Компьютерра - Журнал «Компьютерра» № 30 от 21 августа 2007 года

Никакой необходимости в опубликовании сигнатур нет, это ничего не изменит в эффективности обнаружения угрозы антивирусами. Каждый слушатель нашего семинара в Лас-Вегасе получит возможность скомпилировать, запустить и проанализировать рабочую версию Blue Pill. Ну а публиковать ее код в Интернете мы все же не собираемся.

Недавно вы вместе с Александром Терешкиным создали компанию In-visible Things Lab. Каковы основные направления деятельности? Можете ли вы рассказать о первых проектах компании?

– Invisible Things Lab – это консалтинговая компания, которая специализируется на вопросах безопасности ОС. Мы выделяем три основные группы клиентов. Первая категория – это разработчики защитного ПО и ОС, которым мы предлагаем наш продукт для оценки безопасности и консультационную поддержку. Другая группа – это корпоративные клиенты, заинтересованные в независимом аудите технологий ИТ-защиты, которые они планируют внедрить в компании. И, наконец, последняя категория – это правоохранительные структуры и органы следствия, которым мы помогаем находиться в курсе современных возможностей киберзлоумышленников, например, malware-угроз, проводя различные курсы обучения и семинары. К сожалению, я не могу говорить об отдельных проектах компании или называть наших клиентов в силу договоров о конфиденциальности.

Александр Терешкин – известный российский эксперт по руткитам и реверсному инжинирингу. В Invisible Things Lab он – главный исследователь. Мы зачастую вместе занимаемся изучением угроз и консультационными проектами, однако Александр немного больше времени уделяет программистской работе, а я сосредоточена непосредственно на бизнес-задачах.

У Джоанны есть «коллега» – другой крупный специалист по руткитам Марк Руссинович. Он очутился в центре внимания в 2005 году, когда обнаружил в DRM-системе для компакт-дисков от Sony BMG полноценный руткит.

Для многих поклонников Марка стало настоящим шоком, когда в прошлом году он продал свой сайт Sysinternals.com Microsoft и сам ушел трудиться туда же.

Кстати, что вы думаете об уходе Марке Руссиновича в Microsoft?

– Марк Руссинович – прекрасный эксперт по Windows, и тот факт, что он теперь в Microsoft нисколько не умаляет значимости этого человека. В Microsoft вообще работает много очень умных людей.

H.D.Moore – автор ряда хакерских программ и известной open source-утилиты Metasploit Framework, используемой для создания эксплойтов и тестирования ПО на наличие «дыр» в защите. Эта программа вызывает неоднозначную реакцию у специалистов по ИТ-безопасности и софтверных разработчиков. С одной стороны это эффективный инструмент для самостоятельного отыскания уязвимостей и создания патчей, который используется некоторыми фирмами при проверке контроля качества выпускаемого софта.

С другой, ничто не мешает использовать Metasploit и злоумышленникам с гораздо менее благородными целями. В прошлом году H.D. Moore обновил свою программу, добавив в нее ряд новых возможностей для обнаружения потенциальных целей для вторжений. В частности, теперь программ «поддерживает» автоматические атаки через скриптовые сценарии.

Исследования H.D. Moore вошли в проект MoBB (Month of Browser Bugs), который позволил обнаружить уязвимости в драйверах WiFi и браузерах.

Джон «Джонни Кэш» ЭллЧ (Jon «Johnny Cache» Ellch), Дэвид Мэйнор (David Maynor) – Хакер Эллч сделал на Black Hatсовместный доклад с бывшим исследователем из SecureWorks, посвященный уязвимостям беспроводных устройств. Основная порция критики пришлась на продукцию Apple, которая относительно редко попадает в зону внимания специалистов по ИТ-безопасности. Также докладчики указали на серьезные уязвимости в ПО Broadcom, D-Link и Toshiba.

Марк Руссинович (Mark Russinovich)– Его имя по сей день ассоциируется, в основном, со скандалом по поводу DRM-защиты, используемой в Sony BMG, после которого слово «руткит» перестало быть техническим термином и перекочевало в маркетинговый лексикон разработчиков антивирусного ПО. Разоблачения Руссиновича ярко проиллюстрировали неэффективность антивирусов в отношении соответствующих угроз. Последний год Марк, уже будучи сотрудником Microsoft, занимался в основном разработкой средств обнаружения руткитов и утилит, уничтожающих spyware и прочее скрытое вредоносное ПО на компьютере.

Джоанна Рутковска (Joanna Rutkowska)– Вошла в этот перечень благодаря демонстрации Blue Pill и доказательств беззащитности ОС перед угрозами, связанными с аппаратной виртуализацией.