O Blue Pill (Pílula Azul), rootkit considerado “indetectável” pela sua criadora, Joanna Rutkowska, teve seu código fonte disponibilizado na web no site Blue Pill Project, que foi anunciado nesta quinta-feira (02/08) por Rutkowska na conferência Black Hat, em Las Vegas.
Para se esconder do sistema operacional, o Blue Pill tenta “virtualizar” o sistema operacional usando tecnologias recentemente introduzidas em processadores. Estas tecnologias são criadas para facilitar a virtualização de aplicativos e sistemas operacionais — procedimento cada vez mais comum em empresas para facilitar o gerenciamento de servidores. O Blue Pill poderia ser usado para, por exemplo, esconder ferramentas de um indivíduo que conseguiu invadir o sistema.
O rootkit foi desafiado por um grupo de pesquisadores de segurança da Matasano, Root Labs e Symantec, que afirma que o mesmo pode ser detectado, ao contrário do que afirma sua criadora. O desafio, que deveria ter acontecido na Black Hat, não ocorreu devido a “condições” impostas por Rutkowska. De acordo com reportagem do ZDNet Zero Day, o grupo afirmou durante a conferência que planeja lançar uma plataforma de detecção de rootkits virtualizados chamada de Samara.
Nate Lawson, um dos pesquisadores do grupo, reconhece que, como em outras áreas, trata-se um de jogo de gato e rato, com atacantes e criminosos constantemente tentando burlar as defesas existentes, enquanto programadores de softwares de segurança fecham as novas entradas que são encontradas.
Rutkowska acredita que o Blue Pill pode ser melhorado e que, com estas melhorias, o rootkit seja capaz de enganar qualquer software de detecção de rootkit. Em seu estado atual, no entanto, o rootkit tem problemas que tornam sua presença facilmente verificável: o Virtual PC 2007, por exemplo, trava completamente em qualquer computador que esteja com o blue pill em execução.
Nenhum comentário:
Postar um comentário