со скандалом по поводу DRM-защиты, используемой в Sony BMG, после которого слово «руткит» перестало быть техническим термином и перекочевало в маркетинговый лексикон разработчиков антивирусного ПО. Разоблачения Руссиновича ярко проиллюстрировали неэффективность антивирусов в отношении соответствующих угроз. Последний год Марк, уже будучи сотрудником Microsoft, занимался в основном разработкой средств обнаружения руткитов и утилит, уничтожающих spyware и прочее скрытое вредоносное ПО на компьютере.

Джоанна Рутковска (Joanna Rutkowska) – Вошла в этот перечень благодаря демонстрации Blue Pill и доказательств беззащитности ОС перед угрозами, связанными с аппаратной виртуализацией.

ТЕМА НОМЕРА: Наномер

Автор: Леонид Левкович-Маслюк

Пару лет назад случилось мне разразиться издевательским смехом. Над собой, конечно. Тогда как раз входили в силу сервисы в духе «отправь „Йесссс!“ на номер такой-то, и получи стильный рингтон». Впервые увидев бегущую на экране ТВ строку с этим призывом, я тупо смотрел на нее и лихорадочно пытался понять: что такое «наноме, р»? Было ясно, что наноме, р уже есть у всех, кроме меня, причем в таком количестве, что легко рассылается в обмен на какую-то ерунду. «Но как же он рассылается? – лихорадочно соображал я. – Ведь это, наверное, какой-то такой полимер, только „нано“…» Да-а, принять элементарное «на номер» за какой-то «наномер» – в школе такое называли «заучился».

И не мудрено, потому что сегодня «нано» проникло повсюду, даже в изящную словесность. На днях читаю новый роман Василия Аксенова "Редкие земли", и вдруг, в лирической вроде бы сцене, – такое: "…Речь идет в первую очередь о производстве каталитических фильтров на основе церия, а также о магнитах на самарии и неодиме, конденсаторов на лантане, оптического стекла на лантане и церии, высокотехнологических абразивных материалов, рентгеновских пленок на гадолинии и дискрозии, пигментов на основе сульфидов и окиси серия…"

Допустим, ни «серия», ни «дискрозия» в таблице Менделеева вы не найдете (только церий и диспрозий) – однако каково чутье художника! Ведь все это так созвучно заветному «нано» – и о наночастицах, содержащих гадолиний, и о "магнитах на неодиме" с увлечением рассказывал в нашей длительной беседе профессор химического факультета МГУ Евгений Гудилин, которого я попросил ответить на простые вопросы: что именно делают сегодня те, кто "занимается нанотехнологиями"? И какой круг занятий это будет определять завтра?

Оказалось, что как за «наномером» при ближайшем рассмотрении скрывалось нечто простое и понятное – так и нанотех с точки зрения людей, которые его создают и развивают, есть вещь вполне постижимая. Но – довольно далекая (даже концептуально) от молекулярной сборки полчищ нанороботов и от других подобных штампов. Другой вопрос, что простота эта кажущаяся и сделать примитивную по дизайну нанокапсулу, везущую лекарство прямо к больной точке в теле, пока гораздо труднее, чем действующую наномодель грузовика с колесами из фуллеренов. Впрочем, все это лишь краткие намеки на ответ. А сам ответ занимает следующие девять журнальных страниц, отведенных под сегодняшнюю тему номера.

Молибденова синь или серая слизь?

Автор: Леонид Левкович-Маслюк

Цель нашей беседы с химиком из МГУ Евгением Гудилиным – уяснить простую вещь: что приходит в голову специалисту-научнику, когда он слышит слово «нанотехнологии». Подчеркнем – именно действующему ученому или инженеру, а не научному обозревателю, не аналитику рынков хайтека, не писателю-визионеру.

За окном все громче завывает «нано-пурга» [Термин Алексея Шварева] – брэнд «нано» раскручивается во всем мире н-н-нанонарастающими темпами. Чтобы не стать безвольной жертвой «хайпа», очень полезно знать, что понимает под нанотехом практикующий исследователь. Тот, кто с ходу напишет все относящиеся к делу формулы. Тот, кто знает, что и куда подсыпать и подключить, что и как вскипятить или заморозить, чтобы это самое нано где-то там зашевелилось и зажило. Мой 38-летний собеседник, в прошлом году удостоенный звания члена-корреспондента РАН, – инсайдер наноотрасли. Он активно работает (как правило, в содружестве с еще более молодыми коллегами, студентами и аспирантами) над целым рядом задач, связанных с процессами, идущими на нанометровых масштабах. Гудилин много занимается образовательными проблемами, он заместитель по учебной работе декана факультета наук о материалах МГУ, профессор химфака. Серьезно участвует и в работе созданного ФНМ МГУ и Центром Передовых Технологий вебсайта www.nanometer.ru, который быстро стал одним из наиболее вменяемых информационных ресурсов по теме и имеет все шансы превратиться в привлекательную площадку для профессиональных дискуссий.

Мир «нано» сулит нам массу неожиданностей. Одна из них – оказывается, поупражняться в доморощенном нанотехе может каждый. Ну, почти каждый. И для этого не всегда нужны большие деньги. Евгений Гудилин рассказывает об одном из возможных нанопроектов:

– …Многие зарубежные компании, в том числе Samsung и Degussa (крупнейшая химическая и нанотехнологическая компания Германии), развивают направление, связанное с микропечатью всевозможных устройств – гибких дисплеев, сенсоров, радиочастотных антенн-идентификаторов, солнечных батарей, пленочных химических источников тока (трехмерная печать дополняет этот список мембранами и другими керамическими изделиями сложной формы, медицинскими имплантатами и т. д.). Струйный способ печати, другие модификации микропечати универсальны – разработка прототипов и выпуск готовых устройств полностью автоматизированы, – и очень привлекательны по соотношению цена/качество. В России эта технология вполне реализуема: важнейшие компоненты расходных материалов – это нанопорошки и полимеры, а их мы хорошо умеем делать. Фундаментальных и технических проблем здесь много, но понять принцип нетрудно. На днях (разговор был в начале июля. – Л.Л.-М.) наши студенты взяли дешевый струйный принтер, купили пустой картридж, залили туда суспензию, содержащую наночастицы, и теперь пытаются напечатать что-нибудь содержательное. Для начала – хотя бы сделать проводящие дорожки из наночастиц (см. рис. справа). Обычный струйник для этого вполне пригоден, ведь чернила – это особая взвесь частиц размером менее 50 нм. В планах – купить спецпринтер (хотя он стоит уже не полторы тысячи, а полтора-три миллиона рублей, в зависимости от насадок и прочего), чтобы дальше развивать это направление.

Но ведь очень интересно посмотреть, что полезного можно напечатать наночастицами и на простом струйнике! Предлагая эту тему ребятам, я не исключал, что работа над ней может привести даже к созданию компании-стартапа. Вокруг нанотехнологий напущено много тумана, но на самом деле сделать наночастицы сравнительно легко (по крайней мере химикам). Если в автоклаве сильно нагреть воду, она станет хорошим растворителем, пригодным для так называемого гидротермального синтеза, и с его помощью уже делают десятки видов наночастиц. Поэтому можно развивать очень любопытные и недорогие проекты, причем отчасти на "подручных материалах".

Есть и еще более простые способы – вот школьный опыт, который показывает, что наночастицы может получить каждый (правда, далеко не каждый может получить наночастицы с заданными свойствами и детально их исследовать). Есть такое удобрение – парамолибдат аммония. Если вы растворите его в воде, добавите уксуса и бросите туда цинк, то раствор моментально посинеет – образуется молибденова синь, состоящая из наночастиц довольно простого состава на основе гидратированного оксида молибдена. Это пример электрохромного материала: если не добавлять цинк, а прикладывать напряжение, цвет тоже изменится. Поэтому, если наночастицы такого материала нанести на бумагу в виде сеточки, к которой напряжение в несколько вольт подводится дорожками из прозрачного проводника (такие чернила уже делаются, скажем, в Японии и могут быть сделаны и у нас), то при включении тока на бумаге появится нужный текст или картинка, а при выключении поверхность обесцветится от контакта с воздухом. В потенциале это дешевая электронная бумага. Вот вам один вариант развития опытов с "разломанным струйником".