РЕКЛАМА
ИНФОРМАЦИЯ
Rambler's Top100 Рейтинг@Mail.ru

СЕТИ

Интервью с Джоанной Ратковской: виртуализация, руткиты и гипервизоры
Краткое содержание статьи: На днях нам посчастливилось пообщаться с Джоанной Ратковской (Joanna Rutkowska), одним из ведущих специалистов-новаторов в области компьютерной безопасности в мире. Она является основателем и главным исполнительным директором (CEO) Invisible Things Lab (ITL), компании, занимающейся консалтингом и исследованиям в сфере компьютерной безопасности. Джоанна известна своими эксплойтами BluePill и RedPill, также интересными работами и докладами на конференциях. Подробности вы узнаете в нашем интервью.

Интервью с Джоанной Ратковской: виртуализация, руткиты и гипервизоры


Редакция THG,  10 августа 2009
Назад
Вы читаете страницу 1 из 5
1 2 3 4 5
Далее


Введение

На днях нам посчастливилось пообщаться с Джоанной Ратковской (Joanna Rutkowska), одним из ведущих специалистов-новаторов в области компьютерной безопасности в мире. Она является основателем и главным исполнительным директором (CEO) Invisible Things Lab (ITL), компании, занимающейся консалтингом и исследованиям в сфере компьютерной безопасности.

Интервью с Джоанной Ратковской

Нажмите на картинку для увеличения.

THG. Джоанна, спасибо, что согласилась с нами пообщаться. Давай начнём с простого. Ты смогла "выгрызть" собственную нишу в мире компьютерной безопасности благодаря превосходному опыту в области скрытых атак, таких как руткиты, а позднее благодаря выявлению уязвимостей в виртуальных машинах и "железе" на низком уровне. Но перед тем как мы про всё это поговорим, почему бы тебе не рассказать о себе?

Джоанна. Я - исследователь, который фокусируется на проблемах безопасности системного уровня, например, в ядре, гипервизоре, чипсете и т.д. Именно исследователь, а не охотник за уязвимостями или тестер. Меня больше интересуют фундаментальные проблемы, а не какие-то конкретные "дыры" в каких-либо программах пользователей. Например, может ли ОС/платформа обеспечить какую-либо защиту пользователя, несмотря на то, что приложения, например, Adobe Reader или IE могут быть потенциально скомпрометированы? Я верю в "безопасность путём изоляции".

Что касается бизнеса, то я - основатель и директор Invisible Things Lab (ITL), небольшой компании, занимающейся исследованиями и консультациями в области безопасности. Я очень горжусь командной, которую я смогла создать в ITL, в которую входят Александр Терешкин (Alexander Tereshkin) и Рафль Войтсзак (Rafal Wojtczuk), два наиболее опытных исследователя в сфере безопасности системного уровня.

В последнее время я всё меньше занимаюсь "исследованиями с отладчиком", переходя на более высокую роль, которая необходима для руководства работой моей команды. Да, мне нравится новая роль директора.

THG. Да, хорошо быть начальником. Как ты начала карьеру в области исследования безопасности?

Джоанна. Это было так давно, что я уже и не помню. ;)

THG. Ладно, спрошу чего полегче. Какой был твой первый компьютер и первое впечатление от компьютеров? Мой был TI-99/4A, я играл в Parsec и Alpiner. Я ещё помню, как набрал “OLD DSK1” когда мне было три года.

Джоанна. Это был PC/AT 286, работающий с невероятной частотой 16 МГц, если я правильно помню, оснащённый 2 Мбайт памяти (если я не ошибаюсь, для этого пришлось сапгрейдить материнскую плату). Мне было 11 лет, когда я начала развлекаться с компьютером. Почти сразу же я познакомилась с GW-BASIC, а затем через год или около того я переключилась на Borland Turbo Basic - это был просто убойный язык с замечательным графическим интерфейсом и возможностью "собирать" исполняемые файлы!

THG. На что похожа неделя в вашем офисе?

Джоанна. Мы гордимся тем, что мы - современная компания. У нас нет физического офиса вообще. Все работают на дому, а информацией мы обмениваемся через почту с шифрованием. У нас нет такого, чтобы работник высиживал в офисе с девяти до пяти. Работа, которой мы занимаемся, требует креативности, и было бы глупо заставлять людей высиживать чёткий график.

Лично для меня очень важно подремать после обеда. Я вообще не могу долго работать, если нормально не выспалась. Честно говоря, я даже день в офисе никогда не выдерживала.

THG. (посмеявшись) На кого похож обычный клиент ITL?

Джоанна. Мы позиционируем наши услуги в основном на вендоров системного уровня.

THG. То есть клиент похож на производителей BIOS и отдельные корпорации, которым требуется безопасное компьютерное окружение?

Джоанна. Я бы хотела подчеркнуть слово вендоры, поскольку мы заинтересованы в том, чтобы у нас была возможность влиять на технологии. По моему мнению, единственный смысл выполнения активных исследований безопасности заключается в том, чтобы выдавать конструктивную критику и менять или улучшать технологии, которые у нас сегодня есть. Таким образом, в идеальном случае мы работаем как с аппаратными (CPU/чипсет), так и с программными (BIOS/OS) вендорами, поскольку некоторые новые и интересные аппаратные технологии можно использовать только в паре с правильно разработанным системным ПО.

THG. Какая конфигурация у твоего основного компьютера?

Джоанна. Мой основной настольный компьютер - это восьмиядерный Mac Pro (2 x 2,8 ГГц Intel Xeon) с 16 Гбайт памяти и роскошным 30" монитором Apple. Это самый красивый настольный компьютер, который у меня когда-либо был - как по внешнему виду, так и по графическому интерфейсу.

Я также пользуюсь довольно старым чёрным MacBook (Santa Rosa, Core 2 Duo 2,2 ГГц, 4 Гбайт памяти) в качестве универсального ноутбука. Я отложила покупку нового стильного MacBook Pro с цельным корпусом, поскольку до недавнего времени у него не было поддержки более 4 Гбайт памяти (по крайней мере, это касается 15" моделей, которые я предпочитаю), а мне это важно.

Впрочем, я вижу слабые стороны аппаратного обеспечения Mac: они касаются отсутствия TPM, TXT, VT-d и системы OS X. Я пытаюсь обойти некоторые ограничения ОС с помощью виртуализации.

Я также использую несколько обычных ПК, причём это и ноутбуки, и настольные машины. Иногда я поражаюсь, насколько неказистыми кажется большая часть обычных ноутбуков по сравнению с продуктами Apple. Одним исключением можно назвать Voodoo Envy 133 - мне просто нужен был новый чипсет, поэтому я нашла рациональное оправдание для покупки. ;)

THG. Я работал уже с двумя поколениями 13" MacBooks с цельным корпусом. Чипсет 9400M очень хорош, а литиево-полимерная батарея в новой модель приятно впечатляет. Полёт через Штаты с использованием WiFi в самолёте на одном заряде кажется чудом.

Джоанна. Наш разговор превращается в рекламу Apple, если я правильно догадалась? Может быть, кто-то из компании прочитает интервью и вышлет мне новый 15" MacBook Pro?

THG. Последний вводный вопрос: какое твоё любимое хобби, не связанное с техникой?

Джоанна. Нетехнологическое хобби? Ты подразумеваешь программирование автономного шестипалого робота с мозгом на основе двух 8-битных микроконтроллеров? Подойдёт?

Поговорим о "вредоносах"

THG. Я впечатлён. Хорошо, если большая часть твоих исследований касается передовой компьютерной безопасности, то позволь ознакомить наших читателей с краткой историей "вредоносов". Прерви меня, когда будет что добавить. В самом начале вирусы были простыми паразитами, которые действовали только на исполняемые файлы...

Джоанна. Я протестую против того, чтобы называть файловые инфекции "простыми". Некоторые из них, на самом деле, являлись очень сложными тварями, например, на основе движка Mistfall от Z0mbie.

THG. Ну я подразумевал времена до Dark Avenger/MtE. Что-то наподобие эпохи Friday the 13th/Jerusalem. Если посмотреть на картину в целом, то загрузочные вирусы стали следующим поколением "зловредов", а уже потом настала эпоха MtE. В те времена защита на основе сигнатур ещё не считалась чем-то ограниченным. Следующая смена поколений, как мне кажется, настала с макро-вирусами. Не только из-за того, что они затрагивали кросс-платформенную защиту, но из-за новизны макро-вирусов самих по себе. При этом макро-вирусы заставили нас задуматься о роли социальной инженерии в распространении "зловредов", а также о "песочницах". Социальная инженерия стала играть важную роль, поскольку компьютеры стали массовыми, а обмен документами был распространён намного чаще, чем обмен программами. Но что более важно, раньше был популярен постулат, что файлы с данными не могут инфицировать систему - и появилось доказательство, что могут. Я помню, как многие специалисты утверждали: "если вы не будете открывать вложения в письмах электронной почты, то вы будете защищены" или "если у вас установлены все обновления безопасности, то вы будете защищены". Или "если вы пользуетесь Mac, то вы защищены". Моя любимая цитата? “Don't be trapped by dogma - which is living with the results of other people's thinking/Не попадайте в ловушку догмы, которая говорит жить мыслями других людей”, которая принадлежит Стиву Джобсу (Steve Jobs).

Я не уверен, где располагаются "водоразделы" поколений. Возможность интеграции кода ZMist можно считать сменой поколений, но что брать за отправную точку?

Впрочем, вернёмся к нашему рассказу. Когда вы запускаете инфицированный файл, то вирус загружается и остаётся в памяти, после чего он копирует себя в программу, которую вы будете запускать следующей. Если вы никогда не запускали инфицированный файл, то ваша система никогда не заразится. Загрузочные вирусы смогли обойти это правило. Когда вы включаете ПК, то BIOS считывает содержимое загрузочного сектора, чтобы загрузить операционную систему. Если вирус скроется в этой области, то он сможет загрузиться до оставшейся части операционной системы, после чего он может спокойно работать с любыми данными. Это была одна из первых попыток "зловредов" незаметно скрыться в системе.

Джоанна. Немного поправлю. В те времена, когда основной операционной системой была DOS, никто не думал о защите памяти, поэтому вирусу не требовалось загружаться до операционной системы, чтобы всю её контролировать - он мог свободно распоряжаться ОС, даже будучи запущенным потом.

THG. Конечно, но если у вас работал резидентный антивирусный сканер, то он бы смог определить попытку запуска вируса после полной загрузки ОС. Вирус же в загрузочном секторе позволял вирусописателю получить "ранний" контроль над ОС. Верно?

Джоанна. Да, конечно.

THG. Продолжаем. Если Windows ME и другие операционные системы, представляющие собой надстройку над DOS, опирались на возможности BIOS при доступе к диску, то Windows NT - уже нет.

Джоанна. DOS не следует путать с Windows 95/98/ME. Более поздние операционные системы действительно использовали защищённый режим, то есть реализовали идею защиты памяти ядра. Я также вполне уверена, что системы на основе Windows 95 не пользовались прерываниями BIOS, а опирались на драйверы, которые выполняли операции PIO/MMIO с накопителями (как это делают современные ОС).

THG. Я правильно понимаю, что хотя загрузочный вирус по-прежнему может навредить (например, отформатировать диск до загрузки Windows), то после загрузки Windows NT ОС использует свои собственные драйверы в защищённом режиме, которые обходят BIOS? Таким образом, даже если BIOS атакован загрузочным вирусом, драйверы защищённого режима имеют более высокий приоритет и обходят BIOS?

Джоанна. Не совсем. Как уже демонстрировалось несколько раз (например, Eeye BootRoot), существует возможность, что "зловред", стартовавший с загрузочного сектора, выживает переключение в защищённый режим (то есть старт Windows NT/2000/2003) и может атаковать свежезапущенную Windows.

THG. Знаешь, я, пожалуй, внесу правки в эту часть интервью, чтобы читателям не показалось, что я не знаю, о чём говорю.

Джоанна. Обещаю не проговориться.

THG. Впрочем, я ничего тереть не буду. Такие интервью по-своему полезны. Девяносто девять процентов контента мы делаем в редакции, но такие интервью позволяют обогатить наши знания благодаря экспертам, которые у нас не работают.
Назад
Вы читаете страницу 1 из 5
1 2 3 4 5
Далее


СОДЕРЖАНИЕ

Отзывы об интервью с Джоанной Ратковской в Клубе экспертов THG [ 15 отзывов] Отзывы об интервью с Джоанной Ратковской в Клубе экспертов THG [ 15 отзывов]


РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!

История мейнфреймов: от Harvard Mark I до System z10 EC
Верите вы или нет, но были времена, когда компьютеры занимали целые комнаты. Сегодня вы работаете за небольшим персональным компьютером, но когда-то о таком можно было только мечтать. Предлагаем окунуться в историю и познакомиться с самыми знаковыми мейнфреймами за последние десятилетия.

Пятнадцать процессоров Intel x86, вошедших в историю
Компания Intel выпустила за годы существования немало процессоров x86, начиная с эпохи расцвета ПК, но не все из них оставили незабываемый след в истории. В нашей первой статье цикла мы рассмотрим пятнадцать наиболее любопытных и памятных процессоров Intel, от 8086 до Core 2 Duo.

ССЫЛКИ
Реклама от YouDo
Юду: стоимость мытья окон, подробное описание тут.