Blue Pill

Fra Wikipedia, den frie encyklopedi
Gå til: navigasjon, søk

Blue Pill er navnet på et kontroversielt rootkit som bruker metoder for virtualisering som finnes i x86-arkitekturen og som blant annet kan brukes for angrep på Microsofts Windows Vista operativsystem. Metoden ble opprinnelig designet for å bruke virtualisering for AMD-V (Pacifica), men ble senere reimplementert til å støtte Intel VT (Vanderpool). Joanna Rutkowska lagde løsningen som ble demonstrert på Black Hat Briefings 3. august 2006.

Navnet «Blue Pill» er en referanse til den blå pillen i filmen The Matrix. Når en svelger denne så faller en i søvn og alt oppleves som naturlig. Tilsvarende så vil virtualiseringen medføre at en hypervisor startes som så lar det eksisterende systemet fortsette å kjøre, men under kontroll av inntrengeren. Denne vil få full kontroll over maskinen, mens vertssystemet tror at det kjører direkte på den fysiske maskinen. Dette er bakgrunnen for parallellen til filmen. Tilsvarende finnes det en referanse for Red Pill som lar maskinens operativsystem oppdage hva som skjer.

Bakgrunn[rediger | rediger kilde]

I henhold til forfatteren som først beskrev løsningen så kan Blue Pill ved å bruke Pacifica føre det kjørende operativsystemet inn i en virtuell maskin, hvoretter Blue Pill vil fungere som en hypervisor, og selv få fullstendig kontroll over maskinen. Rutkowska hevder at siden en slik hypervisor vil ha full kontroll så kan den enkelt lure alle programmer som prøver å påvise hva som skjer, Blue Pill vil være helt umulig å påvise. Slik virtualisering er ment å være usynlig for gjesten, i dette tilfellet er operativsystemet blitt gjest på egen maskin, og skal det kunne påvise hva som skjer så må hypervisor dermed være belemret med en feil.[1]

Denne påstanden som er gjentatt i mange artikler, er omdiskutert. AMD har publisert en uttalelse at det ikke er mulig å bli fullstendig upåvisbar.[2] Enkelte sikkerhetsrådgivere og journalister har også avvist konseptet som unøyaktig.[3][4] Ett av ankepunktene er at enkelte av instruksjonene i instruksjonssettet til x86-plattformen mangler muligheter for virtualisering. Ett annet er at det påstås at alle former for virtualisering kan påvises gjennom såkalte timing attacks.

I 2007 så ble Rutkowska utfordret av en gruppe forskere ledet av Thomas Ptacek ved Matasano Security, de ville se om deres rootkitdetektor kunne detektere Blue Pill. Dette skulle skje på Black Hat samme år.[5] Rutkowska ønsket en finansiering på $384 000 for å gjennomføre eksperimentet og forsøket ble deretter avblåst.[6] Rutkowska og Alexander Tereshkin avfeide deretter påstandene i et senere foredrag, og argumenterte med at de foreslåtte deteksjonsmetodene var unøyaktige.[7]

Kildekoden for Blue Pill er senere gjort offentlig tilgjengelig.[8]

Det er kjent at metoden er under omfattende analyser og at det jobbes med flere løsninger for å påvise og avverge inntrengning av angrepsvektorer i beskyttede systemer. Det er også antatt at det her er en av de mest aktuelle metoder for å ta kontroll over sterkt beskyttede systemer, og er dermed en sentral komponent i nettverkskrigføring.

Se også[rediger | rediger kilde]

  • Red Pill – en teknikk for å påvise tilstedeværelsen av en virtuell maskin.

Referanser[rediger | rediger kilde]

Eksterne lenker[rediger | rediger kilde]