Rutkowska, Joanna

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 27. marts 2018; verifikation kræver 21 redigeringer .
Joanna Rutkowska
Joanna Rutkowska
Fødselsdato 1981
Fødselssted Warszawa , Polen
Land
Videnskabelig sfære Informationssikkerhed
Arbejdsplads Invisible Things Labs
Alma Mater Warszawas teknologiske universitet
kendt som forfatter til Blue Pill -software ,
forfatter til Qubes OS
Internet side invisiblethingslab.com
 Mediefiler på Wikimedia Commons

Joanna Rutkowska [1] ( polsk Joanna Rutkowska ; 1981 , Warszawa ) er en polsk specialist og forsker inden for informationssikkerhed. Kendt primært for sin forskning i lav-niveau sikkerhed og skjult software [2] .

Han taler om sig selv [3] sådan her :

Jeg er en forsker, der fokuserer på sikkerhedsproblemer på systemniveau, såsom i kernen, hypervisor, chipset osv. En forsker, ikke en sårbarhedsjæger eller tester. Jeg er mere interesseret i grundlæggende problemer, snarere end nogen specifikke "huller" i nogen brugerprogrammer. Kan operativsystemet eller platformen f.eks. yde nogen beskyttelse til brugeren, selvom applikationer som Adobe Reader eller IE potentielt kan blive kompromitteret? Jeg tror på "sikkerhed gennem isolation".

Efter hendes optræden på Black Hat i 2006 begyndte mange publikationer at kalde hende for en hacker , men Joanna er selv imod dette og udtaler dette i et interview i slutningen af ​​2007 [4] :

Jeg betragter ikke mig selv som en hacker (selvom jeg ofte bliver kaldt det i pressen). Jeg betragter mig selv som en computersikkerhedsforsker og for nylig en forretningskvinde.

Biografi

Barndom og ungdom (1981-2003)

Født i 1981 i Warszawa , Polen . Jeg fik min første computer i en alder af 11 [5] . De blev til PC/AT 286 , udstyret med en processor, der opererer ved en frekvens på 16 MHz , 2 MB hukommelse [3] og en 40 MB harddisk [5] .

Det havde et monokromt Hercules -grafikkort, og de fleste af spillene fungerede ikke på det, så jeg havde intet andet valg end at begynde at programmere.Joanna Rutkowska [5]

Næsten med det samme stiftede jeg bekendtskab med GW-BASIC , og cirka et år senere skiftede jeg til Borland Turbo Basic [3] . Joanna begyndte at programmere og interesserede sig for, hvordan operativsystemet fungerer. I en alder af omkring 14 år begyndte hun at lære assemblersprog til x86 -arkitekturen (på MS-DOS ) og gik gradvist over til at skrive virus, hvorefter hun fokuserede mere på matematik og kunstig intelligens [6] . Så begyndte hun at studere det grundlæggende i at bygge netværk, Linux, systemprogrammering , som i slutningen af ​​1990'erne. førte hende tilbage til området computersikkerhed og skrivebenyttelser til Linux x86 og derefter til Win32-systemer [7] . Så ligesom mange berømte forskere begyndte Joanna at skrive bedrifter i sine teenageår [5] .

Joanna lavede sit første hack efter at have læst en berygtet artikel i magasinet Phrack om en stakkbrydende udnyttelse, som hun også selv kompilerede og testede:

Jeg læste artiklen og sagde: ”Nej, det kan ikke fungere. Det er umuligt". Men det virkede faktisk.Joanna Rutkowska [5]

Hun holdt op med at skrive bedrifter et par år senere, men hun husker med glæde den tilfredshed, der fulgte med at skrive en god bedrift:

Det er fantastisk og spændende som et magisk trick. Nu er jeg fokuseret på et lidt andet område, men jeg sporer stadig interessante bedrifter.Joanna Rutkowska [5]

Så kom hun gradvist videre: kernesårbarheder, rootkits, skjulte kanaler og så videre, samt måder at håndtere alle disse sårbarheder på [7] . I et interview i 2007 husker hun:

Efter en periode med at skrive bedrifter, begyndte jeg at tænke på, hvad jeg så skulle gøre. Jeg var meget interesseret i det interne operativsystem og havde et ret godt kendskab til det. Dette førte mig til rootkits' rige.Joanna Rutkowska [5]

Sideløbende dimitterede hun fra Warszawas teknologiske universitet med en kandidatgrad i datalogi [8] . Ifølge hendes erindringer udgjorde kvinder kun omkring 5 procent af det samlede antal studerende på det fakultet, hvor Rutkovskaya studerede matematik [5] . Med hendes ord havde hendes universitetsuddannelse ikke meget med sikkerhed at gøre [5] . Så i et af interviewene sagde hun, at selvom hun studerede datalogi på Warszawa Polytekniske Institut, lærte hun det meste selv, ligesom mange kolleger i branchen [6] .

Første undersøgelser (2001–2002)

Omkring 2001 begyndte Joanna for alvor at engagere sig i forskning inden for computersikkerhed til platforme baseret på Linux- og Win32 -operativsystemerne , og to år senere gik hun videre til forskning inden for programmer ved hjælp af stealth-teknologi [9 ] .  

Begyndelsen af ​​professionel karriere (2003–2006)

I midten af ​​oktober 2004 talte Rutkowska ved IT Underground 2004 -konferencen , der blev afholdt 12.-13. oktober i Warszawa . Hun præsenterede to præsentationer om rootkits til Linux- og Win32-platforme, samt metoder til deres detektion. Den første præsentation "Bagdøre i Linux-kernen og deres detektion" [10] var viet til to måder at implementere smarte kerne-bagdøre i Linux  Kernel Network Stack ved hjælp af en handler ptypeog Netfilter , og præsenterede også originale måder at detektere dem på, som efterfølgende blev præsenteret. med succes implementeret i et af de kommercielle værktøjer skrevet af Joanna selv. Det introducerede også ideen om passive skjulte kanaler, der blev brugt i de beskrevne metoder.

I den anden præsentation, "Detecting Rootkits on Windows Systems" [11] , var der en diskussion om rootkit-detektion på brugerniveau og kerneniveau. Den første halvdel af præsentationen var viet til at bruge MS Kernel Debugger (sammen med LiveKD) til at detektere rootkits på brugerniveau. Resten blev afsat til mere avancerede rootkits på kerneniveau og præsenterede også nogle ideer til at opdage dem [12] .

Derudover var underteksten til talen en diskussion af måder at gøre rootkits mere perfekte. Under frokosten demonstrerede Yoanna, hvordan praktisk talt en enkelt instruktion (nogle gange omtalt som Sinans  favoritinstruktion ) kan detektere brugen af ​​VMware [13] (det vil sige ideen bag Red Pill- projektet ).

Den 20. oktober 2004 lavede Joanna sit første indlæg på sin personlige hjemmeside, invisiblethings.org, og postede begge præsentationer fra ITUunderground på den den følgende dag [14] .

28. december 2004 på World Congress of Hackers , afholdt i Berlin ( Tyskland ) fra 27. til 29. december, præsenterer Joanna en rapport "Passive skjulte kanaler i Linux-kernen" [15] . Emnet for rapporten var passive skjulte kanaler (forkortelse PSC; engelsk  passive skjulte kanaler , forkortelse PCC ), som ikke genererer deres egen trafik, men kun ændrer nogle felter i pakker oprettet af lovlige brugerapplikationer eller processer på den inficerede maskine .

Den 28. september 2005 holdt Yoanna en præsentation "Hide and Find: Defining a Way to Detect Malware on Windows" [16] på Hack in a Box [17] -konferencen, der blev afholdt fra den 26. til 29. september i Kuala Lumpur ( Malaysia ), sideløbende, mens de præsenterer flere af deres udviklinger, herunder System Virginity Verifier . Hovedformålet med præsentationen var at fastlægge listen over vitale dele af operativsystemet og metoden til at opdage malware. Listen starter med grundlæggende ting som de nødvendige trin for at kontrollere integriteten af ​​filsystemet og registreringsdatabasen, derefter kommer hukommelseskontrollen på brugerniveau (identifikation af useriøse processer, ondsindede dynamiske biblioteker ( DLL ), injicerede streams osv.) og slutter med så avancerede ting som at bestemme vitale dele af kernen, der kan modificeres af moderne rootkit-baseret malware (gennem metoder som Raw IRP hooking , forskellig DKOM-manipulation eller tricks med virtuelle maskiner ). Desuden, uanset fuldstændigheden af ​​denne liste, vil ifølge Yoanna kun et vist antal metoder blive brugt til at kompromittere systemet med malware, det vil sige, at en sådan liste på noget tidspunkt ikke kan være uendelig, og dens fuldstændighed vil kun afhænge af fællesskabet af specialister. I princippet kan oprettelsen af ​​en sådan liste i høj grad øge trusselsbevidstheden og i sidste ende muliggøre udviklingen af ​​bedre anti-malware-programmer. Joanna præsenterede koncepterne for sådanne programmer ved sin præsentation sammen med flere interessante malware [18] .

Som en realisering af sin idé om det beskrevne fællesskab, der beskæftiger sig med identifikation af metoder til at kompromittere systemer, præsenterede Joanna et projekt med åbne metoder til kompromisdetektion [19] på samme konference ( eng.  åbne metoder til kompromisdetektion , forkortelse OMCD . Dette projekt blev startet i begyndelsen af ​​september med Institute for Security and Open Methodologies [20]  (Eng.) Projektet, ledet af Yoanna, skulle arbejde på en metode til at opdage malware og rootkits på Windows-systemer at definere en standard for både forskere og udviklere af værktøjer, der automatiserer denne proces [21] .

Den 25. januar 2006 holdt Joanna et oplæg på Black Hat Federal [22]  (eng.) , som fandt sted fra 23. til 26. januar i Washington ( USA ), om emnet "Hunting for rootkits against compromise detection" [23]  (eng.) [24] . Præsentationen var helliget at beskrive typerne af systemkompromiser, og den præsenterede også en beskrivelse af måder, hvorpå en angriber kan opnå fuldstændig usynlighed uden at bruge den klassiske rootkit-teknologi. Under præsentationen kiggede Joanna på traditionelle rootkit-tricks såsom genstart, skjule processer og åbne sockets. Hun introducerede også sit nye DeepDoor rootkit (som hun afviste at afsløre nogen detaljer om), der er i stand til at knække NDIS-kode [25] ved at ændre fire ord i hukommelsesområdet, hvor NDIS gemmer sine data. Under demonstrationen demonstrerede Joanna, hvordan hendes rootkit udførte sin opgave med at opsnappe trafik korrekt, selvom ZoneAlarm- firewallen blokerede dens adgang. Til sidst sagde Joanna, at der ikke er nogen sikker måde at læse kernehukommelse i Windows. Efter hendes mening bør Microsoft tillade tredjepartsvirksomheder at tilbyde kernehukommelsesbeskyttelsesløsninger. Eksperterne, der så denne præsentation, beskrev det som et imponerende arbejde og sindssyge [26] .

Samme præsentation blev præsenteret den 1. februar 2006 på IT-Defence [27]  konferencen (eng.) , som fandt sted fra den 30. januar til den 3. februar i Dresden , Tyskland [28] [29] .

Senere, på baggrund af den præsenterede klassifikation, nemlig den 24. november 2006, udgav Yoanna en mere udvidet version af sin malware-klassifikation, og tilføjede især den tredje type malware [30] .

Periode ved COSEINC Research (2006–2007)

Den nøjagtige dato for starten af ​​Joannas officielle arbejde med COSEINC er ukendt. Dette vides dog at have fundet sted omkring marts-april 2006, da Joanna i et martsinterview beskrev sig selv som sikkerhedsforsker, der arbejder med it-sikkerhedsprojekter for forskellige virksomheder rundt om i verden [31] , men i slutningen af ​​juni, skrev på sin blog, at Blue Pill blev udviklet eksklusivt til COSEINC [32] , og hun begyndte arbejdet med dette projekt i marts 2006 [33] .

Den 13. maj 2006 talte hun ved en konference om computersikkerhed CONFidence [34]  (Eng.) , afholdt i Krakow fra 13. til 14. maj [35] [36] . Hendes rapport med titlen " Rootkits vs. Stealth by Design Malware  (utilgængeligt link) ”( Rus. “Rootkits mod usynlig malware” ), var viet til problemer relateret til funktionen af ​​rootkits .

22. juni 2006 Joanna poster en forhåndsvisning af sin seneste Blue Pill- udvikling på sin blog , som hun har arbejdet på i de sidste par måneder. Yoanna beskriver sin udvikling som 100 % uopdagelig software. Ideen med programmet var ret simpel: efter introduktionen af ​​Blue Pill på den angrebne computer, er måloperativsystemet under fuld kontrol af den ultratynde Blue Pill hypervisor , og alt dette sker i farten (dvs. uden at genstarte systemet). Der er heller ingen ydeevnetab, der er typiske for alle "normale" virtuelle maskiner, alle systemenheder er fuldt tilgængelige for OS, hvilket opnås ved brug af AMD -teknologi , kendt som SVM/Pacifica. Selvom denne idé generelt ikke er ny, beskriver Joanna forskellene fra det tidligere præsenterede SubVirt rootkit [32] .

Den 28. juni 2006 udgiver eWeek - portalen en artikel " Blue Pill Prototype Creates 100% Undetectable Malware " ( russisk "Blue Pill Prototype Creates 100% Undetectable Malware " ), dedikeret til udviklingen af ​​Joanna Blue Pill. Ryan Narayen, med henvisning til Yoannas blogindlæg, gentager dybest set, hvad Yoanna skrev. Artiklen skaber en del larm og ophedede diskussioner. Den 1. juli 2006 skriver Joanna selv i sin blogartikel " The Blue Pill Hype " ( russisk: "The Blue Pill Excitement" ):

artiklen er generelt korrekt, med undtagelse af én detalje - titlen, som er vildledende. Den siger, at en "Blue Pill-prototype, der skaber 100 % uopdagelig software" allerede er blevet implementeret, hvilket ikke er sandt. Hvis det var tilfældet, ville jeg ikke kalde min implementering for en prototype, hvilket indebærer en meget tidlig version af produktet [37] .

Derudover afviser Joanna i samme artikel rygter om, at hendes arbejde var sponsoreret af Intel Corporation (AMDs største konkurrent på processormarkedet). Joanna hævder, at hendes arbejde blev betalt af COSEINC Research, som hun arbejdede for på det tidspunkt, og slet ikke af Intel. Joanna implementerede kun Blue Pill på AMD64 -arkitekturen , fordi hendes tidligere forskning (også udført for COSEINC) var på Vista x64, hvor AMD64-processoren blev købt for at køre. Og trods ønsket om at overføre Blue Pill til Intel VT, har Joanna ingen umiddelbare planer om dette på grund af manglende fritid.

21. juli 2006 Joanna afslutter SyScan '06-konferencen afholdt 20.-21. juli 2006 i Singapore [38] . Arrangøren af ​​denne konference er Thomas Lim , CEO for COSEINC  , hvor Joanna arbejdede på det tidspunkt. Yoannas præsentation hed officielt "Subverting Vista Kernel for Fun and Profit" og bestod af to dele. I den første del demonstrerede hun en generel måde (det vil sige uden at stole på nogen bestemt fejl) til at indsætte ondsindet kode i den seneste 64-bit version af Windows Vista Beta 2-kernen, og derved omgå Vistas meget omtalte kodesignering. kontrollere. Desuden krævede det præsenterede angreb ikke engang en systemgenstart.

Anden del af talen hed (uformelt, da det i det væsentlige var en undertitel) "Introducing Blue Pill" ( russisk "Introducing Blue Pill" ), hvori han præsenterer sin nye udvikling "Blue Pill". Det generelle mål med talen var at vise muligheden for at skabe (snart eller allerede) uopdagelig malware, som, uden at være bundet til noget koncept, vil udgøre en trussel som en bestemt algoritme [39] .

Den 3. august 2006,Black Hat Briefings-konferencen i Las Vegas , præsenterer han igen sin udvikling Blue Pill , men da denne konference tiltrækker sig betydelig opmærksomhed fra specialiserede publikationer, skabte denne udvikling meget støj i it-miljøet og bragte Yoanna verden berømmelse. På denne konference præsenterede Microsoft sit nye Windows Vista -operativsystem for en bred vifte af it-professionelle. Under demonstrationen blev forhåndsudgivelseskopier af OS distribueret (faktisk var disse kopier af den sidste stabile udgivelse af systemet på det tidspunkt) [40] . I marts 2006 afholdt Microsoft allerede et særligt møde med hackere (kaldet "Blue Hat 3"), hvor generelle sikkerhedsspørgsmål blev diskuteret [41] . Under hensyntagen til de modtagne oplysninger placerede Microsoft-repræsentanter derfor Vista som det mest sikre Windows-operativsystem. Under præsentationen talte John Lambert ,  leder af Microsoft-divisionen, om faste systemsårbarheder, der tidligere er fundet i betaversioner [40] . Efter et stykke tid var det Joannas tur til at tale. Under hendes præsentation var hele salen fyldt til sidste plads, på trods af at dette var den sidste tale på den sidste dag som en del af Black Hat-sikkerhedskonferencen. Til forskning og demonstration brugte Joanna en af ​​de tidlige testversioner af Windows Vista. Som en af ​​måderne at beskytte systemet på, har Microsoft implementeret en mekanisme til blokering af usigneret kode (det vil sige ikke have en digital signatur ) i 64-bit versionen af ​​sit system. Joanna fandt dog en måde at omgå denne kontrol. Angrebet kræver administrative rettigheder, som i teorien burde være blevet blokeret af mekanismen User Account Control (UAC), som indskrænker brugerrettigheder og om nødvendigt kræver brugerbekræftelse for at udføre vigtige handlinger. Men da hun blev spurgt om, hvordan hun var i stand til at omgå UAC, svarede Joanna: "Jeg har lige klikket" Accepter "", mens hun forklarede, at denne besked vises til brugere så ofte, at de automatisk reagerer på den, allerede ikke rigtig forstår, at de laver. Under præsentationen udtalte Joanna selv følgende:

At denne mekanisme omgås betyder ikke, at Vista er fuldstændig usikker. Det er bare ikke så sikkert som annonceret. Det er ekstremt svært at implementere 100% kernesikkerhed.

Hun afsluttede sin tale med en præsentation af det i forvejen opsigtsvækkende Blå Pille- projekt [42] .

Microsofts svar har været forholdsvis roligt. Så den 7. august 2006 skrev Austin  Wilson følgende i en af ​​virksomhedens officielle blogs dedikeret til sikkerheden i Windows Vista , og understregede, at hun havde administratorrettigheder i det angrebne system:

Joanna er uden tvivl ekstremt talentfuld. Hun demonstrerede en måde, hvorpå en person med administratorrettigheder kan injicere usigneret kode i kernen af ​​64-bit versioner af Windows Vista. Nogle har forstået, at nogle af Microsofts sikkerhedsinnovationer er ubrugelige. Det er ikke sandt. Det er vigtigt at forstå to ting: Der er ingen "silver bullet", når det kommer til sikkerhed, og det er ekstremt svært at forsvare sig mod et angreb fra en bruger, der sidder ved konsollen på en computer med administratorrettigheder. Begge demonstrationer relateret til driversignering og virtualisering startede med den antagelse, at den person, der forsøger at udføre koden, allerede har administrative rettigheder på den computer [43] .

Det var dog ikke alle analytikere, der var enige i dette svar. For eksempel indvendte Chris Kaspersky , der analyserede oplysningerne fra Yoanna:

Ligesom med administratorrettigheder (og den "blå pille" kræver dem) er det ikke engang muligt! Og hvad er der i virkeligheden muligt med dem?! Det er umuligt at indlæse en usigneret driver, eller på nogen anden lovlig måde at komme ind på kerneniveauet, hvilket giver en masse problemer for både administratorer og udviklere. I Hendes Majestæt Sikkerheds navn kunne dette affindes, hvis Microsoft fik lukket alle smuthullerne, men det viser sig, at vi er tvunget til at opgive en del af frihederne og bekvemmelighederne og tilbyde til gengæld ... ingenting! Hvor er logikken?! Som altid er logikken på siden af ​​Microsoft, som kun er lykkedes med én ting - at promovere sine glucodromer til markedet [44] .

Ved at realisere succesen med Blue Pill-projektet danner Joanna kort efter en lille gruppe forskere indenfor COSEINC kaldet "Advanced Malware Labs", hvis hovedmål var at arbejde videre inden for malware baseret på virtualisering. Efter nogle måneders arbejde ændrede virksomheden dog prioriteter, og arbejdet med Blue Pill blev lukket [45] .

Den 21. september 2006 holder Joanna igen et foredrag " Subverting Vista Kernel for Fun and Profit " på Hack In The Box 2006 [46] konferencen afholdt i Kuala Lumpur , Malaysia . Den version af Blue Pill, der blev præsenteret på konferencen, forblev den samme, men den nye udgivelse af Windows Vista RC1 [47] blev nu brugt som det angrebne operativsystem (hvorimod Windows Vista Beta 2 [48] tidligere blev brugt ).

Periode med Invisible Things Lab (2007 - i dag)

I april 2007 beslutter Joanna sig for at forlade COSEINC og oprette sit eget firma "Invisible Things Lab" (" Russisk Laboratorium for Invisible Things "), der har specialiseret sig i konsulenttjenester og forskning inden for informationssikkerhed. Selve oprettelsen af ​​hendes eget firma blev gennemført uden for meget ståhej, og hendes debut var forberedt til juli Black Hat USA. Firmaets navn var et spil med navnet på hendes blog "Invisible Things", som var blevet meget populær på det tidspunkt. Den 1. maj 2007 bliver russiske Alexander Tereshkin (også kendt som 90210), også et tidligere medlem af COSEINC AML [45] [49] , ansat som chefudvikler . Virksomheden er lovligt registreret i Warszawa , Polen . Det har ikke et fysisk kontor. Joanna siger selv dette om sit firma:

Vi er stolte af at være en moderne virksomhed. Vi har slet ikke et fysisk kontor. Alle arbejder hjemmefra, og vi udveksler oplysninger gennem krypteret post. Vi har ikke en medarbejder, der sidder på kontoret fra ni til fem. Det arbejde, vi udfører, kræver kreativitet, og det ville være dumt at tvinge folk til at holde sig til en fast tidsplan [3] .

Virksomheden har specialiseret sig i sikkerheden af ​​operativsystemer og virtuelle maskiner og leverer forskellige konsulentydelser. I 2008 sluttede Rafal Voychuk sig til virksomheden, efter at han tidligere har samarbejdet med Joanna og Alexander [50] . Alexander Tereshkin er Principal Investigator ved ITL. Ifølge Yoanna er hun og Alexander engageret i trusselsforskning og konsulentprojekter, men Alexander bruger lidt mere tid på programmeringsarbejde, og Rutkovskaya fokuserer selv direkte på forretningsopgaver [51] .

10. maj 2007 åbnede NLUUG- konferencen , afholdt i Ede , Holland [52] [53] . Hendes rapport, med titlen " Virtualisering - Den anden side af mønten " , blev igen viet til Blue Pill- projektet [54] . Under præsentationen blev fordele og ulemper ved den nyligt introducerede virtualiseringsteknologi overvejet. En væsentlig del af rapporten gentog materialet i rapporten "Subverting Vista Kernel", præsenteret af Yoanna sidste år på Black Hat-konferencen, men var kun begrænset til emnet virtualisering (uden at diskutere angrebet på Windows Vista-kernen). og overvejede også nogle flere spørgsmål fra et "filosofisk" synspunkt [12] .

Den 13. maj 2007 skulle Joanna tale ved CONFidence 2007- konferencen, der fandt sted den 12.-13. maj i Krakow [55] . Hendes rapport, som fik det betingede navn "A la carte" (" russisk for valg "), bestod faktisk af flere på forhånd forberedte emner (de rapporter, som Joanna talte på det tidspunkt), og publikum skulle vælge et specifikt emne fra dem, der blev foreslået ved afstemning. Men på grund af Joannas sygdom fandt forestillingen ikke sted [56] . (Det er i øvrigt af denne grund, at Joannas rapport er opført på CONFidence-webstedet, men er ikke tilgængelig til download [57] .)

16. maj 2007 åbner Info-Security Conference 2007  (link utilgængeligt) i Hong Kong [52] [58] . I en rapport med titlen "Human factor vs. Teknologi" (" Russisk. Den menneskelige faktor mod teknologi "), Joanna betragtede moderne problemer med at sikre sikkerheden af ​​operativsystemer fra både brugerens og det tekniske synspunkt, og skitserede også sine tanker om at løse disse problemer i fremtid [59] .

31. maj 2007 taler Joanna ved Security@Interop Moscow 2007 udstillingen og kongressen i Moskva med en hovedtale "Invisible Viruses - Good Guys Win" [52] [60] .

Den 28. juli 2007 gennemfører Joanna, sammen med Alexander Tereshkin, som en del af Black Hat USA Training 2007: Weekend Session , Understanding Stealth Malware-træningen på Black Hat , som fandt sted fra 28. juli til 2. august i Las Vegas, USA [ 52] [61] . Kursisterne blev tilbudt muligheden for på et dybere niveau at lære det grundlæggende om skjult malware, dets interaktion med operativsystemet, hardware og netværk. Som en del af kurset kunne eleverne stifte bekendtskab med og eksperimentere med flere upublicerede rootkit-koncepter, der er specielt skabt til dette kursus og ligner Deepdoor, FireWalk, Blue Pill og andre. Spørgsmålet om deres påvisning blev også kort overvejet [62] .

Og et par dage senere, den 2. august, præsenterede Joanna og Alexander den tekniske rapport " IsGameOver(), nogen? "(" Rus. GameOver() eller nogen anden? ") [52] [63] . Rapporten var baseret på en ny praktisk metode til at angribe "on the fly" på Vista x64-kernen, samt en undersøgelse af manglerne ved TPM/Bitlocker-teknologien set fra sådanne angrebs synspunkt. En væsentlig del af rapporten var viet til præsentationen af ​​nye detaljer om malware, der bruger virtualisering. Dette omfattede forskellige detektionsmetoder, der kunne bruges til enten at opdage brugen af ​​virtualisering eller finde selve malwaren. Metoder til at omgå beskyttelse af malware og muligheder for implementering af indlejret virtualisering er blevet overvejet [64] .

17. september 2007 Joanna taler ved Gertner IT Security Summit i London , Storbritannien [52] .

Den 23. oktober 2007 talte hun ved Nordic Virtualization Forum, afholdt i Stockholm , Sverige [52] .

I midten af ​​november 2007 holdt Joanna et foredrag "Informationsteknologi og den menneskelige faktor" på den russiske kongres af CIO'er i Rostov-on-Don , Rusland . Hendes rapport var viet til en ny tilgang, der gør det muligt at tage kontrol over processorer med hardwareunderstøttelse til virtualisering [65] .

I 2007 demonstrerer den upålideligheden og evnen til at omgå nogle typer hardwarebaseret hukommelse (for eksempel baseret på FireWire) [66] .

I 2008 fokuserede Rutkowska og hendes team på sikkerhedsforskning på Xen-hypervisoren [67] .

Den 25. marts 2008 gennemfører han sammen med Tereshkin en træning i skjult software hos Black Hat i Amsterdam [52] .

Den 8. april 2008 holdt hun et oplæg på en større RSA-konference i San Francisco , USA [52] [68] .

Den 24. april 2008 taler han ved RISK-konferencen i Oslo , Norge [52] .

Den 16. maj 2008, som en af ​​de særligt inviterede eksperter, åbner han med sin præsentation " Sikkerhedsudfordringer i virtualiserede miljøer  (utilgængeligt link) " (" russisk. Sikkerhedsproblemer i et virtuelt miljø "), CONFidence 2008- konferencen , som tager plads fra 16. til 17. maj i Krakow [69] . Præsentationen var viet til forskellige potentielle sikkerhedsproblemer i et virtuelt miljø: rootkits baseret på virtualisering (f.eks. Blue Pill ), isolerede virtuelle maskine-aktører, virtuelle maskiners "tillid"-problemer, indlejret virtualitet og dets indvirkning på sikkerheden af ​​virtuelle systemer [ 70] .

Den 4. august 2008 gennemfører han sammen med Tereshkin en træning i skjult software hos Black Hat i Las Vegas [52] . I et af hendes interviews backstage på konferencen, da hun blev spurgt om, hvordan hendes forskning påvirker den industrielle brug af hypervisorer, svarede Joanna, at "en af ​​fordelene ved hendes arbejde er, at folk bliver mere hypervisorbevidste, men hovedmålet er stadig at kommunikere information til løsningsudbydere, som bør være opmærksomme på farerne ved anvendelse, hvordan man beskytter sig mod dem og retter dem” [71] .

Den 7. august 2008, på Black Hat-konferencen, demonstrerede Joanna, Rafal og Alexander, at en fejl fundet i BIOSDQ35JO-bundkortet tillader blandt andet at omgå hukommelsesbeskyttelsen af ​​Xen- hypervisoren . Et par uger senere udgav Intel en BIOS-opdatering for at rette denne fejl, hvorefter Rutkowska offentliggjorde alle detaljer om angrebsmekanismen [72] og kode, der demonstrerede den [73] . Angrebet var baseret på brug af hukommelsesomlægning  eller AKA hukommelsesgenvinding af chipsættet  og giver dig mulighed for at omgå visse hukommelsesbeskyttelsesmekanismer implementeret i processoren eller chipsættet. Desuden kan du på lignende måde omgå hukommelsesbeskyttelse SMM , efter at have fået fuld adgang til den. Senere blev denne sårbarhed undersøgt mere detaljeret under undersøgelsen af ​​SMM-sårbarheder, hvilket gav dem mulighed for at studere den binære SMM-kode, hvilket gjorde det muligt for dem at finde flere sårbarheder i den [74] .

Den 10. december 2008 annoncerede de opdagelsen af ​​nye sårbarheder i Intel Product Security Response Center relateret til SMM. Alle disse fundne SMM-sårbarheder er resultatet af et enkelt design til at implementere visse funktioner på en usikker måde. Som følge heraf er der mere end 40 potentielle sårbarheder i SMM-motoren (eksperimenter blev lavet på et DQ35JOE bundkort med alle patches tilgængelige fra december 2008). Af de fundne sårbarheder blev kun to testet med succes, da Joanna og ... ikke så nogen praktisk mening i at bruge resten. Efter deres mening ville den korrekte løsning på dette problem være fuldstændigt at omdesigne de eksisterende SMM-handlere. I personlig korrespondance bekræftede Intel-repræsentanter problemet i "mobil-, desktop- og serverbundkort" uden at nævne nogen detaljer og sårbare modeller. Yoanna og ... foreslog, at alle nyligt udgivne Intel-bundkort er berørt af angrebet.

Intel lovede at reparere firmwaren inden sommeren 2009, mens han bad om ikke at afsløre detaljer om sårbarheder i SMM, før alle relevante patches er klar. Derfor skulle en detaljeret beskrivelse af sårbarhederne præsenteres på Black Hat USA 2009-konferencen, der var planlagt til slutningen af ​​juli 2009. Intel-repræsentanter sagde, at de har underrettet CERT om dette problem, da de mener, at lignende fejl kan være indeholdt i andre producenters BIOS. CC CERT tildelte denne fejl serienummeret VU#127284 [74] .

2. september 2008 taler Joanna på et it-sikkerhedsforum i Oslo [52] .

Den 18. februar 2009 præsenterede Joanna sammen med sin kollega Rafal Voychuk rapporten Attacking Intel Trusted Execution Technology  ( utilgængeligt link) på Black Hat DC 2009 -konferencen , der blev afholdt fra 16. til 19. februar 2009 i Crystal City (Arlington, Virginia) ) ( da ) [75] [76] . Rapporten er helliget metoden til at omgå de beskyttende teknologier Intel Trusted Execution Technology (en del af Intel vPro -mærket ) og Intel System Management Mode opdaget i slutningen af ​​2008 .

I begyndelsen af ​​rapporten talte vi om sårbarheder, der gør det muligt at omgå Dynamic Root of Trust Measurement (DRTM) teknologi, som generelt bringer en betydelig del af moderne systemer i fare. Derefter drejede diskussionen sig om problemerne i Static Root of Trust Measurement (SRTM for kort), mere præcist, behovet for at kontrollere hvert stykke kode, der udføres, efter at systemet starter opstart [77] .

Som du ved, kontrollerer Intel Trusted Execution Technology (forkortet TXT), som er en implementering af "sen start" (eller forsinket start ), ikke systemets tilstand før start, hvilket tillader en sikker opstart af systemet, selv på en inficeret computer. Men Joanna og Rafal fandt ud af, at TXT ikke gav runtime-beskyttelse, det vil sige banal bufferoverløbsbeskyttelse i hypervisorkoden . TXT er kun designet til beskyttelse ved opstart, det vil sige, denne mekanisme sikrer, at koden, der indlæses på tidspunktet for indlæsning, virkelig er den, der skal køres. Der er dog et stykke systemsoftware, man skal stole på. Et sådant fragment kaldes og kaldes System Management Mode (forkortet SMM).

SMM, som er den mest privilegerede type software, der kører på en processor, kan omgå sikkerhedstjek, der udføres under sen opstart på en nystartet virtuel maskine (men påstanden om, at SMM slet ikke er kontrolleret, er falsk). Således kan et angreb på den sene lanceringsfunktionalitet af TXT finde sted i to faser:

  1. infektion af SMM-systembehandleren,
  2. infektion af frisk downloadet sikker kode fra en inficeret SMM-handler.

Yoanna og Rafal præsenterede kode, der demonstrerer et lignende angreb på Xen - hypervisoren indlæst ved hjælp af tboot- modulet . Tboot giver Linux og Xen sikker opstart med Intel TXT sen start funktionalitet. I teorien skal tboot sikre, at efter opstart af den korrekte (dvs. umodificerede) Xen-hypervisor (og kun i dette tilfælde!), vil de korrekte data blive indlæst i TPM-registrene. Men i praksis betyder det, at kun en bestemt (betroet) version af Xen-hypervisoren vil være i stand til at få adgang til beskyttede områder af TPM'en og/eller være i stand til positivt at identificere sig selv for interaktion (f.eks. med en systemadministrators bærbare computer) ved at bruge "Remote Attestation" TPM-specialfunktionen (" Russian. Remote Check "). Således viste Joanna og Rafal, at det ved hjælp af en inficeret SMM-handler er muligt at ændre en nyligt indlæst virtuel maskine, det vil sige, at angrebet fuldstændigt omgår alle de beskyttelsesmekanismer, der leveres af TXT for at beskytte overførslen.

Som en beskyttelse mod sådanne angreb udviklede Intel en mekanisme kaldet SMM Transfer Monitor (abbr. STM), som er en slags miljø (eller "sandbox"), hvori en eksisterende SMM-handler placeres gennem virtualisering ved hjælp af VT-x og VT- d. I dette tilfælde skal STM opfattes som en interagerende hypervisor ( engelsk  peer hypervisor ) for en virtuel maskine indlæst ved sen start, og under sen start skal STM analyseres. Men på tidspunktet for demonstrationen var denne teknologi stadig ikke tilgængelig, fordi den ifølge Intel-repræsentanter (i privat korrespondance) "ikke gav kommerciel mening" [74] .

Den 15. maj 2009, med en rapport " Thoughts about Trusted Computing  (utilgængeligt link) " (" Russiske tanker om Trusted Information Processing "), taler han ved CONFidence 2009- konferencen , afholdt fra 15. til 16. maj 2009 i Krakow [78 ] . Rapporten er fuldt ud afsat til Trusted Computing-teknologi: hvad det er, de vigtigste blokke, der udgør teknologien (TPM, VT og TXT) og tilgængelig i moderne udstyr, en diskussion af scenarier for brug af sådant udstyr, samt en diskussion af forskellene mellem teoretisk funktionalitet og praktiske begrænsninger ved dens brug [79] .

Den 26. maj 2009 holdt Joanna en præsentation på EuSecWest i London [52] .

Den 25. juli 2009 er Joanna og Alexander værter for en hiddenware-træning på Black Hat i Las Vegas [52] .

Den 27. juli 2009 er Joanna og Rafal værter for en virtualiseringssikkerhedsuddannelse på Black Hat i Las Vegas [52] .

Den 15. september 2009 holdt hun en præsentation ved Intel Security Summit i Hillsborough, Oregon, USA [52] .

Den 29. oktober 2009 holdt hun et oplæg på Computerbild Anti-Virus-Symposium i Hamborg [52] .

Den 24. november 2009 holder Joanna en hovedtale på et seminar om sikkerhed ved Universität der Bundeswehr i München [52] .

16. april 2010 holdt et oplæg på CampusParty EU i Madrid [52] .

Udvikling og forskning

Rød pille

I november 2004 offentliggjorde Joanna koden til Red Pill -programmet og en beskrivelse af den sårbarhed, den udnyttede. Navnet på programmet (samt navnet på Blue Pill-projektet) er taget fra filmen " The Matrix ", hvor hovedpersonen i en af ​​scenerne tilbydes to piller at vælge imellem: blå - at blive i system (i Matrix), rød - for at komme ud af det. Rutkowska sammenligner at sluge en rød pille med en subrutine, der returnerer en værdi, der ikke er nul (det vil sige en fejlmeddelelse), som i filmen gjorde det muligt for helten at indse, at han var i en virtuel verden. Hovedopgaven for programmet var at demonstrere evnen til at bestemme brugen af ​​en virtuel maskine ved hjælp af SIDT-instruktionen fra processoren, som udføres i ikke-privilegeret tilstand, men returnerer indholdet af registret, der bruges inde i OS.

Den vigtigste teknik, der gjorde det muligt at gøre dette, var at analysere placeringen af ​​registeret for interrupt description table ( engelsk  interrupt descriptor table register , forkortelse IDTR). SIDT-instruktionen placerer indholdet af IDTR i den specificerede operand, det vil sige placerer det i hukommelsen, og vi taler om at flytte IDT-tabellen til en bestemt adresse.

Yoanna havde først bemærket denne mærkelige opførsel af SIDT-instruktionen et par år tidligere, da hun testede et Suckit rootkit på VMWare. Dette rootkit fungerede helt korrekt på et rigtigt OS, men gav en fejl, når det blev kørt på en virtuel maskine. Joanna brugte flere timer på at finde ud af, at problemet var den SIDT, som Suckit brugte til at få adressen på IDT-tabellen.

Samtidig afviser Joanna ikke selv, at lignende undersøgelser blev udført før hende. Så for eksempel henviser hun til et dokument udgivet i 2000 i USENIX , som er dedikeret til problemet med at implementere virtuelle maskiner på Intel-processorer. Blandt de diskuterede problemer var problemet med SIDT.

Idéen til projektet blev præsenteret af Joanna i oktober på IT Underground 2004 i Warszawa , Polen . Efter konferencen, den 18. oktober, offentliggjorde Dave Eitel sin rapport om turen til denne konference, hvilket vakte stor interesse. Som et resultat begyndte Joanna at få en masse e-mails fra folk, der ønskede at vide "hvordan man opdager VMWare-brug med en enkelt instruktion" [12] [14] .

Endelig, den 14. november 2004, udgav Joanna Red Pill som kildekode til et lille C -program [14] . Denne kode skulle kompileres på Windows, der kører på en Intel-processor [80] .

Men desværre havde dette program mangler, hvor den største ulempe ved programmet var dets manglende evne til at opdage hardwarevirtualisering:

Der er forskel på at definere virtualisering og at definere en specifik hypervisor som BluePill, som vi diskuterede tidligere. Det skal huskes, at RedPill havde til formål at definere den softwarevirtualisering, som VMWare-produkter brugte, selv før Intel og AMD introducerede VT-x/AMD-v (før 2006). Min originale RedPill-detektor, som blev offentliggjort i 2004, er ikke i stand til at detektere hardware-virtualisering [3] .

NUSHU

I december 2004 holdt Joanna et foredrag på den 21. Chaos Communication Congress i Berlin om hemmelige kanaler i Linux-kernen version 2.4. Til denne præsentation udarbejdede hun et konceptprogram, der kan demonstrere den mulige fare fra hemmelige kanaler i virksomhedsnetværk og derved give forskere data gennem disse kanaler til analyse.

Ifølge en medfølgende note skrevet af Joanna selv, er programmet ikke blevet grundigt testet og er kun en demonstration af selve ideen [81] .

Den 2. januar 2005 annoncerede Joanna på sin hjemmeside opdagelsen af ​​NUSHU-materialerne og koden [14] .

Programmet vakte interesse i hackersamfundet, hvilket resulterede i, at flere metoder til at opdage dette program blev foreslået. For eksempel udgav Stephen Murdoch og Stephen Lewis fra Cambridge Computer Laboratory ( www.cl.cam.ac.uk ) et papir i april 2005 om hemmelige kanaler i TCP/IP. I dette dokument præsenteres især en beskrivelse af en metode til at opdage hemmelige kanaler baseret på NUSHU-princippet, og en ny implementering af ideen om hemmelige kanaler kaldet "Lathra" [14] [82] er foreslået .

I midten af ​​november 2005 offentliggjorde Evgeny Tumoyan og Maxim Anikeev fra Taganrog State University et dokument " Netværksbaseret detektion af passive hemmelige kanaler i TCP/IP " , der beskriver en ny metode til at detektere hemmelige kanaler [83] . En måned senere blev dette dokument sendt til gratis gennemgang [14] .

Da han talte ved den 22. Chaos Communication Congress i slutningen af ​​december 2005, fokuserede Stephen Murdoch specifikt på de tekniske detaljer i NUSHU-programmet under sin præsentation . Joanna selv betragtede denne præsentation som "meget cool" [14] .

FLISTER

FLISTER er en konceptkode til at demonstrere evnen til at opdage filer skjult af Windows rootkits i både bruger- og kernetilstande på én gang. Programmet er baseret på at udnytte fejl (normalt lavet af rootkit-forfattere) ved håndtering af et funktionskald ZwQueryDirectoryFile()med metoden ReturnSingleEntrysat til TRUE [84] .

Programmet blev skrevet i begyndelsen af ​​2005 [85] . Den 24. januar 2005 udgav Joanna kildekoden til programmet [14] .

Test udført i begyndelsen af ​​2007 viste, at dette program ikke kun var ustabilt, men at "detektion af rootkits ved hjælp af dette program er praktisk talt umuligt" [86] .

modGREPER

modGREPER er en skjult moduldetektor til Windows 2000/XP/2003. Programmet scanner al den hukommelse, der bruges af kernen (adresser 0x80000000 — 0xffffffff) og leder efter strukturer, der ligner gyldige modulbeskrivelsesobjekter [84] . Indtil videre genkender programmet kun de to vigtigste typer objekter: en ret velkendt _DRIVER_OBJECTog _MODULE_DESCRIPTION. modGREPER har en eller anden form for indbygget kunstig intelligens (mere præcist flere sæt logiske regler, der beskriver de mulige felter i strukturen), som gør det muligt for den at bestemme, om de givne bytes faktisk beskriver modulobjektet.

Derefter bygger modGREPER en liste over fundne objekter, sammenligner dem med hinanden og sammenligner til sidst den resulterende liste med listen over kernemoduler opnået ved hjælp af de dokumenterede API -funktioner (EnumDeviceDrivers).

Det blev antaget, at modGREPER var i stand til at opdage alle former for modul, der gemte sig i brug på det tidspunkt, hvor programmet blev frigivet. Derudover kan nogle af modulerne være markeret som "MIDTÆKKEDE" (" rus. Mistænkelige "). Dette gælder for ikke-skjulte moduler, hvis tilsvarende billedfiler enten mangler eller er placeret i skjulte mapper (skjult af rootkittet, ikke af systemet). Denne adfærd blev tilføjet, fordi de fleste rootkits ikke engang forsøger at skjule deres kernemoduler fra API'et.

Programmet kan også detektere og liste ubelastede kernemoduler. Dette tillader nogle gange mere avancerede (driverløse) kerne-rootkits. Denne liste har dog nogle begrænsninger: den har et begrænset omfang og indeholder kun hovednavnet (base) på modulet (uden at angive stien).

Joanna indrømmede dog selv, at det er ganske muligt at skrive rootkits, der ikke er modtagelige for en sådan verifikation. Som hovedmålet med at udgive et sådant program pegede hun desuden selv på ønsket om at stimulere hackere til at skrive mere sofistikerede rootkits [87] .

Den første version af programmet (0.1) blev udgivet den 6. juni 2005 , den anden og seneste version (0.2) - den 14. juni 2005 [88] .

Test udført i begyndelsen af ​​2007 viste, at dette program ikke kun var ustabilt, men at "detektion af rootkits med dette program er praktisk talt umuligt" [86] .

System Virginity Verifier

Programmet er et lille konsolværktøj, der startes fra kommandolinjen. Ideen bag SVV er at inspicere kerne Windows-systemkomponenter, som forskellige malware søger at ændre. Kontrol giver dig mulighed for at garantere systemets integritet og identificere potentiel infektion af systemet [84] .

I slutningen af ​​september 2005, på Hack In The Box -konferencen i Kuala Lumpur , Malaysia , præsenterede hun den første version af programmet (1.0) [89] . Den 3. oktober 2005 udgiver Joanna den første version af programmet på sin hjemmeside [14] . Den 1. november 2005 blev den første stabile version (1.1) af programmet [90] offentliggjort .

Test udført i slutningen af ​​2005 viste, at programmet kun implementerede "et begrænset sæt af tests", der kun opdagede de rootkits, der "enten kun skjuler en del af deres data eller sletter sig selv, før systemet genstartes" [91] .

Den 25. januar 2006Black Hat-konferencen udgav Federal version 2.2 [92] .

Den seneste version (2.3) blev offentliggjort den 27. februar 2006 [90] .

Den 12. maj 2006 meddelte Joanna på sin blog, at SVV-kildekoden var open source, fordi hun ifølge hende ikke har tid til at udvikle den yderligere, men hun fortsætter med at betragte den tilgang, der blev brugt i programmet, for korrekt og lovende . Under den licens, hvorunder den åbnede koden, giver den brugerne mulighed for at gøre, hvad de vil med kildekoden, op til at bruge den til kommercielle formål [93] .

Test udført i begyndelsen af ​​2007 viste, at dette program ikke kun var ustabilt, men at "detektion af rootkits med dette program er praktisk talt umuligt" [86] .

Blå pille

Joanna har tænkt på sådan et projekt siden omkring marts 2006, hvor AMD's dokumentation om den nye AMD-V virtualiseringsteknologi (tidligere kendt som Pacifica) kom til hende. De første processorer, der understøtter denne teknologi, kom på markedet i slutningen af ​​maj, og allerede i den første uge af juni lykkedes det Joanna at få en af ​​disse processorer i Polen. Fra det øjeblik tog det hende præcis seks dage at skrive den første fungerende version af Blue Pill [33] . Programmet blev præsenteret på Black Hat Briefings-konferencen i Las Vegas den 3. august 2006 [45] .

Da Microsoft sidste år annoncerede, at kernen ville være beskyttet mod at indlæse [uautoriseret] kode, tænkte jeg: "Mmmm, dette er et interessant puslespil. Jeg burde lege med dette [5] .

Nogle rootkit-eksperter (såsom Greg Hoagland , der skrev et af de første rootkits til Windows) har hævdet, at virtuelle maskine-baserede rootkits kun er laboratorielegetøj og ikke udgør nogen reel trussel. Som svar svarede Yoanna, at denne udtalelse godt kunne være sand for programmer som SubVirt, udviklet af Microsoft Research og University of Michigan , men ikke for Blue Pill eller Vitriol, da de er baseret på hardwarevirtualisering, ikke software [94] .

Kort efter lukningen af ​​COSEINC AML grundlagde Joanna Invisible Things Lab, hvorefter arbejdet med Blue Pill blev genoptaget. Joanna og Alexander Tereshkin beslutter sig for at skrive et nyt Blue Pill rootkit (kaldet New Blue Pill for at skelne den nye Blue Pill fra originalen), så den kan bruges til yderligere forskning såvel som uddannelsesformål. Det meste af koden til den nye blå pille blev skrevet af Tereshkin. Den nye blå pille adskilte sig væsentligt fra originalen, ikke kun i implementeringen af ​​nye funktioner, men også i ændringer i arkitekturen (nu er den blevet lig den HVM, der blev brugt i XEN 3).

Rong Fan redesignede den  nye Blue Pill til at fungere med Intel-processorer, mens den tilføjede understøttelse af Intel VT-x hardwarevirtualisering. Ron tilføjede også understøttelse af indlejret virtualisering baseret på VT-x for efterfølgende NBP'er, men denne kode kan ikke udgives på grund af en begrænset offentliggørelsesaftale, men lignende understøttelse af AMD hardwarevirtualisering er open source.

Siden efteråret 2007 har det amerikanske firma Phoenix Technologies [45] støttet arbejdet med den nye Blå Pille .

Qubes

7. april 2010 Joanna annoncerede udviklingen af ​​et nyt meget sikkert operativsystem Qubes (fra det engelske  cubes  - cubes, cubes). Arbejdet med operativsystemet begyndte i december 2009, det tog omkring to måneder at designe systemet, derefter begyndte kodningsfasen [95] . Qubes-arkitekturen blev designet af Yoanna og Rafal, GUI-virtualiseringskoden blev skrevet af Rafal, og resten af ​​systemet blev for det meste skrevet af Yoanna [96] .

Med hensyn til navnet på OS siger Joanna selv [95] følgende :

Åh, jeg synes, det er ret indlysende. Qubes  er sådan en ejendommelig måde at skrive ordet Cubes på, og hver sådan "terning" skal symbolisere en virtuel maskine. Når vi tænker på at bruge en virtuel maskine til beskyttelse, forestiller vi os en slags bur eller kube, det vil sige noget, der kan indeholde og begrænse, hvad det har indeni (for eksempel et ondsindet program).

Originaltekst  (engelsk)[ Visskjule] Åh, jeg syntes, det var ret indlysende. Qubes er bare en fancy måde at skrive kuber på, og hver "terning" skal symbolisere en virtuel maskine (VM). Når vi tænker på en virtuel maskine i sikkerhed, tænker vi på en form for et bur eller en terning, noget der er i stand til at indeholde og fængsle hvad der er indeni (f.eks. et ondsindet program).

Faktisk er udvikling nu en slags tilføjelse til Fedora 12 -operativsystemet . I øjeblikket har Qubes ikke sit eget installationsprogram, så udviklerne har forberedt alle de nødvendige RPM-pakker og testet dem på dette system. Udviklerne antager, at Qubes vil arbejde på andre Linux-systemer, der understøtter RPM-pakker, men denne funktion er ikke blevet testet af dem. Efter at have skrevet deres eget installationsprogram, ønsker udviklerne at gøre Qubes til et selvstændigt system, der ikke kræver installation af andre operativsystemer [97] .

Release 1 Alpha 2 var planlagt til den 11. juni 2010, med den første beta den 1. september 2010 og den første stald den 31. december 2010 [98] .

Version 1.0 blev frigivet den 3. september 2012 [99] [100] .

Priser og præstationer

Personligt computerudstyr

Personligt foretrækker han Apple-produkter [5] .

Joanna bruger også flere andre ikke-Apple-computere (både bærbare og stationære) [3] .

Interesser og hobbyer

Joannas hobby er "programmering af en autonom seksfingret robot med en hjerne baseret på to 8-bit mikrocontrollere" [3] .

Personligt liv

I 2007, da hun blev spurgt af en journalist om, hvad Joanna betragter som hendes største præstation, svarede hun: "Lykkeligt liv med min partner" [4] .

Interessante fakta

Noter

  1. Ifølge den polsk-russiske praktiske transskription . I nogle russisksprogede kilder er hendes navn optaget i dobbelt transskription (gennem den engelske version) - Joanna Rutkowska.
  2. Invisible Things Lab - Ressourcer arkiveret 11. juni 2010 på Wayback Machine 
  3. 1 2 3 4 5 6 7 8 9 10 11 12 Dmitry Chekanov. Interview med Joanna Ratkowska: Virtualization, Rootkits and Hypervisors . Toms hardware (10. august 2009). Dato for adgang: 14. december 2010. Arkiveret fra originalen 8. marts 2012.
  4. 1 2 3 Hacker Joanna Rutkowska . Hentet 9. juni 2010. Arkiveret fra originalen 4. marts 2016.
  5. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Black Hat Woman Arkiveret 22. juni 2009 på Wayback Machine 
  6. 1 2 Joanna Rutkowska - o sobie i bezpieczeństwie systemów operacyjnych Arkiveret 26. august 2010 på Wayback Machine  (polsk)
  7. 1 2 Rutkowska: Antivirussoftware er  ineffektiv
  8. Om virksomheden Arkiveret 12. juni 2010 på Wayback Machine 
  9. CONFidence 2007 - konferencja bezpieczeństwo sytemów, ochrona fizyczna, sikkerhed Joanna Rutkowska Arkiveret 9. marts 2012 på Wayback Machine 
  10. Linux Kernel Backdoors And Their Detection Arkiveret 20. juli 2011 på Wayback Machine 
  11. Rootkits Detection på Windows-systemer Arkiveret 20. juli 2011 på Wayback Machine 
  12. 1 2 3 Paper og konferencepræsentationer Arkiveret 8. juli 2011 på Wayback Machine 
  13. IT Underground tur rapport Arkiveret 26. juli 2011 på Wayback Machine 
  14. 1 2 3 4 5 6 7 8 9 Invisiblethings.org. Nyhedsarkiv Arkiveret 8. juli 2011 på Wayback Machine 
  15. Passive coverkanaler i Linux-kernen Arkiveret 29. november 2020 på Wayback Machine 
  16. Hide-And-Seek: Defining the Roadmap for Malware Detection on Windows Arkiveret 18. april 2011 på Wayback Machine 
  17. Hack In The Box Arkiveret 10. august 2007 på Wayback Machine 
  18. HITBSecConf2005 - Malaysia " Joanna Rutkowska Arkiveret 8. februar 2007 på Wayback Machine 
  19. Åbne metoder til kompromisdetektion arkiveret 14. juni 2010 på Wayback Machine 
  20. Institut for sikkerhed og åbne metoder . Hentet 1. juli 2010. Arkiveret fra originalen 22. juli 2010.
  21. (OWASP-NewJersey) Fw: (ISECOM-nyheder) nyt projekt frigivet -  OMCD
  22. Black Hat Federal 2006 . Hentet 6. august 2010. Arkiveret fra originalen 6. august 2010.
  23. Rootkit Hunting vs. Kompromisdetektion . Hentet 6. august 2010. Arkiveret fra originalen 4. august 2010.
  24. Black Hat Briefings Federal 2006-skema arkiveret 6. august 2010 på Wayback Machine 
  25. Specifikation for Windows Network Driver Interface Arkiveret 6. april 2008 på Wayback Machine 
  26. Black Hat Federal 2006 Wrap-Up, del 3 Arkiveret 17. juni 2021 på Wayback Machine 
  27. IT-Defense 2006 (utilgængeligt link) . Hentet 6. august 2010. Arkiveret fra originalen 12. oktober 2009. 
  28. IT FORSVAR 2006 | AGENDA Arkiveret 12. oktober 2009 på Wayback Machine  (tysk)
  29. IT FORSVAR 2006 | VORTRÄGE Arkiveret 23. oktober 2007 på Wayback Machine 
  30. Introduktion af Stealth Malware Taxonomy Arkiveret 20. juli 2011 på Wayback Machine 
  31. Stealth Malware: Interview med Joanna Rutkowska Arkiveret 11. august 2020 på Wayback Machine 
  32. 1 2 Introduktion af Blue Pill Arkiveret 1. juli 2010 på Wayback Machine 
  33. 1 2 3 4 Joanna Rutkowska - wywiad dla HACK.pl Arkiveret 5. august 2020 på Wayback Machine  (polsk)
  34. CONFidence 2006 (link utilgængeligt) . Hentet 10. juni 2010. Arkiveret fra originalen 10. oktober 2010. 
  35. CONFidence 2006 - turrapport Arkiveret 11. maj 2009 på Wayback Machine 
  36. Materiały zgodnie z programem konferencji Arkiveret 1. september 2009 på Wayback Machine  (polsk)
  37. The Blue Pill Hype Arkiveret 5. februar 2010 på Wayback Machine 
  38. Om Speaker Arkiveret 13. juli 2010 på Wayback Machine 
  39. Arkivprogram Arkiveret 13. juli 2010 på Wayback Machine 
  40. 1 2 Microsoft får god modtagelse på Black Hat Arkiveret 17. oktober 2013 på Wayback Machine 
  41. Microsoft løfter låget på hackerkonference Arkiveret 10. november 2013 på Wayback Machine 
  42. Vista hacket på Black Hat Arkiveret 16. juni 2011 på Wayback Machine 
  43. Tilbage fra Black Hat Arkiveret 2. maj 2014 på Wayback Machine 
  44. Blå pille/rød pille - matrixen har vinduer langhorn Arkiveret fra originalen den 25. februar 2012.  (Russisk)
  45. 1 2 3 4 Blue Pill Project Arkiveret 17. februar 2009 på Wayback Machine 
  46. HITBSecConf2006 - Malaysia: KONFERENCEAGENDA Arkiveret 5. januar 2009 på Wayback Machine 
  47. HITB - Forsker gør Blue Pill endnu sværere at opdage Arkiveret 1. december 2020 på Wayback Machine 
  48. På hackerkonferencen får Microsoft kredit for  indsatsen
  49. Rutkowska lancerer egen  opstart
  50. Evolution arkiveret 7. maj 2010 på Wayback Machine 
  51. Iron Lady Arkiveret 25. maj 2010 på Wayback Machine  (russisk)
  52. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 Begivenheder Arkiveret 9. juli 2010 på Wayback Machine 
  53. Voorlopig tijdschema Arkiveret 14. juni 2011 på Wayback Machine  (n.d.)
  54. Virtualisering - Den anden side af mønten Arkiveret 14. juni 2011 på Wayback Machine 
  55. CONFidence 2007 - konferencja bezpieczeństwo sytemów, ochrona fizyczna, sikkerhed Agenda Arkiveret 1. april 2011 på Wayback Machine  (polsk)
  56. Tidligere begivenheder Arkiveret 8. juli 2011 på Wayback Machine 
  57. CONFidence 2007 - konferencja bezpieczeństwo sytemów, ochrona fizyczna, security.Prezentacje Arkiveret 31. oktober 2009 på Wayback Machine  (polsk)
  58. Den 8. Info-Security Conference 2007. Dagsorden  (downlink  )
  59. Det 8. Info-sikkerhedsprojekt. Frk. Joanna Rutkowska  (utilgængeligt link)  (engelsk)
  60. Den mest berømte kvindelige hacker optræder i Rostov ved Don som en del af CIO Summit Rostov . Hentet 9. juni 2010. Arkiveret fra originalen 4. marts 2016.
  61. Black Hat USA 2007 træningssessioner arkiveret 17. december 2010 på Wayback Machine 
  62. Understanding Stealth Malware Arkiveret 18. december 2010 på Wayback Machine 
  63. Black Hat Briefings og træning USA 2007. Skema Arkiveret 13. december 2010 på Wayback Machine 
  64. Black Hat USA 2007 emner og højttalere Arkiveret 13. december 2010 på Wayback Machine 
  65. På IT-direktørernes kongres talte om sikkerhed
  66. Beyond the CPU: Defeating Hardware Based RAM Acquisition Tools . Hentet 9. juni 2010. Arkiveret fra originalen 8. februar 2010.
  67. Xen-virtualisering sluger en "blå pille" (link utilgængeligt) . Hentet 9. juni 2010. Arkiveret fra originalen 8. december 2013. 
  68. The RSA Absurd Arkiveret 15. marts 2012 på Wayback Machine 
  69. CONFidence 2008 - konferencja bezpieczeństwo sytemów, security.Speakers Arkiveret 24. februar 2011 på Wayback Machine 
  70. CONFidence 2008 - konferencja bezpieczeństwo sytemów, sikkerhed. Joanna Rutkowska Arkiveret 4. marts 2016 på Wayback Machine 
  71. Black Hat 2008: The Zen of Xen Arkiveret 16. oktober 2016 på Wayback Machine 
  72. Joanna Rutkowska og Rafal Wojtczuk. Detektering og forebyggelse af Xen Hypervisor-subversioner. Præsenteret på Black Hat USA, Las Vegas, NV, USA,  2008
  73. Rafal Wojtczuk, Joanna Rutkowska og Alexander Tereshkin. Xen 0wning Trilogy: kode og demoer. http://invisiblethingslab.com/resources/bh08/ Arkiveret 9. juni 2010 på Wayback Machine , 2008.  (engelsk)
  74. 1 2 3 Rafal Wojtczuk & Joanna Rutkowska - Attacking Intel Trusted Execution Technology Arkiveret 18. oktober 2010 på Wayback Machine 
  75. Black Hat DC Briefings 2009 Arkiveret 31. juli 2010 på Wayback Machine 
  76. Black Hat Briefings DC 2009-skema Arkiveret 1. august 2010 på Wayback Machine 
  77. Black Hat DC 2009  turrapport
  78. CONFidence 2009 - konferencja bezpieczeństwo sytemów, sikkerhed. Højttalere Arkiveret 16. august 2010 på Wayback Machine 
  79. CONFidence 2009 - konferencja bezpieczeństwo sytemów, sikkerhed. Joanna Rutkowska Arkiveret 1. april 2011 på Wayback Machine 
  80. ↑ Red Pill... eller hvordan man detekterer VMM ved hjælp af (næsten ) én CPU-instruktion Arkiveret 11. september 2007 på Wayback Machine 
  81. NUSHU Passive Covert Channel i TCP ISN-numre. Readme Arkiveret 8. juli 2011 på Wayback Machine 
  82. Indlejring af skjulte kanaler i TCP/IP Arkiveret 8. februar 2006 på Wayback Machine 
  83. Netværksbaseret registrering af passive skjulte kanaler i TCP/  IP
  84. 1 2 3 Værktøjer og proof-of-concept-koder Arkiveret 8. juli 2011 på Wayback Machine 
  85. FLISTER - afdækning af filer skjult af Windows rootkits. Readme Arkiveret 8. juli 2011 på Wayback Machine  
  86. 1 2 3 Moderne ARK'er - illusion om detektion? Arkiveret 5. marts 2016 på Wayback Machine 
  87. modGREPER Readme Arkiveret 8. juli 2011 på Wayback Machine 
  88. modGREPER changelog Arkiveret 8. juli 2011 på Wayback Machine 
  89. System Virginity Verifier. Definition af køreplanen for malware-detektion på Windows-systemet Arkiveret 8. juli 2011 på Wayback Machine på Hack In The Box-sikkerhedskonferencen 
  90. 1 2 SVV changelog Arkiveret 8. juli 2011 på Wayback Machine 
  91. Polowanie na hertugdømmet  (polsk) 28-11-2005
  92. Rootkit Hunting vs. Kompromisdetektion arkiveret 8. juli 2011 på Wayback Machine på Black Hat Federal 2006, 25. januar  2006
  93. SVV-kildekode offentliggjort! Arkiveret 20. juli 2009 på Wayback Machine 
  94. Rutkowska: Antivirussoftware er ineffektiv (side 2  )
  95. 1 2 Interview med Joanna Rutkowska! Arkiveret 30. maj 2010 på Wayback Machine 
  96. Qubes FAQ Arkiveret 27. juli 2010 på Wayback Machine 
  97. Qubes User's FAQ Arkiveret 7. august 2010 på Wayback Machine 
  98. Roadmap - Qubes Arkiveret 4. juni 2010 på Wayback Machine 
  99. Qubes OS 1.0 / Habrahabr . Hentet 21. september 2012. Arkiveret fra originalen 15. september 2012.
  100. The Invisible Things Labs blog: Introduktion af Qubes 1.0! . Hentet 21. september 2012. Arkiveret fra originalen 7. september 2012.
  101. Five Hackers Who Left a Mark on 2006  (utilgængeligt link)  (eng.) , Ryan Narain, eWeek.com
  102. 12 "White Hat" hackere du bør kende Arkiveret 15. juni 2010 på Wayback Machine 
  103. Invisible Things Lab, Bitlocker/TPM-omgåelse og nogle konferencetanker Arkiveret 12. august 2011 på Wayback Machine 
  104. Zero For 0wned's Summer of Hax Arkiveret 6. marts 2010 på Wayback Machine 

Links

Hjemmesider og blogs Artikler Interview Andet
  Gå til Wikidata-elementet  I sociale netværk
I bibliografiske kataloger