Rutkowska

Joanna Rutkowska ist eine polnische Hackerin und Spezialistin für Computersicherheit, die vor allem für ihre Forschungen im Bereich Malware^[1] im Allgemeinen und die Installation und das Verstecken von Backdoors in Microsoft Windows Vista^[2][3] im Speziellen bekannt ist.

Im August 2006 stellte Rutkowska auf der Black-Hat-Briefings-Konferenz zwei Methoden zur Umgehung von Sicherheitsmaßnahmen in Windows Vista Beta 2 z – dafür wurde sie als eine der Five Hackers who Left a Mark on 2006 (dt. etwa: Fünf Hacker, die 2006 Bedeutendes geleistet haben) vom eWeek Magazine ausgezeichnet.^[4]

Die erste Methode, die Rutkowska auf der Konferenz vorstellte, umgeht Vistas Integritäts-Check, um so einen unsignierten Code in den laufenden Vista-Kernel injizieren zu können. Der von Microsoft daraufhin in den Release Candidate 2 eingebaute Fix hatte nur mäßigen Erfolg in der Beseitigung der Schwachstelle.^[5] Die zweite Methode, eine Rootkit-Technologie, ermöglicht es potenziell schädlichen Codes, ihre Präsenz durch den Einsatz von CPU-Virtualisierung zu verstecken.

Bei den Black Hat Briefings im März 2007 hielt Rutkowska eine Rede, in der sie zeigte, dass bestimmte Arten von hardwarebasierten Rootkit-Erkennungsmechanismen ausgehebelt werden können.^[6][7] Um nicht erkannt zu werden, wurde ein Programm namens Blue Chicken entwickelt, das wiederum selber Timinganalysen erkennt und für kurze Dauer aus dem Virtual Memory verschwindet, sodass die Latenz während der Analyse normal ist.

Auf der Black Hat Konferenz 2008 stellte sie zusammen mit Alexander Tereshkin und Rafal Wojtczuk die Trilogie 0wning Xen^[8][9] vor, in der sie beschreibt, wie man über DMA Code in den Xen Hypervisor einschleusen und diesen mit Ring-0-Rechten ausführen kann. Ähnlich wie beim Blue Pill Rootkit ist auch dieses Hypervisor-Rootkit kaum nachweisbar.

Im April 2007 gründete Rutkowska das „Invisible Things Lab“, ein Unternehmen in Warschau, welches Betriebssystemssicherheit erforscht und verschiedene Beratungen im Computerbereich anbietet.

Quellen

1. ↑ Vortrag auf dem 23c3: Stealth malware - can good guys win?
2. ↑ Vista Hacked at Black Hat CNET-News
3. ↑ Black Hat: Microsoft hopes to swallow Blue Pill auf Computerworld.com
4. ↑ Five Hackers Who Left a Mark on 2006, Ryan Naraine, eWeek.com
5. ↑ Antirootkit-Bugfix in Vista RC2 nutzlos heise online (25.10.2006)
6. ↑ Hardware-based rootkit detection proven unreliable
7. ↑ Black Hat Demonstrations Shatter Hardware Hacking Myths
8. ↑ 0wning Xen Trilogie Higlights
9. ↑ 0wning Xen Präsentationsvorlagen & Doku & Exploits

Weblinks

• Invisible Things – persönliche Webseite
• Invisible-Things-Blog
• Invisible Things Lab – Unternehmenswebseite