Blue Pill es el nombre en clave de un rootkit basado en la virtualización x86 . Blue Pill originalmente requería soporte de virtualización AMD-V (Pacifica), pero luego fue portado para ser compatible con Intel VT-x (Vanderpool) también. Fue diseñado por Joanna Rutkowska y originalmente se demostró en Black Hat Briefings el 3 de agosto de 2006, con una implementación de referencia para el kernel de Microsoft Windows Vista .
El nombre es una referencia al concepto de píldora roja y píldora azul de la película de 1999 The Matrix .
Descripción general
El concepto de Blue Pill es atrapar una instancia en ejecución del sistema operativo iniciando un hipervisor delgado y virtualizando el resto de la máquina debajo de él. El sistema operativo anterior aún mantendría sus referencias existentes a todos los dispositivos y archivos, pero el hipervisor podría interceptar casi cualquier cosa, incluidas las interrupciones de hardware, las solicitudes de datos e incluso la hora del sistema (y enviar una respuesta falsa). El concepto original de Blue Pill fue publicado por otro investigador en IEEE Oakland en mayo de 2006, bajo el nombre VMBR (rootkit basado en máquina virtual). [1]
Rutkowska afirma que, dado que el hipervisor podría engañar a cualquier programa de detección, dicho sistema podría ser "100% indetectable". Dado que la virtualización de AMD es perfecta por diseño, se supone que un invitado virtualizado no puede consultar si es un invitado o no. Por lo tanto, la única forma de detectar Blue Pill es si la implementación de virtualización no funciona como se especifica. [2]
Esta evaluación, repetida en numerosos artículos de prensa, es controvertida: AMD emitió un comunicado desestimando la afirmación de total indetectabilidad. [3] Algunos otros investigadores de seguridad y periodistas también descartaron el concepto como inverosímil. [4] La virtualización podría detectarse mediante un ataque de tiempo que dependa de fuentes externas de tiempo. [5]
En 2007, un grupo de investigadores desafió a Rutkowska a poner Blue Pill en contra de su software detector de rootkit en la conferencia Black Hat de ese año, [6] pero el acuerdo se consideró no válido luego de la solicitud de Rutkowska de $ 384,000 en fondos como requisito previo para ingresar al programa. competencia. [7] Rutkowska y Alexander Tereshkin refutaron las afirmaciones de los detractores durante un discurso posterior de Black Hat, argumentando que los métodos de detección propuestos eran inexactos. [8]
Desde entonces, el código fuente de Blue Pill se ha hecho público, [9] [10] bajo la siguiente licencia: Cualquier uso no autorizado (incluida la publicación y distribución) de este software requiere una licencia válida del titular de los derechos de autor. Este software se ha proporcionado para uso educativo únicamente durante la formación y la conferencia de Black Hat. [11]
Pastilla roja
Red Pill es una técnica para detectar la presencia de una máquina virtual también desarrollada por Joanna Rutkowska . [12]
Referencias
- ^ Rey, ST; Chen, PM (2006). "SubVirt: implementación de malware con máquinas virtuales". 2006 Simposio IEEE sobre seguridad y privacidad (S & P'06) . págs. 14 págs. doi : 10.1109 / SP.2006.38 . ISBN 0-7695-2574-1.
- ^ El prototipo 'Blue Pill' crea malware 100% indetectable, Ryan Naraine, eWeek.com
- ^ Cara a cara: AMD contra Joanna Rutkowska Archivado el 4 demayo de 2008en Wayback Machine , eWeek.com
- ^ Desacreditando el mito de la píldora azul , virtualization.info
- ^ https://archive.today/20120206042114/http://securitywatch.eweek.com/showdown_at_the_blue_pill_corral.html . Archivado desde el original el 6 de febrero de 2012 . Consultado el 20 de agosto de 2007 . Falta o vacío
|title=
( ayuda ) - ^ Rutkowska enfrenta el desafío de 'malware 100% indetectable' , Ryan Naraine en zdnet.com Archivado el 3 de septiembre de 2009 en Wayback Machine
- ^ Naraine, Ryan (29 de junio de 2007). "Actualización del desafío del pirata informático de Blue Pill: no es posible" . zdnet.com . ZDNet. Archivado desde el original el 26 de noviembre de 2009 . Consultado el 24 de enero de 2016 .
Rutkowska [...] quiere que su equipo de dos personas reciba $ 384,000 ($ 200 / hora cada uno para dos personas que trabajen a tiempo completo durante seis meses) [...] Thomas Ptacek de Matasano, un miembro del equipo de desafío, proporciona esto respuesta adecuada: '¿Por qué le pagaríamos $ 384,000 para comprar un rootkit que ya sabemos que podemos detectar?'
- ^ Enfrentamiento en el Corral de la píldora azul
- ^ Blue Pill 2007 Archivado el 5 de octubre de 2009 en la Wayback Machine.
- ^ Blue Pill 2008 Archivado el 13 de septiembre de 2011 en la Wayback Machine.
- ^ "bluepillproject.org" . 18 de abril de 2008. Archivado desde el original el 18 de abril de 2008 . Consultado el 3 de septiembre de 2017 .CS1 maint: bot: estado de URL original desconocido ( enlace )
- ^ "Blog | las cosas invisibles" . Archivado desde el original el 11 de septiembre de 2007 . Consultado el 11 de septiembre de 2007 .
enlaces externos
- Presentamos la píldora azul de Joanna Rutkowska
- InternetNews - Blackhat lleva Vista a la tarea
- Heading Off the Hackers - Business Week , 10 de agosto de 2006
- entrenador greg adams
- Píldora azul , episodio 54 del podcast Security Now
- Presentación Black Hat 2006
- 2008 Código fuente
- Detección y bloqueo de píldoras azules, vitriolo, etc.