Известная пословица гласит о благих намерениях, которыми облицована дорога в Пекло. Однако мало кто задумывается о философском инвертировании этого изречения. Частенько чрезвычайно адские штучки ложатся в основу идей, работающих во благо.

В мире операционных систем новые архитектурные решения не всегда появляются благодаря белому и пушистому положительному почину: "А давайте-ка сотворим добро - сделаем сверхнадёжную и безопасную систему с нуля". Порой удачные архитектурные решения разработчику нашёптывает парень с рожками и в красном трико, сидящий у него на плече.

И если разработчики Microsoft Singularity, приспосабливая идею управляемого выполнения кода к ядру вновь изобретаемой операционной системы, пеклись именно о благе пользователей, то создатели героини этой статьи - операционной системы Qubes OS поначалу и не помышляли о столь мирных применениях. Они трудились в поте хакерского лица над хитрым механизмом скрытого манипулирования компьютером ничего не ведающего пользователя. Воплотив этот механизм, они сообразили, что он отлично подходит для архитектуры новой надёжной и безопасной системы.

Blue Pill. Пилюля для Матрицы

Август 2006 года. Конференция Black Hat в Лас-Вегасе, где разные "тёмные личности" демонстрируют своё мастерство компьютерного взлома и проникновения.

Именно на этом конвенте польский исследователь безопасности из компании Advanced Malware Labs, девушка (!) Джоанна Рутковска (Joanna Rutkowska) выступила с докладом "Свержение ядра Windows Vista потехи ради и для заработка" (Subverting Vista kernel for fun and profit).

Джоанна Рутковска только с виду хрупкая девушка. В виртуальном мире она легко заткнёт за пояс любую Тринити

В своем напичканном техническими терминами выступлении она продемонстрировала интереснейшую идею создания стопроцентно неуловимого руткита - идею, которая чуть позже и легла в основу её более праведной разработки - операционной системы Qubes OS.

Деструктивное творение Рутковски и товарищей называлось Blue Pill. Пилюлей свой руткит исследователи безопасности назвали неспроста. Согласно их задумке, вредоносный код работал на базе безопасной виртуальной машины (Secure Virtual Mashine) под названием Pacifica - одного из первых решений поддержки аппаратной виртуализации от компании AMD и "на лету" помещал код операционной системы атакованного компьютера внутрь виртуальной машины. Перемещённая операционная система (в то время это была Windows Vista) продолжала работать, думая, что трудится непосредственно на компьютере. На самом же деле ей, упрятанной внутри виртуальной машины, скармливалась ложная информация, в то время как за пределами "Матрицы" можно безнаказанно творить всякие безобразия. Допустим, организовать центр управления ботнетом.

Схема работы руткита Blue Pill предельно проста: запихнуть атакуемую систему в виртуальную машину, где "всё всегда хорошо", а снаружи делать что угодно

Соответственно и пользователь, работающий на заражённом Blue Pill компьютере, не подозревал, что на экране монитора его родная система работает в виртуальном мире.