Наши проекты:

Про знаменитості

Йоанна Рутковська: биография


3 січня 2003 Ян опублікував опис нової уразливості в IPD. Суть уразливості полягала в наступному: для захисту ядра від різних шкідливих програм IPD блокувала каталогWINNT/system32/drivers, так щоб не можна було модифікувати будь-які файли в цьому каталозі. Але можна було створити символьне посилання на цей каталог і отримати повний доступ до тієї папки.

31 липня 2003 на конференції Black Hat USA 2003, що проходила з 28 по 31 липня в Лас-Вегасі, США, від його імені була представлена ??презентація «Просунуті способи виявлення руткітів в Windows 2000». Основною темою презентації стали способи виявлення руткітів і чорних ходів в Windows 2000. У доповіді наведено класифікацію руткітів, основні способи їх приховування, а також основні способи їх виявлення. Більш докладно розглядається згадуваний вище метод аналізу шляхів виконання (скор. АПИ; англ.Execution path analysis, скор.EPA), в основі якого лежить простий факт: якщо в результаті атаки система скомпрометована, і вона намагається щось приховати за допомогою зміни деяких шляхів виконання, то така система буде виконувати додаткові інструкції при звичайних системних і бібліотечних виклики. У статті була запропонована реалізація лічильника інструкцій на основі можливостей процесорів Intel, т. зв. єдиного покрокового режиму (англ.single stepping mode). Однак, оскільки ядро ??Windows 2000 є досить складним набір програм, то кількість виконуються інструкцій може змінюватися і в «чистій» системі, що дуже ускладнює аналіз. Тим не менш, тести дозволяють помітити досить активне використання системної функціїFindFirstFile, яка багато разів викликається на певному етапі звернення до будь-яких каталогу, але в скомпрометованої системі дана функція буде викликатися на декількох етапах. У цій ситуації, проблемою залишається лише визначення того, чи є подібна поведінка ознакою скомпрометірованності або всього лише інформаційним шумом. Для вирішення цієї дилеми в статті пропонується використовувати метод запису шляхів виконання (скор. ЗПВ, англ.Execution path recording, скор.EPR), що є модифікацією. Ідея ЗПВ заснована на записі налагодження обробником повного шляху виконання (адреси та інструкції в цих адресах), потім обчисленні найбільш загального шляху (за частотою використання), а потім порівнянні цих двох шляхів (поточного і записаного).

Крім того, в рамках презентації обговорювалися також і деякі програми захисту від руткітів (Integrity Protections Driver, Server Lock), а також деякі їх уразливості. Крім того, була певним чином порушена і тема перенесення методу АПИ на інші операційні системи.

Всього лиш трохи більше року тому, у статтях про руткіта для Windows вже будуть писати, посилаючись в тому числі і на цю доповідь:

Приблизно до липня 2003 року Ян вказував адресу електронної пошти Варшавського політехнічного інституту (де як раз в цей час навчалася Йоанна) при публікації різних досліджень з приховування і виявлення руткітів ядра Windows.

Починаючи з середини 2003 року вся діяльність Яна була поступово згорнута, а менше двох місяців по тому нікому раніше невідома дослідниця Йоанна Рутковська почала публікувати матеріали за способами приховування та виявлення Windows-руткитов. Першим підписаним цим ім'ям став опис концепції проекту «Хамелеон». Причому описані ідеї впритул пов'язані з ідеями, описаними Яном, і деяким чином навіть розвивають їх, іноді посилаючись на них як на попередні роботи.

У вересні 2003 року Йоанна публікує концепцію про приховані Windows-руткіти, що отримала назву « Проект "Хамелеон" ». Даний проект був лише набором ідей (без практичної реалізації в коді) про способи запису дійсно невидимих ??для Windows руткітів (тобто так, щоб навіть спеціальні програми їх не виявляли). Власне, Йоанна даний проект закинула, збираючись повернутися у нього пізніше, але цього так і не сталося. Тим не менш, деякі ідеї проекту були запозичені Шеррі Спаркс і Джеймі Батлер при створенні першого практичного руткіта для віртуальних машин.