image

Poolse ontwikkelt onvindbare rootkit

donderdag 29 juni 2006, 13:13 door Redactie, 15 reacties

De Poolse security onderzoekster en "rootkit wonderkind" Joanna Rutkowska heeft een nieuwe technologie ontwikkeld waardoor rootkits niet gedetecteerd kunnen worden. De "Blue Pill" technologie gebruikt AMD’s Secure Virtual Machine technologie om een soort "Matrix-achtige" wereld te maken waarin het besturingssysteem zich bevindt.

Normale rootkits en backdoors zijn allemaal gebaseerd op een concept. Als je eenmaal dit concept kent, kun je de rootkit in theorie detecteren. Rutkowska breekt met deze traditie. Het idee achter Blue Pill gaat namelijk niet uit van een vast concept. Het besturingssysteem "slikt" de Blue Pill en het wordt wakker in de Maxtrix waar de Blue Pill hypervisor alles controleert. Dit gebeurt realtime, zonder dat het systeem herstart hoeft te worden en je merkt ook niets aan de prestaties van de machine, die zich nu binnen een virtuele machine bevindt. Dit is allemaal mogelijk dankzij AMD’s Secure Virtual Machine technologie.

Rutkowska is van plan om een prototype tijdens de Black Hat conferentie in Las Vegas op 3 augustus te demonstreren. Ook zal ze tijdens de conferentie laten zien hoe er willekeurige code in de Vista Beta 2 kernel (x64 editie) geinjecteerd kan worden. Blue Pill zou op elk 64-bit besturingssysteem kunnen werken, waaronder Vista en verschillende Linux distributies.

Reacties (15)
29-06-2006, 13:33 door Anoniem
Ze is de eerste die met een PoC naar buiten komt. Ik heb al
eerder dit soort rootkits beschreven gezien, onder meer door
MS Research, maar die zijn nooit met een prototype naar
buiten gekomen.

Overigens is dit ook niet onvindbaar, maar je moet wel op
andere zaken gaan letten, en vanuit het guest OS is dit
lastig te vinden.
29-06-2006, 13:55 door Anoniem
Zal Intel wel leuk nieuws vinden.......

Intrigerende dame.. zullen ze daar denken. (net als ik)
29-06-2006, 14:01 door Anoniem
Ik vind de naam van die nieuwe technologie er wel aardig bij
passen "AMD’s Secure Virtual Machine technologie".
29-06-2006, 14:15 door LaVolpe
Ik wil haar telefoonnummer !!!!!
Redactie HEEELLLLLLLLPPPPPPPPP !!!!
29-06-2006, 14:27 door Anoniem
is zij nog single? dan wil ik nu per direct met haar trouwen!
29-06-2006, 14:38 door the virusman
Hmmm slimme tante, eens kijken of nienke van eset (nod32) nederland daar binnenkort een antwoord op heeft ??

En nee ik hoef haar telefoon nummer niet.
29-06-2006, 15:41 door G-Force
Ze zeggen wel dat vrouwen de allerbeste soldaten zijn.....Ik
wil ze alleen niet in mijn leger hebben.
29-06-2006, 16:17 door Anoniem
Door Peter.V
Ze zeggen wel dat vrouwen de allerbeste soldaten zijn.....Ik
wil ze alleen niet in mijn leger hebben.

*LOL*
Ik zou best omgeven willen zijn met een legertje van dit soort
vrouwen..
29-06-2006, 17:26 door Anoniem
Door Anoniem
Door Peter.V
Ze zeggen wel dat vrouwen de allerbeste soldaten zijn.....Ik
wil ze alleen niet in mijn leger hebben.

*LOL*
Ik zou best omgeven willen zijn met een legertje van dit soort
vrouwen..

Ben ik nou echt de enige die vind dat ze op Michael Jackson
lijkt?
29-06-2006, 19:01 door Anoniem
ze kan alleen voor geen meter presenteren of engels spreken...
29-06-2006, 21:25 door Anoniem
Dan zegt MS: "In Vista zijn alle fouten opgelost waar we nu
weet van hebben.", maar zoals je ziet evolueert men enorm op
dat vlak, ik vraag me af welke Linux distributies kwetsbaar
zijn. Wat gebeurt er als je onder Linux vmware draait? Een
virtual machine (vmware) in een andere virtual machine (de
rootkit)?
29-06-2006, 22:00 door Anoniem
Ik zou eerst met haar het bed in duiken, valt dit tegen, zou
ik zeker niet trouwen.

:-)
30-06-2006, 10:08 door LaVolpe
Voor de kwijlers onder ons ... alvast haar email :
[email]joanna@invisiblethings.org[/email]
30-06-2006, 15:04 door SirDice
Stelletje rolbevestigende geeks!
08-01-2007, 11:40 door Savage
Door Anoniem
ze kan alleen voor geen meter presenteren of engels
spreken...
I agree... Haar presentatie op Blackhat vorig jaar in
Amsterdam zoog behoorlijk... Mischien had dit ook te maken
met het stappen de dag ervoor... :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.