Читаем Журнал «Компьютерра» № 30 от 21 августа 2007 года полностью

– Мне неизвестно ни о каких шагах Intel и AMD по созданию эффективных средств обнаружения этих угроз. Хотя некоторые разработчики ОС, в том числе Microsoft планируют снабдить свои системы встроенными гипервизорами. Вероятно, этот процесс начнется через два года или около того. Остается надеяться, что эти гипервизоры будут достаточно надежными средствами контроля за виртуальными машинами.

А.Т.: – Некоторые дистрибутивы Linux уже содержат компонент KVM (Kernel-based Virtual Machine), использующий расширения виртуализации современных процессоров. Он способен исполнять немодифицированные Linux и Windows. Также, открытый проект по виртуализации серверов Xen, начиная с версии 3.0, использует расширения SVM и VT-x. В этом проекте принимают участие разработчики многих известных компаний, таких, как Intel, AMD и IBM. Разумеется, эти проекты не являются средствами обнаружения вредоносного кода, использующего виртуализацию, но их гипервизоры не должны позволить такому коду получить контроль над виртуальной машиной. Ситуация во многом схожа с переходом операционных систем на использование защищенного режима 80386: после установки супервизора ОС код, работающий в режиме виртуального 8086, более не мог сам стать супервизором.

Как складывается судьба Blue Pill? Вы не планируете выложить в открытый доступ сигнатуры к ней и протестировать эффективность современных антивирусов?

– Я написала работающий прототип Blue Pill приблизительно год назад и продемонстрировала ее в рамках конференции Black Hat в Лас-Вегасе и на многих других мероприятиях. В этом году в рамках нашего семинара в Вегасе мы собираемся представить другую, намного более зрелую реализацию Blue Pill, которая была переписана с нуля. Нынешняя версия может, например, обходить временной анализ даже в том случае, если детектор использует надежный источник данных о времени (например, протокол NTP). Также новая реализация полностью поддерживает работу со встроенными гипервизорами, так что можно запустить множество одних Blue Pill внутри других.

Никакой необходимости в опубликовании сигнатур нет, это ничего не изменит в эффективности обнаружения угрозы антивирусами. Каждый слушатель нашего семинара в Лас-Вегасе получит возможность скомпилировать, запустить и проанализировать рабочую версию Blue Pill. Ну а публиковать ее код в Интернете мы все же не собираемся.

По бизнес-стезе

Недавно вы вместе с Александром Терешкиным создали компанию In-visible Things Lab. Каковы основные направления деятельности? Можете ли вы рассказать о первых проектах компании?

– Invisible Things Lab – это консалтинговая компания, которая специализируется на вопросах безопасности ОС. Мы выделяем три основные группы клиентов. Первая категория – это разработчики защитного ПО и ОС, которым мы предлагаем наш продукт для оценки безопасности и консультационную поддержку. Другая группа – это корпоративные клиенты, заинтересованные в независимом аудите технологий ИТ-защиты, которые они планируют внедрить в компании. И, наконец, последняя категория – это правоохранительные структуры и органы следствия, которым мы помогаем находиться в курсе современных возможностей киберзлоумышленников, например, malware-угроз, проводя различные курсы обучения и семинары. К сожалению, я не могу говорить об отдельных проектах компании или называть наших клиентов в силу договоров о конфиденциальности.

Александр Терешкин – известный российский эксперт по руткитам и реверсному инжинирингу. В Invisible Things Lab он – главный исследователь. Мы зачастую вместе занимаемся изучением угроз и консультационными проектами, однако Александр немного больше времени уделяет программистской работе, а я сосредоточена непосредственно на бизнес-задачах.

У Джоанны есть «коллега» – другой крупный специалист по руткитам Марк Руссинович. Он очутился в центре внимания в 2005 году, когда обнаружил в DRM-системе для компакт-дисков от Sony BMG полноценный руткит.

Для многих поклонников Марка стало настоящим шоком, когда в прошлом году он продал свой сайт Sysinternals.com Microsoft и сам ушел трудиться туда же.

Кстати, что вы думаете об уходе Марке Руссиновича в Microsoft?