Rutkowska, Joanna

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 27 de marzo de 2018; la verificación requiere 21 ediciones .
Joanna Rutkowska
Joanna Rutkowska
Fecha de nacimiento 1981
Lugar de nacimiento Varsovia , Polonia
País
Esfera científica Seguridad de información
Lugar de trabajo laboratorios de cosas invisibles
alma mater Universidad Tecnológica de Varsovia
conocido como autor del software Blue Pill ,
autor de Qubes OS
Sitio web invisiblethingslab.com
 Archivos multimedia en Wikimedia Commons

Joanna Rutkowska [1] ( Polaca Joanna Rutkowska ; 1981 , Varsovia ) es una especialista e investigadora polaca en el campo de la seguridad de la información. Conocida principalmente por su investigación sobre seguridad de bajo nivel y software oculto [2] .

Habla de sí mismo [3] así :

Soy un investigador que se enfoca en problemas de seguridad a nivel del sistema, como en el kernel, el hipervisor, el conjunto de chips, etc. Un investigador, no un cazador o evaluador de vulnerabilidades. Estoy más interesado en los problemas fundamentales, en lugar de los "agujeros" específicos en los programas de usuario. Por ejemplo, ¿puede el sistema operativo o la plataforma proporcionar alguna protección al usuario aunque las aplicaciones como Adobe Reader o IE puedan verse potencialmente comprometidas? Creo en la "seguridad a través del aislamiento".

Después de su actuación en Black Hat en 2006, muchas publicaciones comenzaron a llamarla hacker , pero la propia Joanna se opone, afirmando esto en una entrevista a finales de 2007 [4] :

No me considero un hacker (aunque a menudo me llaman así en la prensa). Me considero investigadora en seguridad informática y, más recientemente, empresaria.

Biografía

Infancia y juventud (1981-2003)

Nacido en 1981 en Varsovia , Polonia . Obtuve mi primera computadora a la edad de 11 años [5] . Se convirtieron en PC/AT 286 , equipados con un procesador que funciona a una frecuencia de 16 MHz , 2 MB de memoria [3] y un disco duro de 40 MB [5] .

Tenía una tarjeta gráfica monocromática Hercules y la mayoría de los juegos no funcionaban en ella, así que no tuve más remedio que empezar a programar.Juana Rutkowska [5]

Casi inmediatamente me familiaricé con GW-BASIC , y aproximadamente un año más tarde me cambié a Borland Turbo Basic [3] . Comenzando a programar, Joanna se interesó en cómo funciona el sistema operativo. A la edad de 14 años, comenzó a aprender el lenguaje ensamblador para la arquitectura x86 (en MS-DOS ) y gradualmente pasó a escribir virus, después de lo cual se centró más en las matemáticas y la inteligencia artificial [6] . Luego comenzó a estudiar los conceptos básicos de construcción de redes, Linux, programación de sistemas , que a fines de la década de 1990. la llevó de regreso al campo de la seguridad informática y la escritura de exploits para Linux x86, y luego para sistemas Win32 [7] . Entonces, como muchos investigadores famosos, Joanna comenzó a escribir hazañas en su adolescencia [5] .

Joanna hizo su primer truco después de leer un artículo notorio en la revista Phrack sobre un exploit para romper la pila, que también compiló y probó ella misma:

Leí el artículo y dije: “No, eso no puede funcionar. Es imposible". Pero en realidad funcionó.Juana Rutkowska [5]

Dejó de escribir hazañas unos años más tarde, pero recuerda con cariño la satisfacción que le producía escribir una buena hazaña:

Es increíble y emocionante como un truco de magia. Ahora estoy enfocado en un área ligeramente diferente, pero sigo rastreando hazañas interesantes.Juana Rutkowska [5]

Luego avanzó gradualmente: vulnerabilidades del núcleo, rootkits, canales encubiertos , etc., así como formas de lidiar con todas estas vulnerabilidades [7] . En una entrevista en 2007, ella recuerda:

Después de un período de escribir hazañas, comencé a pensar en qué hacer a continuación. Estaba muy interesado en los aspectos internos del sistema operativo y tenía un conocimiento bastante bueno del mismo. Esto me llevó al reino de los rootkits.Juana Rutkowska [5]

Paralelamente, se graduó de la Universidad Tecnológica de Varsovia con una maestría en informática [8] . Según sus memorias, las mujeres constituían solo alrededor del 5 por ciento del número total de estudiantes en la facultad donde Rutkovskaya estudió matemáticas [5] . En sus palabras, su formación universitaria poco tenía que ver con la seguridad [5] . Entonces, en una de las entrevistas, dijo que aunque estudió informática en el Instituto Politécnico de Varsovia, aprendió la mayoría de las cosas por sí misma, como muchos colegas en la industria [6] .

Primeros estudios (2001–2002)

Alrededor de 2001, Joanna comenzó a dedicarse seriamente a la investigación en el campo de la seguridad informática para plataformas basadas en los sistemas operativos Linux y Win32 , y dos años más tarde pasó a investigar en el campo de  los programas que utilizan tecnología sigilosa [9 ] .

Comienzo de la carrera profesional (2003–2006)

A mediados de octubre de 2004, Rutkowska habló en la conferencia IT Underground 2004 , celebrada el 12 y 13 de octubre en Varsovia . Presentó dos presentaciones sobre rootkits para plataformas Linux y Win32, así como métodos para su detección. La primera presentación "Puertas traseras en el kernel de Linux y su detección" [10] se dedicó a dos formas de implementar puertas traseras inteligentes del kernel en Linux  Kernel Network Stack utilizando un controlador ptypey Netfilter , y también presentó formas originales de detectarlas, que posteriormente fueron implementado con éxito en una de las herramientas comerciales escritas por la propia Joanna. También introdujo la idea de canales encubiertos pasivos utilizados en los métodos descritos.

En la segunda presentación, "Detección de rootkits en sistemas Windows" [11] , hubo una discusión sobre la detección de rootkits a nivel de usuario y kernel. La primera mitad de la presentación se dedicó al uso de MS Kernel Debugger (junto con LiveKD) para detectar rootkits a nivel de usuario. El resto se dedicó a rootkits a nivel de kernel más avanzados y también presentó algunas ideas para detectarlos [12] .

Además, el subtexto del discurso fue una discusión sobre las formas de hacer que los rootkits sean más perfectos. Durante el almuerzo, Yoanna demostró cómo el uso de prácticamente una sola instrucción (a veces denominada Instrucción favorita de  Sinan ) puede detectar el uso de VMware [13] (es decir, la idea subyacente al proyecto Red Pill ).

El 20 de octubre de 2004, Joanna hizo su primera entrada en su sitio web personal, invisiblethings.org, y al día siguiente publicó ambas presentaciones de ITUnderground [14] .

El 28 de diciembre de 2004 en el Congreso Mundial de Hackers , celebrado en Berlín ( Alemania ) del 27 al 29 de diciembre, Joanna presenta un informe "Passive covertchannels in the Linux kernel" [15] . El tema del informe fueron los canales encubiertos pasivos (abreviatura PSC; en inglés  canales encubiertos pasivos , abreviatura PCC ), que no generan su propio tráfico, sino que solo modifican algunos campos en los paquetes creados por aplicaciones o procesos legales del usuario en la máquina infectada. .

El 28 de septiembre de 2005, Yoanna realizó una presentación "Hide and Find: Defining a Way to Detect Malware on Windows" [16] en la conferencia Hack in a Box [17] celebrada del 26 al 29 de septiembre en Kuala Lumpur ( Malasia ), Paralelamente a la vez que presentan varios de sus desarrollos, entre ellos System Virginity Verifier . El objetivo principal de la presentación fue determinar la lista de partes vitales del sistema operativo y la metodología para detectar malware. La lista comienza con cosas básicas como los pasos necesarios para verificar la integridad del sistema de archivos y el registro, luego viene la verificación de memoria a nivel de usuario (identificación de procesos no autorizados, bibliotecas dinámicas maliciosas ( DLL ), flujos inyectados, etc.) y finaliza con cosas tan avanzadas como la determinación de partes vitales del núcleo que pueden ser modificadas por malware moderno basado en rootkits (a través de métodos como el enganche Raw IRP , varias manipulaciones de DKOM o trucos con máquinas virtuales ). Además, independientemente de que esta lista esté completa, según Yoanna, solo se utilizará una cierta cantidad de métodos para comprometer el sistema con malware, es decir, dicha lista en cualquier etapa no puede ser infinita, y su completitud dependerá solo de la comunidad de especialistas. En principio, la creación de una lista de este tipo podría aumentar en gran medida la concienciación sobre las amenazas y, en última instancia, permitir el desarrollo de mejores programas antimalware. Joanna presentó los conceptos de dichos programas en su presentación, junto con varios programas maliciosos interesantes [18] .

Como realización de su idea de la comunidad descrita, que se dedica a la identificación de métodos para comprometer sistemas, Joanna presentó un proyecto de metodologías abiertas para la detección de compromisos [19] en la misma conferencia ( ing.  métodos abiertos para la detección de compromisos , abreviatura OMCD Este proyecto se inició a principios de septiembre con el Instituto de Seguridad y Metodologías Abiertas [20]  (ing.) El proyecto, liderado por Yoanna, consistía en trabajar en una metodología para la detección de malware y rootkits en sistemas Windows definir un estándar tanto para investigadores como para desarrolladores de herramientas que automaticen este proceso [21] .

El 25 de enero de 2006, Joanna realizó una presentación en Black Hat Federal [22]  (ing.) , que tuvo lugar del 23 al 26 de enero en Washington ( EE . UU .), sobre el tema "Caza de rootkits contra la detección de compromisos" [23]  (ing.) [ 24] . La presentación se dedicó a describir los tipos de compromisos del sistema y también presentó una descripción de las formas en que un atacante logra la invisibilidad total sin usar la tecnología clásica de rootkit. Durante la presentación, Joanna analizó los trucos tradicionales de los rootkits, como reiniciar, ocultar procesos y abrir sockets. También presentó su nuevo rootkit DeepDoor (sobre el cual se negó a divulgar detalles) que es capaz de descifrar el código NDIS [25] modificando cuatro palabras en el área de memoria donde NDIS almacena sus datos. Durante la demostración, Joanna demostró cómo su rootkit realizaba correctamente su tarea de interceptar el tráfico, a pesar de que el cortafuegos de ZoneAlarm bloqueó su acceso. Al final, Joanna afirmó que no existe una forma segura de leer la memoria del kernel en Windows. En su opinión, Microsoft debería permitir que empresas de terceros ofrezcan soluciones de protección de la memoria del kernel. Los expertos que vieron esta presentación la describieron como un trabajo impresionante y una locura [26] .

La misma presentación se presentó el 1 de febrero de 2006 en la conferencia IT-Defense [27]  (ing.) , que tuvo lugar del 30 de enero al 3 de febrero en Dresden , Alemania [28] [29] .

Posteriormente, sobre la base de la clasificación presentada, concretamente el 24 de noviembre de 2006, Yoanna publicó una versión más amplia de su clasificación de malware, agregando, en particular, el tercer tipo de malware [30] .

Período en COSEINC Research (2006–2007)

Se desconoce la fecha exacta del inicio del trabajo oficial de Joanna con COSEINC. Sin embargo, se sabe que esto ocurrió alrededor de marzo-abril de 2006, ya que Joanna se describió a sí misma en una entrevista de marzo como investigadora de seguridad que trabajaba en proyectos de seguridad de TI para varias empresas en todo el mundo [31] . Sin embargo, a fines de junio, ella escribió en su blog que Blue Pill fue desarrollado exclusivamente para COSEINC [32] y comenzó a trabajar en este proyecto en marzo de 2006 [33] .

El 13 de mayo de 2006, habló en una conferencia sobre seguridad informática CONFidence [34]  (ing.) , celebrada en Cracovia del 13 al 14 de mayo [35] [36] . Su informe, titulado " Rootkits vs. Stealth by Design Malware  (enlace inaccesible) ”( Rus. “Rootkits contra malware invisible” ), se dedicó a cuestiones relacionadas con el funcionamiento de los rootkits .

22 de junio de 2006 Joanna publica una vista previa de su último desarrollo Blue Pill en su blog , en el que ha estado trabajando durante los últimos meses. Yoanna describe su desarrollo como un software 100 % indetectable. La idea del programa era bastante simple: después de la introducción de Blue Pill en la computadora atacada, el sistema operativo de destino está bajo el control total del hipervisor ultradelgado Blue Pill , y todo esto sucede sobre la marcha (es decir, , sin reiniciar el sistema). Tampoco hay pérdidas de rendimiento típicas de todas las máquinas virtuales "normales", todos los dispositivos del sistema son totalmente accesibles para el sistema operativo, lo que se logra mediante el uso de la tecnología AMD , conocida como SVM / Pacifica. Aunque esta idea no es nueva en general, Joanna describe las diferencias con el rootkit SubVirt presentado anteriormente [32] .

El 28 de junio de 2006, el portal eWeek publica un artículo " Blue Pill Prototype Creates 100% Undetectable Malware " ( en ruso "Blue Pill Prototype Creates 100% Undetectable Malware " ), dedicado al desarrollo de Joanna Blue Pill. Ryan Narayen, refiriéndose a la entrada del blog de Yoanna, básicamente repite lo que escribió Yoanna. El artículo causa mucho ruido y discusiones acaloradas. El 1 de julio de 2006, la propia Joanna escribe en su artículo de blog " The Blue Pill Hype " ( en ruso: "The Blue Pill Excitement" ):

el artículo es generalmente preciso, con la excepción de un detalle: el título, que es engañoso. Dice que ya se ha implementado un "prototipo de Blue Pill que crea software 100% indetectable", lo cual no es cierto. Si ese fuera el caso, no llamaría prototipo a mi implementación, lo que implica una versión muy temprana del producto [37] .

Además, en el mismo artículo, Joanna niega los rumores de que su trabajo fue patrocinado por Intel Corporation (el principal competidor de AMD en el mercado de procesadores). Joanna afirma que su trabajo fue pagado por COSEINC Research, para el que trabajaba en ese momento, y no por Intel. Joanna solo implementó Blue Pill en la arquitectura AMD64 porque su investigación anterior (también realizada para COSEINC) fue en Vista x64, que es donde se compró el procesador AMD64 para ejecutarlo. Y a pesar del deseo de transferir Blue Pill a Intel VT, Joanna no tiene planes inmediatos para esto debido a la falta de tiempo libre.

21 de julio de 2006 Joanna concluye la conferencia SyScan '06 celebrada el 20 y 21 de julio de 2006 en Singapur [38] . El organizador de esta conferencia es Thomas Lim , CEO de COSEINC  , donde Joanna trabajaba en ese momento. La presentación de Yoanna se llamó oficialmente "Subverting Vista Kernel for Fun and Profit" y constaba de dos partes. En la primera parte, demostró una forma general (es decir, sin depender de ningún error en particular) para insertar código malicioso en la última versión de 64 bits del kernel de Windows Vista Beta 2, evitando así con éxito la tan publicitada firma de código de Vista. controlar. Además, el ataque presentado ni siquiera requirió reiniciar el sistema.

La segunda parte del discurso se llamó (informalmente, ya que era esencialmente un subtítulo) "Presentación de la píldora azul" ( "Presentación de la píldora azul" en ruso ), dentro de la cual presenta su nuevo desarrollo "Píldora azul". El objetivo general de la ponencia era mostrar la posibilidad de crear (pronto o ya) malware indetectable, que, al no estar ligado a ningún concepto, supondrá una amenaza como determinado algoritmo [39] .

El 3 de agosto de 2006, en la conferencia Black Hat Briefings en Las Vegas , presenta nuevamente su desarrollo Blue Pill , pero dado que esta conferencia atrae una atención considerable de publicaciones especializadas, este desarrollo hizo mucho ruido en la comunidad de TI y trajo a Yoanna al mundo. fama. En esta conferencia, Microsoft presentó su nuevo sistema operativo Windows Vista a una amplia gama de profesionales de TI. Durante la demostración, se distribuyeron copias preliminares del sistema operativo (de hecho, se trataba de copias de la última versión estable del sistema en ese momento) [40] . En marzo de 2006, Microsoft ya celebró una reunión especial con piratas informáticos (denominada "Blue Hat 3"), durante la cual se discutieron cuestiones generales de seguridad [41] . Por lo tanto, teniendo en cuenta la información recibida, los representantes de Microsoft posicionaron a Vista como el sistema operativo Windows más seguro. Durante la presentación, John Lambert ,  jefe de la división de Microsoft, habló sobre las vulnerabilidades del sistema reparadas encontradas previamente en las versiones beta [40] . Después de un rato, fue el turno de hablar de Joanna. Durante su presentación, toda la sala se llenó a capacidad, a pesar de que este fue el último discurso del último día como parte de la conferencia de seguridad Black Hat. Para la investigación y la demostración, Joanna usó una de las primeras versiones de prueba de Windows Vista. Como una de las formas de proteger el sistema, Microsoft ha implementado un mecanismo de bloqueo de código sin firmar (es decir, que no tenga firma digital ) en la versión de 64 bits de su sistema. Sin embargo, Joanna encontró una manera de eludir este control. El ataque requiere derechos administrativos, que en teoría deberían haber sido bloqueados por el mecanismo de Control de cuentas de usuario (UAC), que restringe los derechos de los usuarios y, si es necesario, requiere la confirmación del usuario para realizar operaciones importantes. Sin embargo, cuando se le preguntó cómo pudo eludir el UAC, Joanna respondió: "Acabo de hacer clic en" Aceptar "", mientras explica que este mensaje se muestra a los usuarios con tanta frecuencia que responden automáticamente, sin entender realmente lo que hacen. Durante la presentación, la propia Joanna afirmó lo siguiente:

El hecho de que se pase por alto este mecanismo no significa que Vista sea completamente inseguro. Simplemente no es tan seguro como se anuncia. Es extremadamente difícil implementar la seguridad del kernel al 100%.

Concluyó su discurso con una presentación del ya sensacional proyecto Blue Pill [42] .

La respuesta de Microsoft ha sido bastante tranquila. Así, el 7 de agosto de 2006, Austin  Wilson escribió lo siguiente en uno de los blogs oficiales de la empresa dedicados a la seguridad de Windows Vista , destacando que tenía derechos de administrador en el sistema atacado:

Joanna es, sin duda, extremadamente talentosa. Demostró una forma en que alguien con derechos de administrador puede inyectar código sin firmar en el kernel de las versiones de 64 bits de Windows Vista. Algunos lo han interpretado como que algunas de las innovaciones de seguridad de Microsoft son inútiles. Esto no es verdad. Es importante entender dos cosas: no existe una "bala de plata" cuando se trata de seguridad, y es extremadamente difícil defenderse de un ataque de un usuario sentado en la consola de una computadora con derechos de administrador. Ambas demostraciones relacionadas con la firma de controladores y la virtualización comenzaron con la suposición de que la persona que intenta ejecutar el código ya tiene privilegios administrativos en esa computadora [43] .

Sin embargo, no todos los analistas estuvieron de acuerdo con esta respuesta. Por ejemplo, Chris Kaspersky , analizando la información proporcionada por Yoanna, objetó:

Por ejemplo, con derechos de administrador (y la "píldora azul" los requiere) ¡ni siquiera es posible! ¿Y qué, de hecho, es posible con ellos? Es imposible cargar un controlador sin firmar, o de cualquier otra forma legal acceder al nivel del kernel, lo que causa muchos problemas tanto para los administradores como para los desarrolladores. En nombre de Su Majestad la Seguridad, esto podría aguantarse si Microsoft tapara todos los resquicios, pero resulta que nos vemos obligados a renunciar a parte de las libertades y comodidades, ofreciendo a cambio... ¡nada! ¡¿Dónde está la lógica?! Como siempre, la lógica está del lado de Microsoft, que sólo ha tenido éxito en una cosa: promocionar sus glucódromos en el mercado [44] .

Al darse cuenta del éxito del proyecto Blue Pill, poco tiempo después, Joanna forma un pequeño grupo de investigadores dentro de COSEINC llamado "Advanced Malware Labs", cuyo objetivo principal era seguir trabajando en el campo del malware basado en la virtualización. Sin embargo, después de unos meses de trabajo, la empresa cambió las prioridades y se cerró el trabajo en Blue Pill [45] .

El 21 de septiembre de 2006, Joanna nuevamente da una charla " Subverting Vista Kernel for Fun and Profit " en la conferencia Hack In The Box 2006 [46] celebrada en Kuala Lumpur , Malasia . La versión de Blue Pill presentada en la conferencia siguió siendo la misma, pero ahora se usó la nueva versión de Windows Vista RC1 [47] como sistema operativo atacado (mientras que anteriormente se usaba Windows Vista Beta 2 [48] ).

Período con Invisible Things Lab (2007 - presente)

En abril de 2007, Joanna decide dejar COSEINC y crear su propia empresa "Invisible Things Lab" (" Laboratorio Ruso de Cosas Invisibles "), especializada en servicios de consultoría e investigación en el campo de la seguridad de la información. La propia creación de su propia compañía se llevó a cabo sin demasiados alborotos, y su debut se preparó para el Black Hat USA de julio. El nombre de la empresa era un juego de palabras con el nombre de su blog "Cosas invisibles", que se había vuelto muy popular en ese momento. El 1 de mayo de 2007, el ruso Alexander Tereshkin (también conocido como 90210), también ex miembro de COSEINC AML [45] [49] , es contratado como desarrollador jefe . La empresa está registrada legalmente en Varsovia , Polonia . No tiene oficina física. La propia Joanna dice esto sobre su empresa:

Estamos orgullosos de ser una empresa moderna. No tenemos una oficina física en absoluto. Todos trabajan desde casa e intercambiamos información a través de correo encriptado. No tenemos un empleado sentado en la oficina de nueve a cinco. El trabajo que hacemos requiere creatividad, y sería una tontería obligar a las personas a ceñirse a un horario fijo [3] .

La empresa se especializa en la seguridad de sistemas operativos y máquinas virtuales y brinda diversos servicios de consultoría. En 2008, Rafal Voychuk se unió a la compañía, habiendo colaborado previamente con Joanna y Alexander [50] . Alexander Tereshkin es investigador principal en ITL. Según Yoanna, ella y Alexander se dedican a la investigación de amenazas y proyectos de consultoría, pero Alexander dedica un poco más de tiempo al trabajo de programación, y la propia Rutkovskaya se centra directamente en las tareas comerciales [51] .

El 10 de mayo de 2007 se inauguró la conferencia NLUUG , celebrada en Ede , Países Bajos [52] [53] . Su informe, titulado " Virtualización : la otra cara de la moneda " , se dedicó nuevamente al proyecto Blue Pill [54] . Durante la presentación, se consideraron las ventajas y desventajas de la tecnología de virtualización recientemente introducida. Una parte significativa del informe repitió el material del informe “Subverting Vista Kernel”, presentado por Yoanna el año pasado en la conferencia Black Hat, pero se limitó solo al tema de la virtualización (sin discutir el ataque al kernel de Windows Vista), y también consideró algunas cuestiones más desde un punto de vista “filosófico” [ 12] .

El 13 de mayo de 2007, Joanna estaba programada para hablar en la conferencia CONFidence 2007 que se llevaría a cabo el 12 y 13 de mayo en Cracovia [55] . Su informe, que recibió el nombre condicional de “A la carte” (“A elegir en ruso ”), de hecho, constaba de varios temas preparados previamente (aquellos informes que Joanna habló en ese momento), y la audiencia tenía que elegir uno específico. tema de los propuestos por votación. Sin embargo, debido a la enfermedad de Joanna, la actuación no se llevó a cabo [56] . (Por cierto, es por esta razón que el informe de Joanna aparece en el sitio web de CONFidence, pero no está disponible para descargar [57] ).

El 16 de mayo de 2007 se inaugura la Info-Security Conference 2007  (enlace inaccesible) en Hong Kong [52] [58] . En un informe titulado “Factor humano vs. Tecnología” (“ Ruso. El factor humano contra la tecnología ”), Joanna consideró los problemas modernos para garantizar la seguridad de los sistemas operativos desde el punto de vista tanto del usuario como del técnico, y también expuso sus pensamientos sobre cómo resolver estos problemas en el futuro [59] .

31 de mayo de 2007 Joanna habla en la exhibición y congreso Security@Interop Moscú 2007 en Moscú con un discurso de apertura "Virus invisibles: los buenos ganan" [52] [60] .

El 28 de julio de 2007, Joanna, junto con Alexander Tereshkin, como parte de Black Hat USA Training 2007: Sesión de fin de semana , impartieron la capacitación Comprender Stealth Malware en Black Hat , que tuvo lugar del 28 de julio al 2 de agosto en Las Vegas, EE. UU. [ 52] [61] . A los participantes del curso se les ofreció la oportunidad de aprender a un nivel más profundo los conceptos básicos del malware oculto, su interacción con el sistema operativo, el hardware y la red. Como parte del curso, los estudiantes pudieron familiarizarse y experimentar con varios conceptos de rootkit inéditos creados especialmente para este curso y similares a Deepdoor, FireWalk, Blue Pill y otros. También se consideró brevemente la cuestión de su detección [62] .

Y unos días después, el 2 de agosto, allí, Joanna y Alexander presentaron el informe técnico “ IsGameOver(), ¿alguien? "(" Rus. GameOver() o alguien más? ") [52] [63] . El informe se basó en un nuevo método práctico de ataque "sobre la marcha" en el kernel de Vista x64, así como en un examen de las deficiencias de la tecnología TPM/Bitlocker desde el punto de vista de tales ataques. Una parte importante del informe se dedicó a la presentación de nuevos detalles sobre el malware que utiliza la virtualización. Esto incluía varios métodos de detección que podrían usarse para detectar el uso de la virtualización o para encontrar el malware en sí. Se han considerado métodos para eludir las protecciones por malware y opciones para implementar la virtualización anidada [64] .

17 de septiembre de 2007 Joanna habla en la cumbre de seguridad de TI de Gertner en Londres , Reino Unido [52] .

El 23 de octubre de 2007, habló en el Nordic Virtualization Forum, celebrado en Estocolmo , Suecia [52] .

A mediados de noviembre de 2007, Joanna dio una charla sobre "Tecnologías de la información y el factor humano" en el Congreso Ruso de CIO celebrado en Rostov-on-Don , Rusia . Su informe estuvo dedicado a un nuevo enfoque que permite tomar el control de los procesadores con soporte de hardware para la virtualización [65] .

En 2007, demuestra la falta de fiabilidad y la capacidad de eludir algunos tipos de memoria basada en hardware (por ejemplo, basada en FireWire) [66] .

En 2008, Rutkowska y su equipo se centraron en la investigación de seguridad del hipervisor Xen [67] .

El 25 de marzo de 2008, junto con Tereshkin, realiza una capacitación sobre software oculto en Black Hat en Amsterdam [52] .

El 8 de abril de 2008, hizo una presentación en una importante Conferencia RSA en San Francisco , EE . UU . [52] [68] .

El 24 de abril de 2008, habla en la conferencia RISK en Oslo , Noruega [52] .

El 16 de mayo de 2008, como uno de los expertos especialmente invitados, con su presentación " Desafíos de seguridad en entornos virtualizados  (enlace inaccesible) " (" Ruso. Problemas de seguridad en un entorno virtual "), abre la conferencia CONFidence 2008 , que se lleva a cabo lugar del 16 al 17 de mayo en Cracovia [69] . La presentación se dedicó a varios posibles problemas de seguridad en un entorno virtual: rootkits basados ​​en virtualización (por ejemplo, Blue Pill ), actores aislados de máquinas virtuales, problemas de "confianza" de máquinas virtuales, virtualidad anidada y su impacto en la seguridad de los sistemas virtuales [ 70] .

El 4 de agosto de 2008, junto con Tereshkin, realiza una capacitación sobre software oculto en Black Hat en Las Vegas [52] . En una de sus entrevistas en el backstage de la conferencia, cuando se le preguntó acerca de cómo su investigación impacta el uso industrial de los hipervisores, Joanna respondió que “uno de los beneficios de su trabajo es que las personas se están volviendo más conscientes de los hipervisores, pero el objetivo principal sigue siendo comunicar información a los proveedores de soluciones, quienes deben ser conscientes de los peligros de la aplicación, cómo protegerse de ellos y corregirlos” [71] .

El 7 de agosto de 2008, en la conferencia Black Hat, Joanna, Rafal y Alexander demostraron que un error encontrado en el BIOS de la placa base DQ35JO permite, entre otras cosas, eludir la protección de memoria del hipervisor Xen . Unas semanas más tarde, Intel lanzó una actualización de la BIOS para corregir este error, después de lo cual Rutkowska publicó todos los detalles del mecanismo de ataque [72] y el código que lo demostraba [73] . El ataque se basó en el uso de la reasignación de memoria  o la capacidad de recuperación de memoria AKA del conjunto de chips y le permite eludir ciertos mecanismos de protección de memoria implementados en el procesador o conjunto de chips. Además, de manera similar, puede omitir la protección de memoria SMM , habiendo recibido acceso completo a ella. Posteriormente, esta vulnerabilidad fue investigada con más detalle durante el estudio de vulnerabilidades de SMM, lo que les permitió estudiar el código binario de SMM, lo que les permitió encontrar más vulnerabilidades en él [74] .  

El 10 de diciembre de 2008, anunciaron el descubrimiento de nuevas vulnerabilidades en el Centro de respuesta de seguridad de productos de Intel relacionadas con SMM. Todas estas vulnerabilidades de SMM encontradas son el resultado de un diseño único para implementar ciertas funciones de forma insegura. Como resultado, existen más de 40 vulnerabilidades potenciales en el motor SMM (los experimentos se realizaron en una placa base DQ35JOE con todos los parches disponibles en diciembre de 2008). De las vulnerabilidades encontradas, solo dos fueron probadas con bastante éxito, ya que Joanna y ... no vieron ningún sentido práctico en usar el resto. En su opinión, la solución correcta a este problema sería rediseñar por completo los controladores SMM existentes. En correspondencia personal, representantes de Intel confirmaron el problema en "placas base móviles, de escritorio y de servidor" sin mencionar ningún detalle ni modelos vulnerables. Yoanna y... sugirieron que todas las placas base Intel lanzadas recientemente se ven afectadas por el ataque.

Intel prometió reparar el firmware para el verano de 2009 y pidió no revelar detalles de vulnerabilidades en SMM hasta que todos los parches relevantes estén listos. Por lo tanto, se tuvo que presentar una descripción detallada de las vulnerabilidades en la conferencia Black Hat USA 2009 programada para fines de julio de 2009. Los representantes de Intel dijeron que han notificado al CERT sobre este problema, ya que creen que los BIOS de otros fabricantes pueden contener errores similares. CC CERT asignó a este error el número de serie VU#127284 [74] .

2 de septiembre de 2008 Joanna habla en un foro de seguridad de TI en Oslo [52] .

El 18 de febrero de 2009, Joanna, junto con su colega Rafal Voychuk , presentó el informe Attacking Intel Trusted Execution Technology  ( enlace inaccesible) en la conferencia Black Hat DC 2009 , celebrada del 16 al 19 de febrero de 2009 en Crystal City (Arlington, Virginia). ) ( es ) [75] [76] . El informe está dedicado al método para eludir las tecnologías de protección Intel Trusted Execution Technology (parte de la marca Intel vPro ) e Intel System Management Mode descubiertas a fines de 2008 .

Al comienzo del informe, hablamos sobre las vulnerabilidades que permiten eludir la tecnología Dynamic Root of Trust Measurement (DRTM), que generalmente pone en peligro una parte importante de los sistemas modernos. Luego, la discusión se centró en los problemas de Static Root of Trust Measurement (SRTM para abreviar), más precisamente, la necesidad de verificar cada fragmento de código que se ejecuta después de que el sistema comienza a arrancar [77] .

Como sabe, Intel Trusted Execution Technology (abreviatura TXT), que es una implementación de "inicio tardío" (o inicio retrasado ), no verifica el estado del sistema antes de iniciarlo, lo que permite un arranque seguro del sistema incluso en una computadora infectada. Pero Joanna y Rafal descubrieron que TXT no brindaba protección en tiempo de ejecución, es decir, protección de desbordamiento de búfer banal en el código del hipervisor . TXT está diseñado solo para la protección al inicio, es decir, este mecanismo asegura que el código que se está cargando en el momento de la carga es realmente el que se debe ejecutar. Sin embargo, hay una pieza de software del sistema en la que se debe confiar. Tal fragmento se llama y se llama Modo de administración del sistema (abbr. SMM).

SMM, al ser el tipo de software más privilegiado que se ejecuta en un procesador, puede eludir las comprobaciones de seguridad realizadas durante el inicio tardío en una máquina virtual recién arrancada (pero la afirmación de que SMM no se comprueba en absoluto es falsa). Por lo tanto, un ataque a la funcionalidad de lanzamiento tardío de TXT puede tener lugar en dos etapas:

  1. infección del controlador del sistema SMM,
  2. infección del código seguro recién descargado de un controlador SMM infectado.

Yoanna y Rafal presentaron un código que demuestra un ataque similar al hipervisor Xen cargado con el módulo tboot . Tboot proporciona un arranque seguro de Linux y Xen con la funcionalidad de inicio tardío de Intel TXT. En teoría, tboot debería garantizar que después de iniciar el hipervisor Xen correcto (es decir, sin modificar) (¡y solo en este caso!), Los datos correctos se cargarán en los registros TPM. Pero en la práctica, esto significa que solo una determinada versión (confiable) del hipervisor Xen podrá acceder a las áreas protegidas del TPM y/o podrá identificarse positivamente para la interacción (por ejemplo, con la computadora portátil de un administrador del sistema) utilizando la función especial TPM "Atestación remota" (" Ruso. Comprobación remota "). Así, Joanna y Rafal demostraron que con la ayuda de un controlador SMM infectado, es posible modificar una máquina virtual recién cargada, es decir, el ataque pasa por alto por completo todos los mecanismos de protección proporcionados por TXT para proteger la descarga.

Como protección contra este tipo de ataques, Intel desarrolló un mecanismo llamado SMM Transfer Monitor (abreviado STM), que es una especie de entorno (o "sandbox") en el que se coloca un controlador SMM existente a través de la virtualización mediante VT-x y VT- d. En este caso, STM debe percibirse como un hipervisor interactivo (hipervisor de pares en inglés  ) para una máquina virtual cargada por inicio tardío, y durante el inicio tardío debe analizarse STM. Pero en el momento de la demostración, esta tecnología aún no estaba disponible porque, según los representantes de Intel (en correspondencia privada), "no tenía sentido comercial" [74] .

El 15 de mayo de 2009, con un informe “ Pensamientos sobre la computación confiable  (enlace inaccesible) ” (“ Pensamientos rusos sobre el procesamiento de información confiable ”), habla en la conferencia CONFidence 2009 , celebrada del 15 al 16 de mayo de 2009 en Cracovia [78 ] . El informe está totalmente dedicado a la tecnología Trusted Computing: qué es, los bloques principales que componen la tecnología (TPM, VT y TXT) y disponible en equipos modernos, una discusión de escenarios para el uso de dichos equipos, así como una discusión de las diferencias entre la funcionalidad teórica y las limitaciones prácticas de su uso [79] .

El 26 de mayo de 2009, Joanna hizo una presentación en EuSecWest en Londres [52] .

El 25 de julio de 2009, Joanna y Alexander están organizando una capacitación de hiddenware en Black Hat en Las Vegas [52] .

El 27 de julio de 2009, Joanna y Rafal organizarán una capacitación en seguridad de virtualización en Black Hat en Las Vegas [52] .

El 15 de septiembre de 2009, hizo una presentación en la Cumbre de seguridad de Intel en Hillsborough, Oregón, EE. UU . [52] .

El 29 de octubre de 2009, hizo una presentación en el Computerbild Anti-Virus-Symposium en Hamburgo [52] .

El 24 de noviembre de 2009, Joanna da un discurso de apertura en un seminario sobre seguridad en la Universität der Bundeswehr en Munich [52] .

El 16 de abril de 2010 realizó una presentación en CampusParty EU en Madrid [52] .

Desarrollo e investigación

Píldora roja

En noviembre de 2004, Joanna publicó el código del programa Red Pill y una descripción de la vulnerabilidad que explotaba. El nombre del programa (así como el nombre del proyecto Blue Pill) fue tomado de la película " The Matrix ", donde en una de las escenas al personaje principal se le ofrecen dos pastillas para elegir: azul - para permanecer en el sistema (en Matrix), rojo - para salir de él. Rutkowska compara tragarse una pastilla roja con una subrutina que devuelve un valor distinto de cero (es decir, un mensaje de error), lo que en la película permitió que el héroe se diera cuenta de que estaba en un mundo virtual. La tarea principal del programa era demostrar la capacidad de determinar el uso de una máquina virtual utilizando la instrucción SIDT del procesador, que se ejecuta en modo no privilegiado, pero devuelve el contenido del registro utilizado dentro del sistema operativo.

La principal técnica que permitió hacer esto fue analizar la ubicación del registro de la tabla de descripción de interrupciones ( inglés  interrupt descriptor table register , abreviatura IDTR). La instrucción SIDT coloca el contenido del IDTR en el operando especificado, es decir, lo coloca en la memoria y estamos hablando de reubicar la tabla IDT en una dirección específica.

Yoanna había notado por primera vez este extraño comportamiento de la instrucción SIDT unos años antes cuando estaba probando un rootkit Suckit en VMWare. Este rootkit funcionó bastante bien en un sistema operativo real, pero dio un error cuando se ejecutó en una máquina virtual. Joanna pasó varias horas descubriendo que el problema era el SIDT que Suckit estaba usando para obtener la dirección de la tabla IDT.

Al mismo tiempo, la propia Joanna no niega que se hayan realizado estudios similares antes que ella. Así, por ejemplo, se refiere a un documento publicado en 2000 en USENIX , que está dedicado al problema de implementar máquinas virtuales en procesadores Intel. Entre los problemas discutidos estaba el problema con SIDT.

La idea del proyecto fue presentada por Joanna en octubre en IT Underground 2004 en Varsovia , Polonia . Después de la conferencia, el 18 de octubre, Dave Eitel publicó su informe sobre el viaje a esta conferencia, que suscitó un gran interés. Como resultado, Joanna comenzó a recibir muchos correos electrónicos de personas que querían saber "cómo detectar el uso de VMWare con una sola instrucción" [12] [14] .

Finalmente, el 14 de noviembre de 2004, Joanna lanzó Red Pill como código fuente para un pequeño programa en C [14] . Este código necesitaba compilarse en Windows ejecutándose en un procesador Intel [80] .

Pero, desafortunadamente, este programa tenía fallas, siendo el principal inconveniente del programa su incapacidad para detectar la virtualización de hardware:

Hay una diferencia entre definir la virtualización y definir un hipervisor específico como BluePill, que discutimos anteriormente. Cabe recordar que RedPill tenía como objetivo definir la virtualización de software que usaban los productos VMWare incluso antes de que Intel y AMD introdujeran VT-x/AMD-v (antes de 2006). Mi detector RedPill original, que se publicó en 2004, no es capaz de detectar la virtualización de hardware [3] .

NUSHU

En diciembre de 2004, Joanna dio una charla en el 21º Congreso de Comunicación del Caos en Berlín sobre canales encubiertos en la versión 2.4 del kernel de Linux. Para esta presentación, preparó un programa conceptual que puede demostrar el posible peligro de los canales encubiertos en las redes corporativas y, por lo tanto, proporcionar a los investigadores datos a través de estos canales para su análisis.

Según una nota adjunta escrita por la propia Joanna, el programa no se ha probado exhaustivamente y es solo una demostración del concepto de la idea misma [81] .

El 2 de enero de 2005, Joanna anunció en su sitio web el descubrimiento de los materiales y el código NUSHU [14] .

El programa despertó el interés de la comunidad hacker, por lo que se propusieron varios métodos para detectar este programa. Por ejemplo, Stephen Murdoch y Stephen Lewis del Cambridge Computer Laboratory ( www.cl.cam.ac.uk ) publicaron un artículo en abril de 2005 sobre canales encubiertos en TCP/IP. En este documento, en particular, se presenta una descripción de un método para detectar canales encubiertos basado en el principio NUSHU, y se propone una nueva implementación de la idea de canales encubiertos denominada "Lathra" [14] [82] .

A mediados de noviembre de 2005, Evgeny Tumoyan y Maxim Anikeev de la Universidad Estatal de Taganrog publicaron un documento " Detección basada en red de canales encubiertos pasivos en TCP/IP " que describe un nuevo método para detectar canales [83] . Un mes después, este documento fue publicado para su revisión gratuita [14] .

Hablando en el 22º Congreso de Comunicación del Caos a finales de diciembre de 2005, Stephen Murdoch se centró específicamente en los detalles técnicos del programa NUSHU durante su presentación . La propia Joanna consideró esta presentación "muy chula" [14] .

FLISTER

FLISTER es un código de concepto para demostrar la capacidad de detectar archivos ocultos por los rootkits de Windows en los modos de usuario y kernel a la vez. El programa se basa en la explotación de errores (generalmente creados por autores de rootkits) al manejar una llamada de función ZwQueryDirectoryFile()con el método ReturnSingleEntryestablecido en TRUE [84] .

El programa fue escrito a principios de 2005 [85] . El 24 de enero de 2005, Joanna publicó el código fuente del programa [14] .

Las pruebas realizadas a principios de 2007 demostraron que este programa no solo era inestable, sino que "la detección de rootkits mediante este programa es prácticamente imposible" [86] .

modGREPER

modGREPER es un detector de módulos ocultos para Windows 2000/XP/2003. El programa escanea toda la memoria utilizada por el núcleo (direcciones 0x80000000 — 0xffffffff) en busca de estructuras que parezcan objetos de descripción de módulo válidos [84] . Hasta ahora, el programa reconoce solo los dos tipos de objetos más importantes: uno bastante conocido _DRIVER_OBJECTy _MODULE_DESCRIPTION. modGREPER tiene algún tipo de inteligencia artificial incorporada (más precisamente, varios conjuntos de reglas lógicas que describen los posibles campos de la estructura), lo que le permite determinar si los bytes dados realmente describen el objeto del módulo.

Luego, modGREPER construye una lista de objetos encontrados, los compara entre sí y finalmente compara la lista resultante con la lista de módulos del kernel obtenidos usando las funciones API documentadas (EnumDeviceDrivers).

Se asumió que modGREPER podía detectar todo tipo de módulos ocultos en uso en el momento en que se lanzó el programa. Además, algunos de los módulos pueden estar marcados como "SOSPECHOSO" (" rus. Sospechoso "). Esto se aplica a los módulos no ocultos cuyos archivos de imagen correspondientes faltan o se encuentran en directorios ocultos (ocultos por el rootkit, no por el sistema). Este comportamiento se agregó porque la mayoría de los rootkits ni siquiera intentan ocultar sus módulos de kernel de la API.

El programa también puede detectar y enumerar los módulos del núcleo descargados. Esto a veces permite rootkits de kernel más avanzados (sin controladores). Sin embargo, esta lista tiene algunas limitaciones: tiene un alcance limitado y contiene solo el nombre principal (base) del módulo (sin especificar la ruta).

Sin embargo, la propia Joanna admitió que es bastante posible escribir rootkits que no sean susceptibles de tal verificación. Además, como objetivo principal de lanzar un programa de este tipo, ella misma señaló el deseo de estimular a los piratas informáticos para que escriban rootkits más sofisticados [87] .

La primera versión del programa (0.1) fue lanzada el 6 de junio de 2005 , la segunda y última versión (0.2) - el 14 de junio de 2005 [88] .

Las pruebas realizadas a principios de 2007 demostraron que este programa no solo era inestable, sino que "la detección de rootkits con este programa es prácticamente imposible" [86] .

Verificador de virginidad del sistema

El programa es una pequeña utilidad de consola que se inicia desde la línea de comandos. La idea detrás de SVV es inspeccionar los componentes centrales del sistema de Windows que varios programas maliciosos buscan modificar. La comprobación le permite garantizar la integridad del sistema e identificar posibles infecciones del sistema [84] .

A fines de septiembre de 2005, en la conferencia Hack In The Box en Kuala Lumpur , Malasia , presentó la primera versión del programa (1.0) [89] . El 3 de octubre de 2005, Joanna publica la primera versión del programa en su sitio web [14] . El 1 de noviembre de 2005 se publicó la primera versión estable (1.1) del programa [90] .

Las pruebas realizadas a finales de 2005 mostraron que el programa solo implementaba "un conjunto limitado de pruebas", detectando solo aquellos rootkits que "ocultaban solo una parte de sus datos o se eliminaban antes de reiniciar el sistema" [91] .

El 25 de enero de 2006, en la conferencia Black Hat, Federal lanzó la versión 2.2 [92] .

La última versión (2.3) se publicó el 27 de febrero de 2006 [90] .

El 12 de mayo de 2006, Joanna anunció en su blog que el código fuente de SVV era de código abierto porque, según ella, no tiene tiempo para desarrollarlo más, pero sigue considerando correcto y prometedor el enfoque utilizado en el programa. . Bajo la licencia bajo la cual abrió el código, permite a los usuarios hacer lo que quieran con el código fuente, hasta usarlo con fines comerciales [93] .

Las pruebas realizadas a principios de 2007 demostraron que este programa no solo era inestable, sino que "la detección de rootkits con este programa es prácticamente imposible" [86] .

Píldora azul

Joanna ha estado pensando en un proyecto de este tipo desde alrededor de marzo de 2006, cuando le llegó la documentación de AMD sobre la nueva tecnología de virtualización AMD-V (anteriormente conocida como Pacifica). Los primeros procesadores que soportan esta tecnología salieron al mercado a finales de mayo, y ya en la primera semana de junio, Joanna consiguió hacerse con uno de estos procesadores en Polonia. A partir de ese momento, tardó exactamente seis días en escribir la primera versión funcional de Blue Pill [33] . El programa fue presentado en la conferencia Black Hat Briefings celebrada en Las Vegas el 3 de agosto de 2006 [45] .

Cuando Microsoft anunció el año pasado que el kernel estaría protegido contra la carga de código [no autorizado], pensé: "Mmmm, este es un rompecabezas interesante. Debería jugar con esto [5] .

Algunos expertos en rootkits (como Greg Hoagland , quien escribió uno de los primeros rootkits para Windows) han argumentado que los rootkits basados ​​en máquinas virtuales son solo juguetes de laboratorio y no representan una amenaza real. En respuesta, Yoanna respondió que esta afirmación bien podría ser cierta para programas como SubVirt, desarrollado por Microsoft Research y la Universidad de Michigan , pero no para Blue Pill o Vitriol, ya que se basan en la virtualización de hardware, no en el software [94] .

Poco después del cierre de COSEINC AML, Joanna fundó Invisible Things Lab, después de lo cual se reanudó el trabajo en Blue Pill. Joanna y Alexander Tereshkin deciden escribir un nuevo rootkit Blue Pill (llamado New Blue Pill para distinguir el nuevo Blue Pill del original) para que pueda usarse para futuras investigaciones y con fines educativos. La mayor parte del código de la nueva píldora azul fue escrito por Tereshkin. El nuevo Blue Pill difería significativamente del original, no solo en la implementación de nuevas funciones, sino también en los cambios en la arquitectura (ahora se ha vuelto similar al HVM utilizado en XEN 3).

Rong Fan rediseñó el  nuevo Blue Pill para que funcione con los procesadores Intel, al tiempo que agregó soporte para la virtualización de hardware Intel VT-x. Ron también agregó soporte para la virtualización anidada basada en VT-x para NBP posteriores, pero este código no se puede publicar debido a un acuerdo de divulgación limitada, pero un soporte similar para la virtualización de hardware de AMD es de código abierto.

Desde el otoño de 2007, la empresa estadounidense Phoenix Technologies [45] ha estado apoyando el trabajo sobre la nueva píldora azul .

Qubes

7 de abril de 2010 Joanna anunció el desarrollo de un nuevo sistema operativo altamente seguro Qubes (del inglés  cubes  - cubes, cubes). El trabajo en el sistema operativo comenzó en diciembre de 2009, tomó alrededor de dos meses diseñar el sistema, luego comenzó la fase de codificación [95] . La arquitectura de Qubes fue diseñada por Yoanna y Rafal, el código de virtualización de la GUI fue escrito por Rafal y el resto del sistema fue escrito principalmente por Yoanna [96] .

En cuanto al nombre del sistema operativo, la propia Joanna dice [95] lo siguiente :

Oh, creo que es bastante obvio. Qubes  es una forma tan peculiar de escribir la palabra Cubos , y cada uno de esos "cubos" debería simbolizar una máquina virtual. Cuando pensamos en usar una máquina virtual para la protección, imaginamos una especie de jaula o cubo, es decir, algo que puede contener y limitar lo que tiene dentro (por ejemplo, un programa malicioso).

Texto original  (inglés)[ mostrarocultar] Oh, pensé que era bastante obvio. Qubes es solo una forma elegante de escribir Cubos , y cada "cubo" se supone que simboliza una Máquina Virtual (VM). Cuando pensamos en una máquina virtual en seguridad, pensamos en una especie de jaula o cubo, algo que es capaz de contener y encarcelar todo lo que hay dentro (por ejemplo, un programa malicioso).

De hecho, el desarrollo ahora es una especie de complemento para el sistema operativo Fedora 12 . Por el momento, Qubes no tiene su propio instalador, por lo que los desarrolladores prepararon todos los paquetes RPM necesarios y los probaron en este sistema. Los desarrolladores asumen que Qubes funcionará en otros sistemas Linux que admitan paquetes RPM, pero no han probado esta característica. Después de escribir su propio instalador, los desarrolladores quieren convertir Qubes en un sistema independiente que no requiera la instalación de otros sistemas operativos [97] .

La versión 1 Alpha 2 estaba programada para el 11 de junio de 2010, con la primera beta el 1 de septiembre de 2010 y la primera estable el 31 de diciembre de 2010 [98] .

La versión 1.0 se lanzó el 3 de septiembre de 2012 [99] [100] .

Premios y logros

Equipos informáticos personales

Personalmente, prefiere los productos de Apple [5] .

Joanna también usa otras computadoras que no son de Apple (tanto portátiles como de escritorio) [3] .

Intereses y aficiones

El pasatiempo de Joanna es "programar un robot autónomo de seis dedos con un cerebro basado en dos microcontroladores de 8 bits" [3] .

Vida personal

En 2007, cuando un periodista le preguntó sobre cuál considera Joanna su mayor logro, respondió: “Vida feliz con mi pareja” [4] .

Datos interesantes

Notas

  1. Según la transcripción práctica polaco-rusa . En algunas fuentes en idioma ruso, su nombre está registrado en una transcripción doble (a través de la versión en inglés): Joanna Rutkowska.
  2. Invisible Things Lab - Recursos Archivado el 11 de junio de 2010 en Wayback Machine . 
  3. 1 2 3 4 5 6 7 8 9 10 11 12 Dmitri Chekanov. Entrevista con Joanna Ratkowska: Virtualización, Rootkits e Hipervisores . Hardware de Tom (10 de agosto de 2009). Fecha de acceso: 14 de diciembre de 2010. Archivado desde el original el 8 de marzo de 2012.
  4. 1 2 3 Hacker Joanna Rutkowska . Consultado el 9 de junio de 2010. Archivado desde el original el 4 de marzo de 2016.
  5. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Black Hat Woman Archivado el 22 de junio de 2009 en Wayback Machine . 
  6. 1 2 Joanna Rutkowska - o sobie i bezpieczeństwie systemów operacyjnych Archivado el 26 de agosto de 2010 en Wayback Machine  (polaco)
  7. 1 2 Rutkowska: El software antivirus es  ineficaz
  8. Acerca de la empresa . Archivado el 12 de junio de 2010 en Wayback Machine . 
  9. CONFidence 2007 - konferencja bezpieczeństwo sytemów, ochrona fizyczna, security.Joanna Rutkowska Archivado el 9 de marzo de 2012 en Wayback Machine . 
  10. ↑ Puertas traseras del kernel de Linux y su detección Archivado el 20 de julio de 2011 en Wayback Machine . 
  11. Detección de rootkits en sistemas Windows Archivado el 20 de julio de 2011 en Wayback Machine . 
  12. 1 2 3 Artículos y presentaciones de conferencias Archivado el 8 de julio de 2011 en Wayback Machine . 
  13. Informe de viaje subterráneo de TI Archivado el 26 de julio de 2011 en Wayback Machine . 
  14. 1 2 3 4 5 6 7 8 9 Invisiblethings.org. Archivo de noticias Archivado el 8 de julio de 2011 en Wayback Machine . 
  15. Canales de cobertura pasivos en el kernel de Linux . Archivado el 29 de noviembre de 2020 en Wayback Machine . 
  16. Hide-And-Seek: Definición de la hoja de ruta para la detección de malware en Windows Archivado el 18 de abril de 2011 en Wayback Machine . 
  17. Hack In The Box Archivado el 10 de agosto de 2007 en Wayback Machine . 
  18. HITBSecConf2005 - Malaysia " Joanna Rutkowska Archivado el 8 de febrero de 2007 en Wayback Machine . 
  19. Open Methodologies for Compromise Detection Archivado el 14 de junio de 2010 en Wayback Machine . 
  20. Instituto de Seguridad y Metodologías Abiertas . Consultado el 1 de julio de 2010. Archivado desde el original el 22 de julio de 2010.
  21. (OWASP-NewJersey) Fw: (ISECOM-news) nuevo proyecto lanzado -  OMCD
  22. Sombrero Negro Federal 2006 . Consultado el 6 de agosto de 2010. Archivado desde el original el 6 de agosto de 2010.
  23. Caza de rootkits vs. Detección de compromiso . Consultado el 6 de agosto de 2010. Archivado desde el original el 4 de agosto de 2010.
  24. Black Hat Briefings Federal 2006 Schedule Archivado el 6 de agosto de 2010 en Wayback Machine . 
  25. Especificación de la interfaz del controlador de red de Windows Archivado el 6 de abril de 2008 en Wayback Machine . 
  26. ↑ Resumen de Black Hat Federal 2006, Parte 3 Archivado el 17 de junio de 2021 en Wayback Machine . 
  27. IT-Defense 2006 (enlace inaccesible) . Consultado el 6 de agosto de 2010. Archivado desde el original el 12 de octubre de 2009. 
  28. DEFENSA DE TI 2006 | AGENDA Archivado el 12 de octubre de 2009 en Wayback Machine  (alemán)
  29. DEFENSA DE TI 2006 | VORTRÄGE Archivado el 23 de octubre de 2007 en Wayback Machine . 
  30. Introducción a la taxonomía de Stealth Malware . Archivado el 20 de julio de 2011 en Wayback Machine . 
  31. Stealth Malware: Entrevista con Joanna Rutkowska Archivado el 11 de agosto de 2020 en Wayback Machine . 
  32. 1 2 Presentación de Blue Pill Archivado el 1 de julio de 2010 en Wayback Machine . 
  33. 1 2 3 4 Joanna Rutkowska - wywiad dla HACK.pl Archivado el 5 de agosto de 2020 en Wayback Machine  (polaco)
  34. CONFidence 2006 (enlace no disponible) . Consultado el 10 de junio de 2010. Archivado desde el original el 10 de octubre de 2010. 
  35. CONFidence 2006 - informe de viaje Archivado el 11 de mayo de 2009 en Wayback Machine . 
  36. Materiały zgodnie z programem konferencji Archivado el 1 de septiembre de 2009 en Wayback Machine  (polaco)
  37. The Blue Pill Hype Archivado el 5 de febrero de 2010 en Wayback Machine . 
  38. Acerca de Speaker Archivado el 13 de julio de 2010 en Wayback Machine . 
  39. Programa de archivo Archivado el 13 de julio de 2010 en Wayback Machine . 
  40. 1 2 Microsoft obtiene buena recepción en Black Hat . Archivado el 17 de octubre de 2013 en Wayback Machine . 
  41. Microsoft levantará la tapa de la conferencia de hackers . Archivado el 10 de noviembre de 2013 en Wayback Machine . 
  42. Vista pirateada en Black Hat . Archivado el 16 de junio de 2011 en Wayback Machine . 
  43. Back From Black Hat Archivado el 2 de mayo de 2014 en Wayback Machine . 
  44. Píldora azul/píldora roja: la matriz tiene Windows Longhorn . Archivado desde el original el 25 de febrero de 2012.  (Ruso)
  45. 1 2 3 4 Blue Pill Project Archivado el 17 de febrero de 2009 en Wayback Machine . 
  46. HITBSecConf2006 - Malasia: AGENDA DE LA CONFERENCIA Archivado el 5 de enero de 2009 en Wayback Machine . 
  47. HITB - Investigador para hacer que Blue Pill sea aún más difícil de detectar . Archivado el 1 de diciembre de 2020 en Wayback Machine . 
  48. En la conferencia de hackers, Microsoft recibe crédito por el  esfuerzo
  49. Rutkowska lanza su propia  startup
  50. Evolución Archivado el 7 de mayo de 2010 en Wayback Machine . 
  51. Iron Lady Archivado el 25 de mayo de 2010 en Wayback Machine  (ruso)
  52. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 Eventos Archivado el 9 de julio de 2010 en Wayback Machine . 
  53. Voorlopig tijdschema Archivado el 14 de junio de 2011 en Wayback Machine  (s.f.)
  54. Virtualización - El otro lado de la moneda Archivado el 14 de junio de 2011 en Wayback Machine . 
  55. CONFidence 2007 - konferencja bezpieczeństwo sytemów, ochrona fizyczna, security Agenda Archivado el 1 de abril de 2011 en Wayback Machine  (polaco).
  56. Eventos pasados ​​Archivado el 8 de julio de 2011 en Wayback Machine . 
  57. CONFidence 2007 - konferencja bezpieczeństwo sytemów, ochrona fizyczna, security.Prezentacje Archivado el 31 de octubre de 2009 en Wayback Machine  (polaco)
  58. The 8th Info-Security Conference 2007. Agenda  (enlace descendente  )
  59. El 8º Proyecto de Seguridad de la Información. Milisegundo. Joanna Rutkowska  (enlace no disponible)  (inglés)
  60. La hacker femenina más famosa actuará en Rostov-on-Don como parte de la CIO Summit Rostov . Consultado el 9 de junio de 2010. Archivado desde el original el 4 de marzo de 2016.
  61. Black Hat USA 2007 Training Sessions Archivado el 17 de diciembre de 2010 en Wayback Machine . 
  62. Comprender Stealth Malware Archivado el 18 de diciembre de 2010 en Wayback Machine . 
  63. Black Hat Briefings and Training USA 2007. Horario Archivado el 13 de diciembre de 2010 en Wayback Machine . 
  64. Black Hat USA 2007 Temas y oradores Archivado el 13 de diciembre de 2010 en Wayback Machine . 
  65. En el Congreso de directores de TI habló sobre seguridad
  66. Más allá de la CPU: Derrotar las herramientas de adquisición de RAM basadas en hardware . Consultado el 9 de junio de 2010. Archivado desde el original el 8 de febrero de 2010.
  67. La virtualización Xen se traga una "píldora azul" (enlace no disponible) . Consultado el 9 de junio de 2010. Archivado desde el original el 8 de diciembre de 2013. 
  68. The RSA Absurd Archivado el 15 de marzo de 2012 en Wayback Machine . 
  69. CONFidence 2008 - konferencja bezpieczeństwo sytemów, security.Speakers Archivado el 24 de febrero de 2011 en Wayback Machine . 
  70. CONFidence 2008 - konferencja bezpieczeństwo sytemów, seguridad. Joanna Rutkowska Archivado el 4 de marzo de 2016 en Wayback Machine . 
  71. Black Hat 2008: The Zen of Xen Archivado el 16 de octubre de 2016 en Wayback Machine . 
  72. Joanna Rutkowska y Rafal Wojtczuk. Detección y prevención de las subversiones del hipervisor Xen. Presentado en Black Hat USA, Las Vegas, NV, USA,  2008
  73. Rafal Wojtczuk, Joanna Rutkowska y Alexander Tereshkin. Trilogía Xen 0wning: código y demostraciones. http://invisiblethingslab.com/resources/bh08/ Archivado el 9 de junio de 2010 en Wayback Machine , 2008.  (Inglés)
  74. 1 2 3 Rafal Wojtczuk y Joanna Rutkowska - Attacking Intel Trusted Execution Technology Archivado el 18 de octubre de 2010 en Wayback Machine . 
  75. Black Hat DC Briefings 2009 Archivado el 31 de julio de 2010 en Wayback Machine . 
  76. Calendario de Black Hat Briefings DC 2009 Archivado el 1 de agosto de 2010 en Wayback Machine . 
  77. Informe de viaje de Black Hat DC 2009 
  78. CONFidence 2009 - konferencja bezpieczeństwo sytemów, seguridad. Oradores Archivado el 16 de agosto de 2010 en Wayback Machine . 
  79. CONFidence 2009 - konferencja bezpieczeństwo sytemów, seguridad. Joanna Rutkowska Archivado el 1 de abril de 2011 en Wayback Machine . 
  80. ↑ Píldora roja... o cómo detectar VMM usando (casi ) una instrucción de CPU . Archivado el 11 de septiembre de 2007 en Wayback Machine . 
  81. NUSHU Passive Covert Channel en números TCP ISN. Léame Archivado el 8 de julio de 2011 en Wayback Machine . 
  82. Embedding Covert Channels into TCP/IP Archivado el 8 de febrero de 2006 en Wayback Machine . 
  83. Detección basada en red de canales encubiertos pasivos en TCP/  IP
  84. 1 2 3 Herramientas y códigos de prueba de concepto Archivado el 8 de julio de 2011 en Wayback Machine . 
  85. FLISTER: descubrimiento de archivos ocultos por rootkits de Windows. Léame Archivado el 8 de julio de 2011 en Wayback Machine .  
  86. 1 2 3 ARK modernos: ¿ilusión de detección? Archivado el 5 de marzo de 2016 en Wayback Machine . 
  87. Léame de modGREPER Archivado el 8 de julio de 2011 en Wayback Machine . 
  88. ↑ registro de cambios de modGREPER Archivado el 8 de julio de 2011 en Wayback Machine . 
  89. Verificador de virginidad del sistema. Definición de la hoja de ruta para la detección de malware en el sistema Windows Archivado el 8 de julio de 2011 en Wayback Machine en la conferencia de seguridad Hack In The Box 
  90. 1 2 SVV changelog Archivado el 8 de julio de 2011 en Wayback Machine . 
  91. Polowanie na duchy  (polaco) 28-11-2005
  92. Caza de rootkits vs. Detección de compromiso Archivado el 8 de julio de 2011 en Wayback Machine en Black Hat Federal 2006, 25 de enero de  2006
  93. ¡Código fuente de SVV hecho público! Archivado el 20 de julio de 2009 en Wayback Machine . 
  94. Rutkowska: El software antivirus es ineficaz (página 2  )
  95. 1 2 ¡Entrevista con Joanna Rutkowska! Archivado el 30 de mayo de 2010 en Wayback Machine . 
  96. Preguntas frecuentes sobre Qubes . Archivado el 27 de julio de 2010 en Wayback Machine . 
  97. Preguntas frecuentes de los usuarios de Qubes Archivado el 7 de agosto de 2010 en Wayback Machine . 
  98. Hoja de ruta - Qubes Archivado el 4 de junio de 2010 en Wayback Machine . 
  99. Qubes OS 1.0/Habrahabr . Consultado el 21 de septiembre de 2012. Archivado desde el original el 15 de septiembre de 2012.
  100. El blog de Invisible Things Lab: ¡Presentamos Qubes 1.0! . Consultado el 21 de septiembre de 2012. Archivado desde el original el 7 de septiembre de 2012.
  101. Five Hackers Who Leave a Mark on 2006  (enlace no disponible)  (ing.) , Ryan Narain, eWeek.com
  102. 12 hackers de "Sombrero Blanco" que deberías conocer . Archivado el 15 de junio de 2010 en Wayback Machine . 
  103. Invisible Things Lab, omisión de Bitlocker/TPM y algunos pensamientos de la conferencia . Archivado el 12 de agosto de 2011 en Wayback Machine . 
  104. Zero For 0wned's Summer of Hax Archivado el 6 de marzo de 2010 en Wayback Machine . 

Enlaces

sitios web y blogs Artículos Entrevista Otro
  Ir al elemento de Wikidata  en redes sociales
En catálogos bibliográficos