» »

Intervju z Joanno Rutkowsko

 Joanna Rutkowska

Joanna Rutkowska

vir: Tom's Hardware
Tom's Hardware - Na Tom's Hardware so pred kratkim objavili intervju z Joanno Rutkowsko.



Gre za direktorico podjetja Invisible Things Lab, ki se ukvarja z raziskovanjem na področju varnosti računalniških sistemov, predvsem z raziskavami prikrivanja zlonamerne programske kode. Rutkowska je tudi avtorica znanega programa BluePill, rootkita, ki se skrije v sistem s pomočjo AMD-V in Intel VT virtualizacijske tehnologije.

V intervjuju govori o razvoju zlonamernega programja, pristopih borbe proti njemu in informacijski varnosti an splošno. Posebej zanimiv je tudi del kjer govori o Ring -1 (izkoriščajo strojno virtualizacijsko podporo), Ring -2 (izkoriščajo System Management Mode procesorja) in celo Ring -3 rootkitih (o slednjem je povedala le, da bo predstavljen na konferenci Black Hat naslednji mesec).

Vsekakor zanimivo branje, občasno pa se splača pogledati tudi na njen blog.

54 komentarjev

strani: « 1 2

Pyr0Beast ::

So, the moment I learn that processors have built-in eeprom memory, I will start thinking seriously there are backdoors out there :)
Heh, proci dejansko imajo nekaj osnovnega takšne logike, ki jo potrebujejo že zaradi VID nastavitev, tudi pisati se da vanjo, kar ni nič novega. Se pa načeloma zadeve ob ponovnem zagonu pobrišejo.

Xeoni naj bi imeli read-only eeprom z informacijami o procesorju, sama zadeva pa se pri starejših in tudi nekaterh novejših nahaja izven samega jedra.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

terryww ::

@Kenpachi
ima partnerko, tak da žal nebo nič. Je pa zanimivo brat kako se strokovnjaki spopadajo z vsakodnevno izpostavljenostjo internetu, kako dostopajo do svojega bank@neta oz klika itd.

ABX ::

Mah, morala zgodbe je, da smo v nevarnosti.

Ženska uporablja Virtualizacijo da varno brska po netu. VM1 za vsak dan, VM2 za pomembne zadeve. Vendar sama je dokazala kako okužen VM1, lahko okuži tudi VM2, tako da spet si na istem.

V bistvu ni 100% rešitve, to je povedala.

Aja, AV so zanič, to itak, na žalost, že vemo. :/

P.S: Hardware level virusi so zelo nevarni, vedno so bili, vedno bojo. Zaščite na tem nivoju ni, oz. je zelo omejena.
P.S.S: Pove da je Linux najbolj varen, prizna pa da uporablja Mac ker je sexi. Človeška narava, vemo kaj je prav, ampak delamo tisto kar nam najbolj paše.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

Pyr0Beast ::

Proti HW lvl. kitom tako ali drugače ne moreš praktično nič, kot da menjaš HW :)
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

terryww ::

Ne vem koliko je modro dvigovat prah okoli raznih low level virusov, napadov ipd., ker itak na vsakem compu laufa BIOS. Če bi kdorkoli želel imeti dostop do compa, je najmanj dela vgradit backdoor v bios (plačaš Intelu za sodelovanje recimo) in imaš dostop do podatkov v ramu, bereš odkodirane podatke v cpuju in po možnosti uporabiš kak in house narejen protokol, ki recimo v wiresharku ipd. zgleda kot šum (oz ga sploh ne registrira) za prenos podatkov na nek svoj server. Deluje neodvisno od OS-a (tudi OpenBSD ni potem problem) in OS nič od tega ne zazna. Vse je lepo del sistema. Ni daleč nazaj, ko so ZDA napovedale cyber vojsko, katere eden primarnih ciljev je bil napisat program, ki bo omogočal dostop do compov neglede na OS, varnostne patche itd. Takrat se jim je cel /. delal norca. No, fajn da se vedno več govori o low level varnosti, čeprav o problemu z biosi je mnda pridigal politikom samo en admin iz LANL-ja.

Sicer pa se aktivno razvija OpenBIOS, ki ga med drugim na vlko uporabljajo admini na sistemih v LANL-u... če zadeva dela (in če dela dobro) na kr nekem xy pc-ju, je pa za preverit.

Zgodovina sprememb…

  • spremenil: terryww ()

ABX ::

Ali pa podariš reklamni USB ključ.


Autorun FTW! :)
Vaša inštalacija je uspešno spodletela!

Pyr0Beast ::

Heh, ja no, open bios. Dela, ampak za navadnega uporabnika praktično neuporabno. Intel dela na svoji 'odprti' rešitvi v svojih zaprtih krogih. Vsake kvatre zmečejo kakšen papir ven in vedno poudarijo da se kar se da trudijo sodelovati z izdelovalci HW :D

Sem pa že dolgo nazaj dal pomislek, na to, kaj vse bi se dalo zmetati v tisti eepromček od same grafe. Namesto 256k daš go 2M, mogoče celo 8M čip, razlike v videzu praktično ni, razen napisa, vanj pa lahko stlačiš kar lep kup kode, ki se navadno inicializira že dolgo preden dejanski bios sploh pride v akcijo POST-a. Nato lahko na grafo dodaš še namesto 128MB rama, kar 512, preostanek pa lepo skriješ samemu sistemu. Sicer, kaj ti brani da na grafo ne nalotaš kar svoj CPU. Uporabnik tako ali drugače ne ve kaj je to, ti pa lahko to zadevo reklamiraš kot SuperMultiUltraAdvancedHyperPerformance Chip :)
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

terryww ::

Hja, kdo bi si mislil, da je lahko SIGINT tako enostaven in efektiven :).

Jumping Jack ::

Baje obstaja možnost, da je bila ona včasih tip, hmm...

filip007 ::

"Take the BluePill and wake up as hot chick".

Kaj nakladajo o virtulnih virusih ja možno je da se virus skrije pod V kodo v CPU pa tam deluje sam zase kot pod sistem ni slabo. Se pač v BIOS izklopi V podporo pa je ane...
PristyTools.com

Matthai ::

Če bi kdorkoli želel imeti dostop do compa, je najmanj dela vgradit backdoor v bios (plačaš Intelu za sodelovanje recimo) in imaš dostop do podatkov v ramu

Ni potrebno. Dovolj je, da uporabniku podtakneš USB ali firewire napravo. Poglej si recimo tole:
http://matej.owca.info/predavanja/Foren..., stran 31 dalje. Tole sva z Daedausom delala pred časom.

Druga opcija je pa recimo ethernet kartica. Daedalus ima doma enega starejšega Compaqa, ki omogoča, da se priklopiš na eth kartico in na njej izvajaš ukaze (v bistvu imajo to praktično vsi serverji). Omrežna kartica se dejansko obnaša kot nekakšen računalnik, na katerem pač poganjaš ukaze. OS tega sploh ne zazna, da si gor.

Finta je pa v tem, da ima omrežna kartica seveda dostop do RAM-a. Kar pomeni... :D


Kaj nakladajo o virtulnih virusih ja možno je da se virus skrije pod V kodo v CPU pa tam deluje sam zase kot pod sistem ni slabo. Se pač v BIOS izklopi V podporo pa je ane...

Kaj pa Ring -2?
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Zgodovina sprememb…

  • spremenil: Matthai ()

Sago ::

Ali pa se je sprva pod psevdonimom izdajala za tipa...

fiction ::

Ali pa se je sprva pod psevdonimom izdajala za tipa...
Problem je samo v tem, da je tisti Jan verjetno moral res obstajati, ce je dobil email account na faksu (kjer najbrz ni mogel dati fake podatkov). Zanimivo nakljucje je, da se je potem ko je izginil Jan pojavila Joanna. No cisto mogoce je, da je to njen brat, ki je umrl v nesreci ali kaj takega in je potem ona nadaljevala z delom. Obstaja pa tudi druga moznost.

denial ::

Ring -2, Ring -3 .... Ring -HowLowCanTheyGoToScareMedia >:D
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

[D]emon ::

Problem je samo v tem, da je tisti Jan verjetno moral res obstajati, ce je dobil email account na faksu (kjer najbrz ni mogel dati fake podatkov). Zanimivo nakljucje je, da se je potem ko je izginil Jan pojavila Joanna. No cisto mogoce je, da je to njen brat, ki je umrl v nesreci ali kaj takega in je potem ona nadaljevala z delom. Obstaja pa tudi druga moznost.


In to je pomembno zakaj ze? Pomembni so rezultati raziskav ter njihove implikacije.

nejck ::

Ali pa se je sprva pod psevdonimom izdajala za tipa...
Problem je samo v tem, da je tisti Jan verjetno moral res obstajati, ce je dobil email account na faksu (kjer najbrz ni mogel dati fake podatkov). Zanimivo nakljucje je, da se je potem ko je izginil Jan pojavila Joanna. No cisto mogoce je, da je to njen brat, ki je umrl v nesreci ali kaj takega in je potem ona nadaljevala z delom. Obstaja pa tudi druga moznost.


objavljala je z naslova jrutkovski@... kar pomeni da je ta naslov lahko pomenil tudi joanna rutkowska :P

lp

Sago ::

@Demon

Tudi med hi-tech geeki mora biti malo rumenega tiska... ;)

ABX ::

Druga najbolj enostavna zadeva za USB ključi, je wireless router.

Ga vtakneš v en ethernet port in heckaš firmo iz sosednje gostilne.
Vaša inštalacija je uspešno spodletela!

Matthai ::

In to je pomembno zakaj ze? Pomembni so rezultati raziskav ter njihove implikacije.

Zato ker so sedaj vsi geeki zaljubljeni v to žensko. In bi bili strašno razočarani, če bi bil to v resnici moški... :D

Ring -2, Ring -3 .... Ring -HowLowCanTheyGoToScareMedia >:D

Jah, poimenovanja so malo hypovska. Research je pa zelo zanimiv.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Pyr0Beast ::

Druga opcija je pa recimo ethernet kartica. Daedalus ima doma enega starejšega Compaqa, ki omogoča, da se priklopiš na eth kartico in na njej izvajaš ukaze (v bistvu imajo to praktično vsi serverji). Omrežna kartica se dejansko obnaša kot nekakšen računalnik, na katerem pač poganjaš ukaze. OS tega sploh ne zazna, da si gor.
Jep, Compaq so meli to lepo implementirano v sam bios in bios block na HDD-ju za recovery zadeve. Nekako podobno kot imamo danes PXE boot rom.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

ABX ::

To vse zahteva fizičen dostop do PC-ja. Ni praktično.
Vaša inštalacija je uspešno spodletela!

terryww ::

@ABX
Točno to. Če pa z recimo Phoenixem, ki pokriva 80% BIOS trga, podpišeš NDA češ da gre za državno varnost, pa ne rabiš nikakršnega fizičnega dostopa.

@Matthai
A ne dela isto IPMI? Sam to dejansko olajša delo adminom v datacentru ali pa če imaš oddaljen dostop, drugo je če nekaj v trgovini kupiš, naložiš OpenBSD brez X-a, surfaš samo z Lynx-om :) itd. in vidiš, da si za razliko od win95 samo zožal krog gledalcev. Me zanima kak imajo te zadeve rešene na ambasadah, kaj tam ženejo.

denial ::

Tale research je tudi zelo zanimiv pa sploh nima medijskega kritja.
SELECT finger FROM hand WHERE id=3;

terryww ::

Tud na strani Mateja Kovačiča je par zanimivih člankov, recimo o nadzoru komunikacij v Sloveniji.

ABX ::

@ABX
Točno to. Če pa z recimo Phoenixem, ki pokriva 80% BIOS trga, podpišeš NDA češ da gre za državno varnost, pa ne rabiš nikakršnega fizičnega dostopa.


Hja, samo okužit Phoenix BIOS in pri tem da te noben ne opazi, ni glih enostavno.
Ni nemogoče, ampak imaš bolj enostavne in učinkovite pristope.
Vaša inštalacija je uspešno spodletela!

Matthai ::

A ne dela isto IPMI?

Da.

Vprašanje je seveda, ali lahko na strojni opremi povrzočiš kakšen buffer overflow in otem poženeš lastno kodo...

Me zanima kak imajo te zadeve rešene na ambasadah, kaj tam ženejo.

Kolega je bil lansko leto na nekem infosec sestanku NATA. Pobrali so jim vso opremo in jih zaprli v varno sobo. Računalnika in telefona ni smel prižgati.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

ABX ::


Kolega je bil lansko leto na nekem infosec sestanku NATA. Pobrali so jim vso opremo in jih zaprli v varno sobo. Računalnika in telefona ni smel prižgati.


Še dobro da ni imel kakega čipa pod kožo. :)
Vaša inštalacija je uspešno spodletela!

terryww ::

@ABX
Točno to. Če pa z recimo Phoenixem, ki pokriva 80% BIOS trga, podpišeš NDA češ da gre za državno varnost, pa ne rabiš nikakršnega fizičnega dostopa.


Hja, samo okužit Phoenix BIOS in pri tem da te noben ne opazi, ni glih enostavno.
Ni nemogoče, ampak imaš bolj enostavne in učinkovite pristope.


Podpišem pogodbo s Phenix, ki mi da na razpolago njihov source za bios, jaz pa jim potem njihov source "razširim" z mojimi komandami, skompajlam in jim vrnem rekoč, da naj zaj to oni prodavajo kot njihov produkt. Ker gre za recimo nacionalno varnost, se kaznuje, če že o tem govorijo.

terryww ::


Kolega je bil lansko leto na nekem infosec sestanku NATA. Pobrali so jim vso opremo in jih zaprli v varno sobo. Računalnika in telefona ni smel prižgati.


heh, mislim, da je to dovolj zgovorno :)

gokky ::

Kolega je bil lansko leto na nekem infosec sestanku NATA. Pobrali so jim vso opremo in jih zaprli v varno sobo. Računalnika in telefona ni smel prižgati.


Ne rabiš v NATO, dovolj je obisk na SCT.

gokky ::

Ženska uporablja Virtualizacijo da varno brska po netu. VM1 za vsak dan, VM2 za pomembne zadeve. Vendar sama je dokazala kako okužen VM1, lahko okuži tudi VM2, tako da spet si na istem.
V bistvu ni 100% rešitve, to je povedala.


Kaj pa 3 fizične mašine in KVM? Vsaka mašina pa preko svojega VLAN porta (če že mora biti priključena na NET). Nisem še slišal, da bi se čez KVM switch kaj prenašalo(zanikam pa tudi ne take možnosti).

ABX ::

@ABX
Točno to. Če pa z recimo Phoenixem, ki pokriva 80% BIOS trga, podpišeš NDA češ da gre za državno varnost, pa ne rabiš nikakršnega fizičnega dostopa.


Hja, samo okužit Phoenix BIOS in pri tem da te noben ne opazi, ni glih enostavno.
Ni nemogoče, ampak imaš bolj enostavne in učinkovite pristope.


Podpišem pogodbo s Phenix, ki mi da na razpolago njihov source za bios, jaz pa jim potem njihov source "razširim" z mojimi komandami, skompajlam in jim vrnem rekoč, da naj zaj to oni prodavajo kot njihov produkt. Ker gre za recimo nacionalno varnost, se kaznuje, če že o tem govorijo.


Malo preveč si sfantaziran. To mogoče uspe samo v kaki nadaljevanki.
Vaša inštalacija je uspešno spodletela!

ABX ::

Ženska uporablja Virtualizacijo da varno brska po netu. VM1 za vsak dan, VM2 za pomembne zadeve. Vendar sama je dokazala kako okužen VM1, lahko okuži tudi VM2, tako da spet si na istem.
V bistvu ni 100% rešitve, to je povedala.


Kaj pa 3 fizične mašine in KVM? Vsaka mašina pa preko svojega VLAN porta (če že mora biti priključena na NET). Nisem še slišal, da bi se čez KVM switch kaj prenašalo(zanikam pa tudi ne take možnosti).


Te 3 mašine si delijo mrežo? :)
Vaša inštalacija je uspešno spodletela!

Daedalus ::

Ženska uporablja Virtualizacijo da varno brska po netu. VM1 za vsak dan, VM2 za pomembne zadeve. Vendar sama je dokazala kako okužen VM1, lahko okuži tudi VM2, tako da spet si na istem.
V bistvu ni 100% rešitve, to je povedala.


Še kr dobra rešitev. Odporna na njeno modro tabletko. 100% rešitve itak da ni, gre se vedno samo za oteževanje dela zlonamernimu programju/osebam. Beri - nepatchan OS, direktno izpostavljen na internet, bo kmal fasal kako neprijetnost. Popatchan sistem z dobrim firewallom, malo težje. Pol ko začneš enkrat proper omejevat userje, je tud že kr kul. Če te res skrbi, pol se ubadaš z razmimi SELinux rešitvami in tako naprej. V vsakem primeru se da v računalo še vedno vdret. Sam... nivo znanja, potreben za kaj takega pri solidno zavarovanih sistemih, je neprimerno večji od "znanja", ki ga premorejo avtomatizirane skripte al pa skript kidiji.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

ABX ::

Itak, če vzameš varnost na splošno, se zavedaš da 100% zaščita ne obstaja. Zato pa je pomembno da si toliko zavarovan, da nepridiprav raje napade soseda, ker bo dosegel isto z manj truda.
Vaša inštalacija je uspešno spodletela!

terryww ::


Malo preveč si sfantaziran. To mogoče uspe samo v kaki nadaljevanki.

ja, če ti dolgotrajni spomin drži okoli leto in pol... in ker je pogodba med raznimi podjetji in inštitucijami notranjega ministrstva nekaj iz TV. tak, čisto za hec poskusimo nekaj prebrat tu pa tam,ne boli

Matthai ::

Sam tolk, v info - Joanno so pohekali: http://r00tsecurity.org/files/zf05.txt

$ uname -a
Linux heze.lunarpages.com 2.6.9-78.0.22.ELsmp #1 SMP Thu Apr 30 19:14:39 EDT
2009 i686 i686 i386 GNU/Linux
$ grep invisi /etc/passwd
invisi6:x:32181:32182::/home/invisi6:/usr/local/cpanel/bin/noshell
$ host invisiblethingslab.com
invisiblethingslab.com has address 216.97.235.20
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

ABX ::

Prvo pravilo varnosti, ne se kazat. :)
Vaša inštalacija je uspešno spodletela!

terryww ::

zanimivo bi bilo vedet če so te mašine bile zavarovane s SELinuxom ali čem podobnim. SE Linux Play Machine je že nekaj let na voljo, dobiš root, pa še noben ni zrihtal kaj pametnega recimo.

Matthai ::

Problem je, da so teli tipi nekako dobili root gesla.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

ABX ::

zanimivo bi bilo vedet če so te mašine bile zavarovane s SELinuxom ali čem podobnim. SE Linux Play Machine je že nekaj let na voljo, dobiš root, pa še noben ni zrihtal kaj pametnega recimo.


Sej je že sama povedala, da ne uporablja najbolj varne pristope, ker ima rajši lep GUI.
Vaša inštalacija je uspešno spodletela!

terryww ::

maš za SELinux tudi gui (čekiraj red hat oz centos). pri red hatu so razvili celo vrsto rešitev za debuganje selinux pravil...

ABX ::

maš za SELinux tudi gui (čekiraj red hat oz centos). pri red hatu so razvili celo vrsto rešitev za debuganje selinux pravil...


LEP gui. ne samo GUI.
Vaša inštalacija je uspešno spodletela!

denial ::

Ring -3 == Active Management Technology

Če smo prav natančni Invisiblethingslab.com dejansko niso pwnali. Če dobro pogledaš nimajo #. Imajo le shell na kišti njenega web hosting providerja. Tega so lahko tudi kupili za 10$ (+ stolen CC). Res pa je tudi, da ima kernel 2.6.9-78.0.22.EL exit_notify() vrzel. Torej, zakaj nimajo rootshell? Hint: "Needs /proc/sys/fs/suid_dumpable set to 1 or 2. The default is 0 so you'll be out of luck most of the time." Hmmm...

SELinux: cheddar_bay.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

gokky ::

Te 3 mašine si delijo mrežo? :)


Kot sem rekel vsaj ločeno preko VLAN (vsaj port-based), zelena pa verjetno brez mreže.

terryww ::


SELinux: cheddar_bay.

"A vulnerability which, when viewed at the source level, is unexploitable!
But which, thanks to gcc optimizations, becomes exploitable :)"
It is the night. My body's weak.
I'm on the run. No time to sleep.

ABX ::

Te 3 mašine si delijo mrežo? :)


Kot sem rekel vsaj ločeno preko VLAN (vsaj port-based), zelena pa verjetno brez mreže.


Sem preveč na hitro prebral. KVM switch poslabša kvaliteto video signala.
Vaša inštalacija je uspešno spodletela!

Daedalus ::

Računalo brez mreže je precej neuporabno. Tak da to ni lih opcija.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

MrStein ::

Matthai:
Problem je, da so teli tipi nekako dobili root gesla.

Ali so najprej dobili geslo in se prijavili.
Ali so vdrli in nato razbili geslo (kar je trivialno, razen če je zelo varno, najbrž ni bilo).
Teštiram če delaž - umlaut dela: ä ?
strani: « 1 2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Qubes OS - operacijski sistem za visoko stopnjo varnosti (strani: 1 2 )

Oddelek: Novice / Varnost
697897 (2773) Matija82
»

Evil Maid napad na TrueCrypt

Oddelek: Novice / Varnost
414013 (2500) Matthai
»

Predstavitev Ring -3 rootkitov na BlackHat konferenci

Oddelek: Novice / Varnost
82019 (1483) jype
»

Hekerski napadi na številne varnostne strokovnjake

Oddelek: Novice / Varnost
243120 (1333) riba1122
»

Napadi iz virtualnih strojev

Oddelek: Novice / Varnost
221707 (1707) MrStein

Več podobnih tem