Введение
На днях нам посчастливилось пообщаться с Джоанной Ратковской (Joanna Rutkowska), одним из ведущих специалистов-новаторов в области компьютерной безопасности в мире. Она является основателем и главным исполнительным директором (CEO) Invisible Things Lab (ITL), компании, занимающейся консалтингом и исследованиям в сфере компьютерной безопасности.
Нажмите на картинку для увеличения.
THG. Джоанна, спасибо, что согласилась с нами пообщаться. Давай начнём с простого. Ты смогла "выгрызть" собственную нишу в мире компьютерной безопасности благодаря превосходному опыту в области скрытых атак, таких как руткиты, а позднее благодаря выявлению уязвимостей в виртуальных машинах и "железе" на низком уровне. Но перед тем как мы про всё это поговорим, почему бы тебе не рассказать о себе?
Джоанна. Я - исследователь, который фокусируется на проблемах безопасности системного уровня, например, в ядре, гипервизоре, чипсете и т.д. Именно исследователь, а не охотник за уязвимостями или тестер. Меня больше интересуют фундаментальные проблемы, а не какие-то конкретные "дыры" в каких-либо программах пользователей. Например, может ли ОС/платформа обеспечить какую-либо защиту пользователя, несмотря на то, что приложения, например, Adobe Reader или IE могут быть потенциально скомпрометированы? Я верю в "безопасность путём изоляции".
Что касается бизнеса, то я - основатель и директор Invisible Things Lab (ITL), небольшой компании, занимающейся исследованиями и консультациями в области безопасности. Я очень горжусь командной, которую я смогла создать в ITL, в которую входят Александр Терешкин (Alexander Tereshkin) и Рафль Войтсзак (Rafal Wojtczuk), два наиболее опытных исследователя в сфере безопасности системного уровня.
В последнее время я всё меньше занимаюсь "исследованиями с отладчиком", переходя на более высокую роль, которая необходима для руководства работой моей команды. Да, мне нравится новая роль директора.
THG. Да, хорошо быть начальником. Как ты начала карьеру в области исследования безопасности?
Джоанна. Это было так давно, что я уже и не помню. ;)
THG. Ладно, спрошу чего полегче. Какой был твой первый компьютер и первое впечатление от компьютеров? Мой был TI-99/4A, я играл в Parsec и Alpiner. Я ещё помню, как набрал “OLD DSK1” когда мне было три года.
Джоанна. Это был PC/AT 286, работающий с невероятной частотой 16 МГц, если я правильно помню, оснащённый 2 Мбайт памяти (если я не ошибаюсь, для этого пришлось сапгрейдить материнскую плату). Мне было 11 лет, когда я начала развлекаться с компьютером. Почти сразу же я познакомилась с GW-BASIC, а затем через год или около того я переключилась на Borland Turbo Basic - это был просто убойный язык с замечательным графическим интерфейсом и возможностью "собирать" исполняемые файлы!
THG. На что похожа неделя в вашем офисе?
Джоанна. Мы гордимся тем, что мы - современная компания. У нас нет физического офиса вообще. Все работают на дому, а информацией мы обмениваемся через почту с шифрованием. У нас нет такого, чтобы работник высиживал в офисе с девяти до пяти. Работа, которой мы занимаемся, требует креативности, и было бы глупо заставлять людей высиживать чёткий график.
Лично для меня очень важно подремать после обеда. Я вообще не могу долго работать, если нормально не выспалась. Честно говоря, я даже день в офисе никогда не выдерживала.
THG. (посмеявшись) На кого похож обычный клиент ITL?
Джоанна. Мы позиционируем наши услуги в основном на вендоров системного уровня.
THG. То есть клиент похож на производителей BIOS и отдельные корпорации, которым требуется безопасное компьютерное окружение?
Джоанна. Я бы хотела подчеркнуть слово вендоры, поскольку мы заинтересованы в том, чтобы у нас была возможность влиять на технологии. По моему мнению, единственный смысл выполнения активных исследований безопасности заключается в том, чтобы выдавать конструктивную критику и менять или улучшать технологии, которые у нас сегодня есть. Таким образом, в идеальном случае мы работаем как с аппаратными (CPU/чипсет), так и с программными (BIOS/OS) вендорами, поскольку некоторые новые и интересные аппаратные технологии можно использовать только в паре с правильно разработанным системным ПО.
THG. Какая конфигурация у твоего основного компьютера?
Джоанна. Мой основной настольный компьютер - это восьмиядерный Mac Pro (2 x 2,8 ГГц Intel Xeon) с 16 Гбайт памяти и роскошным 30" монитором Apple. Это самый красивый настольный компьютер, который у меня когда-либо был - как по внешнему виду, так и по графическому интерфейсу.
Я также пользуюсь довольно старым чёрным MacBook (Santa Rosa, Core 2 Duo 2,2 ГГц, 4 Гбайт памяти) в качестве универсального ноутбука. Я отложила покупку нового стильного MacBook Pro с цельным корпусом, поскольку до недавнего времени у него не было поддержки более 4 Гбайт памяти (по крайней мере, это касается 15" моделей, которые я предпочитаю), а мне это важно.
Впрочем, я вижу слабые стороны аппаратного обеспечения Mac: они касаются отсутствия TPM, TXT, VT-d и системы OS X. Я пытаюсь обойти некоторые ограничения ОС с помощью виртуализации.
Я также использую несколько обычных ПК, причём это и ноутбуки, и настольные машины. Иногда я поражаюсь, насколько неказистыми кажется большая часть обычных ноутбуков по сравнению с продуктами Apple. Одним исключением можно назвать Voodoo Envy 133 - мне просто нужен был новый чипсет, поэтому я нашла рациональное оправдание для покупки. ;)
THG. Я работал уже с двумя поколениями 13" MacBooks с цельным корпусом. Чипсет 9400M очень хорош, а литиево-полимерная батарея в новой модель приятно впечатляет. Полёт через Штаты с использованием WiFi в самолёте на одном заряде кажется чудом.
Джоанна. Наш разговор превращается в рекламу Apple, если я правильно догадалась? Может быть, кто-то из компании прочитает интервью и вышлет мне новый 15" MacBook Pro?
THG. Последний вводный вопрос: какое твоё любимое хобби, не связанное с техникой?
Джоанна. Нетехнологическое хобби? Ты подразумеваешь программирование автономного шестипалого робота с мозгом на основе двух 8-битных микроконтроллеров? Подойдёт?
Поговорим о "вредоносах"
THG. Я впечатлён. Хорошо, если большая часть твоих исследований касается передовой компьютерной безопасности, то позволь ознакомить наших читателей с краткой историей "вредоносов". Прерви меня, когда будет что добавить. В самом начале вирусы были простыми паразитами, которые действовали только на исполняемые файлы...
Джоанна. Я протестую против того, чтобы называть файловые инфекции "простыми". Некоторые из них, на самом деле, являлись очень сложными тварями, например, на основе движка Mistfall от Z0mbie.
THG. Ну я подразумевал времена до Dark Avenger/MtE. Что-то наподобие эпохи Friday the 13th/Jerusalem. Если посмотреть на картину в целом, то загрузочные вирусы стали следующим поколением "зловредов", а уже потом настала эпоха MtE. В те времена защита на основе сигнатур ещё не считалась чем-то ограниченным. Следующая смена поколений, как мне кажется, настала с макро-вирусами. Не только из-за того, что они затрагивали кросс-платформенную защиту, но из-за новизны макро-вирусов самих по себе. При этом макро-вирусы заставили нас задуматься о роли социальной инженерии в распространении "зловредов", а также о "песочницах". Социальная инженерия стала играть важную роль, поскольку компьютеры стали массовыми, а обмен документами был распространён намного чаще, чем обмен программами. Но что более важно, раньше был популярен постулат, что файлы с данными не могут инфицировать систему - и появилось доказательство, что могут. Я помню, как многие специалисты утверждали: "если вы не будете открывать вложения в письмах электронной почты, то вы будете защищены" или "если у вас установлены все обновления безопасности, то вы будете защищены". Или "если вы пользуетесь Mac, то вы защищены". Моя любимая цитата? “Don't be trapped by dogma - which is living with the results of other people's thinking/Не попадайте в ловушку догмы, которая говорит жить мыслями других людей”, которая принадлежит Стиву Джобсу (Steve Jobs).
Я не уверен, где располагаются "водоразделы" поколений. Возможность интеграции кода ZMist можно считать сменой поколений, но что брать за отправную точку?
Впрочем, вернёмся к нашему рассказу. Когда вы запускаете инфицированный файл, то вирус загружается и остаётся в памяти, после чего он копирует себя в программу, которую вы будете запускать следующей. Если вы никогда не запускали инфицированный файл, то ваша система никогда не заразится. Загрузочные вирусы смогли обойти это правило. Когда вы включаете ПК, то BIOS считывает содержимое загрузочного сектора, чтобы загрузить операционную систему. Если вирус скроется в этой области, то он сможет загрузиться до оставшейся части операционной системы, после чего он может спокойно работать с любыми данными. Это была одна из первых попыток "зловредов" незаметно скрыться в системе.
Джоанна. Немного поправлю. В те времена, когда основной операционной системой была DOS, никто не думал о защите памяти, поэтому вирусу не требовалось загружаться до операционной системы, чтобы всю её контролировать - он мог свободно распоряжаться ОС, даже будучи запущенным потом.
THG. Конечно, но если у вас работал резидентный антивирусный сканер, то он бы смог определить попытку запуска вируса после полной загрузки ОС. Вирус же в загрузочном секторе позволял вирусописателю получить "ранний" контроль над ОС. Верно?
Джоанна. Да, конечно.
THG. Продолжаем. Если Windows ME и другие операционные системы, представляющие собой надстройку над DOS, опирались на возможности BIOS при доступе к диску, то Windows NT - уже нет.
Джоанна. DOS не следует путать с Windows 95/98/ME. Более поздние операционные системы действительно использовали защищённый режим, то есть реализовали идею защиты памяти ядра. Я также вполне уверена, что системы на основе Windows 95 не пользовались прерываниями BIOS, а опирались на драйверы, которые выполняли операции PIO/MMIO с накопителями (как это делают современные ОС).
THG. Я правильно понимаю, что хотя загрузочный вирус по-прежнему может навредить (например, отформатировать диск до загрузки Windows), то после загрузки Windows NT ОС использует свои собственные драйверы в защищённом режиме, которые обходят BIOS? Таким образом, даже если BIOS атакован загрузочным вирусом, драйверы защищённого режима имеют более высокий приоритет и обходят BIOS?
Джоанна. Не совсем. Как уже демонстрировалось несколько раз (например, Eeye BootRoot), существует возможность, что "зловред", стартовавший с загрузочного сектора, выживает переключение в защищённый режим (то есть старт Windows NT/2000/2003) и может атаковать свежезапущенную Windows.
THG. Знаешь, я, пожалуй, внесу правки в эту часть интервью, чтобы читателям не показалось, что я не знаю, о чём говорю.
Джоанна. Обещаю не проговориться.
THG. Впрочем, я ничего тереть не буду. Такие интервью по-своему полезны. Девяносто девять процентов контента мы делаем в редакции, но такие интервью позволяют обогатить наши знания благодаря экспертам, которые у нас не работают.
Поиск 
| Новости
| Видеокарты
| Процессоры
| Материнские платы
| Мониторы
| Аудио/видео
| HDD и CD/DVD
| Собери сам
| Игры
| Софт
| Домашний ПК
![Отзывы об интервью с Джоанной Ратковской в Клубе экспертов THG [ 15 отзывов]](/forum/images/icons/icon5.gif){kind=icon}
