Blue Pill er navnet på et kontroversielt rootkit som bruker metoder for virtualisering som finnes i x86-arkitekturen og som blant annet kan brukes for angrep på Microsofts Windows Vista operativsystem. Metoden ble opprinnelig designet for å bruke virtualisering for AMD-V (Pacifica), men ble senere reimplementert til å støtte Intel VT (Vanderpool). Joanna Rutkowska lagde løsningen som ble demonstrert på Black Hat Briefings 3. august 2006.

Navnet «Blue Pill» er en referanse til den blå pillen i filmen The Matrix. Når en svelger denne så faller en i søvn og alt oppleves som naturlig. Tilsvarende så vil virtualiseringen medføre at en hypervisor startes som så lar det eksisterende systemet fortsette å kjøre, men under kontroll av inntrengeren. Denne vil få full kontroll over maskinen, mens vertssystemet tror at det kjører direkte på den fysiske maskinen. Dette er bakgrunnen for parallellen til filmen. Tilsvarende finnes det en referanse for Red Pill som lar maskinens operativsystem oppdage hva som skjer.

Bakgrunn rediger

I henhold til forfatteren som først beskrev løsningen så kan Blue Pill ved å bruke Pacifica føre det kjørende operativsystemet inn i en virtuell maskin, hvoretter Blue Pill vil fungere som en hypervisor, og selv få fullstendig kontroll over maskinen. Rutkowska hevder at siden en slik hypervisor vil ha full kontroll så kan den enkelt lure alle programmer som prøver å påvise hva som skjer, Blue Pill vil være helt umulig å påvise. Slik virtualisering er ment å være usynlig for gjesten, i dette tilfellet er operativsystemet blitt gjest på egen maskin, og skal det kunne påvise hva som skjer så må hypervisor dermed være belemret med en feil.[1]

Denne påstanden som er gjentatt i mange artikler, er omdiskutert. AMD har publisert en uttalelse at det ikke er mulig å bli fullstendig upåvisbar.[2] Enkelte sikkerhetsrådgivere og journalister har også avvist konseptet som unøyaktig.[3][4] Ett av ankepunktene er at enkelte av instruksjonene i instruksjonssettet til x86-plattformen mangler muligheter for virtualisering. Ett annet er at det påstås at alle former for virtualisering kan påvises gjennom såkalte timing attacks.

I 2007 så ble Rutkowska utfordret av en gruppe forskere ledet av Thomas Ptacek ved Matasano Security, de ville se om deres rootkitdetektor kunne detektere Blue Pill. Dette skulle skje på Black Hat samme år.[5] Rutkowska ønsket en finansiering på $384 000 for å gjennomføre eksperimentet og forsøket ble deretter avblåst.[6] Rutkowska og Alexander Tereshkin avfeide deretter påstandene i et senere foredrag, og argumenterte med at de foreslåtte deteksjonsmetodene var unøyaktige.[7]

Kildekoden for Blue Pill er senere gjort offentlig tilgjengelig.[8]

Det er kjent at metoden er under omfattende analyser og at det jobbes med flere løsninger for å påvise og avverge inntrengning av angrepsvektorer i beskyttede systemer. Det er også antatt at det her er en av de mest aktuelle metoder for å ta kontroll over sterkt beskyttede systemer, og er dermed en sentral komponent i nettverkskrigføring.

Se også rediger

  • Red Pill – en teknikk for å påvise tilstedeværelsen av en virtuell maskin.

Referanser rediger

  1. ^ 'Blue Pill' Prototype Creates 100% Undetectable Malware[død lenke], Ryan Naraine, eWeek.com
  2. ^ Faceoff: AMD vs. Joanna Rutkowska Arkivert 4. mai 2008 hos Wayback Machine., eWeek.com
  3. ^ Debunking Blue Pill Myth Arkivert 14. februar 2010 hos Wayback Machine., virtualization.info
  4. ^ Blue Pill is an attention-whoring non-threat, period Arkivert 16. mars 2009 hos Wayback Machine., Tom Yager, InfoWorld
  5. ^ Rutkowska faces ‘100% undetectable malware’ challenge Arkivert 3. september 2009 hos Wayback Machine., Ryan Naraine at zdnet.com
  6. ^ Blue Pill hacker challenge update: It’s a no-go Arkivert 26. november 2009 hos Wayback Machine., Ryan Naraine at zdnet.com
  7. ^ Showdown at the Blue Pill Corral Arkivert 29. september 2007 hos Wayback Machine.
  8. ^ «The Blue Pill Project». Arkivert fra originalen 17. februar 2009. Besøkt 8. april 2009. 

Eksterne lenker rediger