Miután tavaly rávilágított a Windows Vista operációs rendszer felhasználói jogosultságokat védő rendszerének tervezési hiányosságaira, Joanna egy nagy vitát kiváltó dolgozatban azt bizonyította, hogy az új generációs processzorokba épített virtualizációs, vagyis gép-a-gépben funkciókat észrevétlen vírusterjesztésre is fel lehet felhasználni.

Idén a COSEINC számára dolgozó független biztonsági kutató az egyre növekvő számú rootkit jellegű fenyegetések, vagyis a rendszer mélyebb szintjein beépülő kártékony kódok kiküszöbölésére szolgáló jelenlegi legfejlettebb védelmi rendszereket vette vizsgálat alá - meglepő eredménnyel!

A Komoko, BBN és más kormányközeli cégek által speciális PCI bővítőkártyára épített hardver alapú rootkit detektáló és dokumentáló eszközök igen költségesek, mint a legtöbb kis sorozatban gyártott termék általában. A nagyvállalatok és az állami szervezetek mégis gyakran vásárolják ezeket, mivel hardveres jellegű védelmüket eddig megkerülhetetlennek tartották.

Ez nagy jelentőségű fejlemény, nemcsak a rootkitek felismerésében, hanem a rendszer belsejében történt valtozások teljeskörű naplózásában és utólagos auditálásában is, ami például a banki szektorban azonos vagy magasabb prioritású lehet a megelőzésénél! A kártyás védelem előnyeként tartották még számon, hogy ilyen eszközökhöz ritkaságuk és titkosságuk miatt a hackerek nehezen jutnak hozzá, így nem is tudnak ellene támadást kikísérletezni.

Joanna Rutkowska kutatása - amelyet a gyártók titkolózása miatt egy félig barkácsolt Firewire alapú eszközzel kellett végeznie - bizonyos mértékben máris megingatta ezeket a hiedelmeket. A Black Hat konferencián tartott előadásában háromféle, egyre növekvő bonyolultságú módozatot vázolt fel, amelyekkel a rootkitek megdönthetik a hardveres modulok nyújtotta védelmet.

Az első lehetőség, hogy a támadó kód lefagyasztja a gépet, amint memória-kiolvasási kísérletet érzékel. Erre a durva szolgáltatás-megtagadás (DoS) jellegű támadásra az egyik kínálkozó lehetőség például a PCI-bővítőbusz összezavarása. A támadást ugyan felfedezhetik, hiszen a megmagyarázhatatlan lefagyások a hagyományos rootkitek gyakori árulkodó jelei, de a főmemóriában esetleg megmaradó, a tetteshez vezető nyomok a rendszer összeomlásakor elvesznek.

A második esetben a rootkit program úgy próbál elbújni, hogy saját kódja helyett adatszemetet prezentál a memóriát kiolvasni igyekvő védelmi kártya felé. Ez megtévesztheti a hardveres eszközbe épített heurisztikus memóriaértelmező funkciót, így a rootkit sokáig észrevétlen maradhat.

A harmadik típusú, rendkívül bonyolult támadás során a rejtőzködő kód folyamatosan a rendszerhez illő, hamisított, de értelmes memóriatartalmat mutat a védelmi modulnak - ami szinte lehetetlenné tenné a megelőzést és felismerést! Mindez az utólagos nyomozást is rendkívül lelassítaná, hiszen a kártya által rögzített érvényes, de oda nem illő ujjlenyomatot valószínűleg csak specialisták hosszas kézi munkájával tudnák megtalálni a memóriaképben.

Ha figyelembe vesszük, hogy Joanna bizonyítása a jelenleg legfejlettebb architektúrára, a slágernek számító 64-bites AMD/EMT rendszerre vonatkozik, a kép valóban elkeserítő. Annak ellenére, hogy ezek a processzorok már rendelkeznek bizonyos memóriamódosítást gátló és jogosulatlan adatvégrehajtást megakadályozó bitekkel; megfelelő támogató áramkörök híján mégsem tudják garantálni az alaplapi RAM memória teljeskörű és pontos kiolvasását!

Bár az informatikai rendszerek védelmében Joanna Rutkowska nem hozta nyilvánosságra a támadások pontos leírását, Jamie Butler, a neves rootkit-guru - aki több hardveres és szoftveres védelmet készítő cég számára végez konzultációt - elismerően nyilatkozott kolléganője munkájáról. "Azt korábban is tudtuk, hogy a szoftveres rootkit-felismerési módszerek korántsem tökéletesek, de most rá kellett döbbennünk, hogy a hardveres modulokban sem bízhatunk. Ha egyszerre használod mindkettőt, még akkor sem tudhatod, nincs-e ott valami." A kutató saját bevallása szerint "sem szeretne szembekerülni egy olyan jól képzett támadóval", aki a Joanna által leírt, ijesztően kifinomult támadásokat meg tudja valósítani.

A kutatónő szerint két lehetséges út áll az iparág előtt: Ha csak a jelenlegi, korántsem tökéletes szoftver- és hardver alapú rootkit-felismerési technológiák ötvözetét fejlesztik tovább, akkor bele kell törődni egy olyan helyzet kialakulásába, amely a hagyományos vírusirók és a vírusirtók között régóta folyó versenyre emlékeztet. A "rosszfiúk" alkalmanként előnyt szereznek és sok kellemetlenséget, sőt anyagi veszteséget okoznak egy-egy járvánnyal.

A másik lehetőség, hogy az alaplapok és processzorok gyártói kialakítanak egy olyan új buszrendszert, amely kizárólag a memória tartalmának és a processzorok regisztereinek megbízható kiolvasására szolgál. A biztonsági hardverek forgalmazói erre a speciális csatlakozóra kapcsolhatnák rá saját védelmi moduljaikat. Egy ilyen újítás bevezetése valószínűleg költséges lenne, hiszen az alaplapgyártásban késhegyre menő piaci verseny van, ahol már 1-2 dollár többletköltség is sokat számít - ezért először feltehetőleg a komolyabb szervergépekben várható az új csatlakozó megjelenése.

Korábbi cikkeink a témában:

Hardveres védelem az újfajta kártevők ellen

Windows-os rootkitek: a rendszer szintjén működő hátsóajtó programok