книги хакеры / журнал хакер / 113_Optimized

rootkits.ru

•Хорошийфорумдляразработчиковвсякоймалвари,руткитовипрочего зверья.

•Бываеттакое,чтокто-нибудьизприсутствующихнечаяноспалиткакой- нибудь(полу)приват.Мелочь,априятно.

•Форумнебольшой,модераторыадекватныеихорошоразбирающиесяв теме,нонекоторыепользователипроизводятвпечатлениеполныхотмо- розков.Что-товроде«научилсяписатьруткитыитеперьябог».Вобщем, безпочвенныйснобизм,бывает,наблюдается.

•Немалоинфыпоkernel-кодингувспециальномразделе.Раньше,какя понимаюместгдеможнобылопоговоритьнаэтутемутолкомтоинебыло. Сейчасестьотдельныйразделнаwasm,нечтопонизкоуровевомукодингу наrsdnивполнеактивныйфорумнаrootkits.ru.

•Моеощущение,чтоесливирмейкерскаясценагде-тоиесть,тотолькона васмеитут.Ну,еслиневирмекерская,топростомалварная.

cracklab.ru

•Лучшийизвестныймнефорум,посвященныйвзломупрограмм,реверсингуит.п.Этодействительнополезноеместо.

•Местныйконтингент—этовосновномгики,получающиеистинноеудовольствиеотобсуждения новойверсиикакого-нибудьPE-редактораилидампера.

•Где,какнездесь,помогутснятьзащитуилиразобратьсястриалом.

•Наcracklab’евполнеадекватнаяструктурафорума,немногоразделовивсеоченьпрокаченные:

•Креки,обсуждения;

•Софт,варез;

•Вопросыновичков;

•Программирование.

•Этоместонаравнесвасмомдолжнобытьвбукмаркаххакера.z

X-Profile

Жанна

Рутковская

Мария «Mifrill» Нефедова

/ mifrill@riddick.ru /

О Жанне

Рутковская не только молодая симпатичная девушка, но и наша географическая соседка. Она родилась и живет в Польше. Жанна окончила Варшавский технологический университет (Warsaw University of Technology), а именно — матфак. Отметим, что всего 5% студентов на потоке — представительницы прекрасного пола. Сама Жанна (первый компьютер у которой появился в 11 летнем возрасте) считает эту статистику странной — девушку-хакера удивляет, почему столь мало дам интересуется точными науками. Но цифры цифрами, а по словам Рутковской, во время учебы она не испытывала никаких сексистских притеснений или проблем.

Ее первым компьютером был ныне доисторический PC AT, с 2 Мб ОЗУ, 40 Мб дискового пространства и примитивной видеокартой «Hercules». Рутковская шутит, что ей ничего не оставалось, кроме как начать программировать, ведь игры и «развлекательные» приложения на машине просто не шли. С самого детства любившая математику Жанна легко освоилась со сложной техникой, и на этом ее интерес не угас. В частности, она занялась Ассемблером, программированием, внутренним строением ОС и etc. Все это плавно перетекло в увлечение написанием различных эксплойтов.

Толчком к первому хаку послужила публикация в электронном журнале Phrack (http://www.phrack.org/) — культовом андеграундном издании с более чем двадцатилетней историей.

Напечатанная в этом оплоте хакерства статья описывала создание stack-smashing эксплойта, то есть атаку на переполнение буфера (она же

атака срыва стека). После прочтения статьи Рутковская была настроена скептически, уверенная,что описанное во Phrack'е не сработает. Но эксперимента ради она воспроизвела эксплойт на своей машине и протестировала. Все получилось. По признанию Жанны, когда эксплойт срабатывает — это странное и волнующее ощущение, сродни какому-то волшебному трюку.

Однако на волшебстве в наше время далеко не уедешь. Жанна задумалась, чем она хочет заниматься. От интереса к устройству ОС она пришла к созданию руткитов. Так как Рутковская до сих пор специализируется именно в этой области, очевидно, выбор был удачен. Стоит отметить, что университетское образование мало общего имело с тем, чем Жанна занята сейчас. По сути, она самоучка и львиную долю знаний приобрела исключительно путем практики.

Разработки и проекты

Определившись с направлением, Рутковская продолжительное время проработала в компании COSEINC. Деятельность этой сингапурской фирмы, как несложно догадаться, ориентирована на исследования, разработки и предоставление услуг в сфере информационной безопасности. Именно под крылом COSEINC родился небезызвестный руткит Blue Pill, вызвавший немало споров.

В компании Жанна собрала вокруг себя коллектив людей, составивший небольшой отдел Advanced Malware Labs. Название переводится, как «Лаборатория продвинутого вредоносного ПО». Однако подразделение было создано исключительно во благо. Как говорится, «врага надо знать

ВыступлениеЖаннынаBlackHat2006

в лицо», а «лучшая защита — это нападение». В общем-то, ни для кого не секрет, что многие хакеры стараются обращать внимание производителей софта на недоработки, дыры и недочеты в их детищах, просто каждый делает это по-своему. В частности, у Рутковской была весомая причина работать именно над Vista, а не, скажем, Linux — большинство заказчиков COSEINC интересовались безопасностью именно этой майкрософтовской ОС. Спрос рождает предложение.

Продуктом исследований и тестов стала «Синяя таблетка». Аналогия с «Матрицей» братьев Вачовски очевидна. Используя технологии аппаратной виртуализации, таблетка (если нужно — в обход цифровых подписей драйверов) устанавливает гипервизор (hyper-visor) — и начинается. «Проглатывая» Blue pill, система погружается во власть виртуального эмулятора и даже не подозревает об этом.

Исходный код «пилюли» Жанна написала сама, опираясь на бета-версии Vista. Свои наработки в виде прототипа она поспешила представить сначала на конференции SyScan в Сингапуре (в июле 2006, одновременно осветив вопрос у себя в блоге), а затем, 3 го августа, выступила с докладом на ежегодном слете Black Hat в США.

Руткит вызвал немалый резонанс, но вовсе не со стороны Microsoft (они вообще отмахнулись от взлома, мол, никто не утверждал, что сломать новую ось, тем более, бету, нельзя), а со стороны коллег по цеху. Рутковская утверждала, что обнаружить Blue pill 100% невозможно, и, конечно же, нашлись те, кто заявил, что они докажут обратное. В частно-

сти, вызов Рутковской бросила команда Томаса Пташека (Thomas Ptacek)

— в лице самого Томаса, а также Нейта Лоусана (Nate Lawson) и Питера Ферри (Peter Ferrie). Они предложили тест — взять два компьютера и на одном из них негласно запустить руткит. Команда Пташека напишет детектор, который сможет определить, на какой именно машине функционирует «Синяя таблетка». Поединок, предположительно, должен был состояться во время Black Hat 2007.

История получила довольно широкую огласку. За событиями следили не только в узких кругах, но и писали в новостях и блогах. Все ждали ответа Жанны. Вызов она приняла, но с некоторыми поправками. В частности, предложила увеличить число компьютеров до пяти (что довольно логично) и... попросила команду Пташека оплатить работу двух программистов, исходя из ставки $200 в час (sic!) на человека. Учитывая, что по примерным подсчетам Жанны, на завершение работы над руткитом ушло бы около полугода, а обычный рабочий график — это 8 часов в сутки и 20 дней в месяц, она запросила порядка $384000. Это решило дело. Здесь будет уместно процитировать самого Пташека: «Зачем нам покупать за $384000 руткит, который мы точно сможем обнаружить?» Поединок не состоялся.

Жанна — завсегдатай всевозможных конференций, брифингов, съездов и форумов, посвященных информационной безопасности. А после того, как в 2006 журнал eWeek включил ее в пятерку хакеров, оставивших след в истории уходящего года, Рутковскую можно назвать еще и настоящей

Роутерипосовмести- тельствуADSL-модем.

НемногооFreeBSD

Чтобыначатьразговор,нужнопарусловсказатьосамойFreeBSD.Проект возниквначале1993годанаосновекодаоднойизсистем,разработанныхвнедрахКалифорнийскогоУниверситетаБеркли(BerkeleySoftware Distribution,отсюдаиприставкаBSD).Цельпроекта—предоставлениепро-

граммногообеспечения,котороеможетбытьиспользованодлялюбыхцелей

ибездополнительныхограничений.ЭтогарантируетсяприменяемойBSD лицензией,насчитывающейвсеготрипунктаиразрешающейиспользование исходногокодасистемыбезегообязательнойпубликации(каквGNUGPL). Несмотрянаизначальноеориентированиенаработувкоманднойстроке, FreeBSDявляетсясамойсовременнойОС,поддерживающеймногопроцессорныеимногоядерныесистемы,сетевоеоборудование,мультимедиа устройстваипрочее.Ихотяэтаоперационкабольшепопулярнанасерверах, онатакжекомфортночувствуетсебянаноутбукахирабочихстанциях. Помимопрограмм,включенныхвбазовуюпоставку,доступнаколлекцияпортов

ипрекомпилированныхпакетов,предоставляющаяпростойметодустановки приложений.Нестоитзабыватьиобинарнойсовместимости,благодарякоторой FreeBSDумеетработатьсприложениями,написаннымидляLinux.

СуществуетдвеветвиFreeBSD—CURRENTиSTABLE.Перваяотноситсяк нестабильнойитестовой.Внейобкатываетсяновыйэкспериментальныйкод, поэтомупредназначенаона,скорее,дляэнтузиастовиопытныхпользователей.ПослетестированияфичипопадаютвпроизводственнуюветкуSTABLE,

086

которая,какнистранно,тожесчитаетсяветкойдляразработчиков.Рабочие серверырекомендуетсяпереводитьнаSTABLEтолькопослепроверки работоспособностисистемы.НаосновеSTABLEпериодическипоявляются тщательнопротестированныерелизы(RELEASE).

Итак,сегодняунаснарукахрелиз7.0,аседьмаяветкаизCURRENTперешла вSTABLE.

Повышениепроизводительности

Ванонсе,появившемсяпослевыходаFreeBSD7.0,отмечалисьповышенные производительностьистабильностьсистемывцелом(особенноэтокасается многопроцессорныхсистем).Вкачестведоказательствабылпредставлен рядтестов(people.freebsd.org/~kris/scaling).Последняяфряхапоказывалав 3.5разабольшуюпроизводительностьпосравнениюсFreeBSD6.xина~15% выше,чемLinuxсразличнымиядрамиветки2.6.

Засчетчегообеспечиваетсятакойприрост?

Историческисложилось,чтоFreeBSDбылазаточенапододнопроцессорные системыинеоченьдружиласнесколькимипроцами.Работатьснимиона моглаещестретьейверсии,новотиспользуемыйалгоритм«giantlock»был далекотоптимального.Хотяпользовательскийкодимогвыполнятьсянанесколькихпроцессорах,ядро,«охраняемое»mplock,вединицувремениобра- батывалотолькоодинпроцесс—исключениесоставлялиразвечтонекоторые прерывания.Учитываявозрастающуюпопулярностьмногопроцессорных,а

xàêåð 05 /113/ 08

затемимногоядерныхсистем,такдолгопродолжатьсянемогло.

В2000годубылсозданпроектSMPng(SMPnextgeneration),на которыйибылавозложеназадачаизменениядизайнаядра такимобразом,чтобыпрограммымогливыполнятьсяпараллельно.ДебютновоймоделисостоялсявверсииFreeBSD5.0, гдеmplockбылзамененцелымнаборомлокальныхблокировок различныхсервисовядра,аобработкапрерыванийвынесена

вотдельныйпроцесс.Интересно,чтоводнопроцессорных системахтакаясхемапроигрывалавпроизводительности.С версииFreeBSD5.3началасьадаптациякпараллельнойработе некоторыхсистемныхфункций,вчастностисетевогостекаи виртуальнойпамяти,котораябылапродолженавшестойверсии системы(например,VFSиUFSужедопускалипараллельный доступ).Впрочем,giantlockприсутствовалпрактическидовыхода7.0(например,сетевойNET_NEEDS_GIANTубранлетом2007). ТеперьжеFreeBSDявляетсяоперационкой,полностьюподдер­ живающейпараллельноевыполнениезадач.Отмечается,что припоследовательномувеличениипроцессоровдовосьми, общаяпроизводительностьсистемырастетлинейно.

НовыйпланировщикULEвтретьейредакциибылпереписани оптимизировандляработынамультипроцессорныхсистемах. Алгоритм,использующийбалансировкудеревьев,достаточно сложен,ипривыбореCPUучитываетбольшоеколичествопараметров,например,накакомизпроцессоровзадачавыполнялась

впредыдущийраз.Низкоприоритетнаязадача,запущеннаяна одномизCPU,вытесняетсявысокоприоритетной.Правда,вверсии7.0поумолчаниюиспользуетсядревний4BSDsheduler:

% grep SCHED /usr/src/sys/conf/NOTES

Поэтому,чтобыувидетьвработеновыйпланировщик,ядропридетсяпересобрать.НоULEужеофициальнорекомендуютдля повышенияпроизводительностисистемы.Обещают,чтос7.1 онбудетиспользоватьсяподефолту.Кстати,обративнимание наназваниепараметра—SCHED_ULE.ТретийULEявляется форкоморигинальногоULE2.0ираньшеназывался—SCHED_ SMP(наверное,поэтомуименнотаконуказываетсявомногих новостныхлентахиобзорах).

Библиотекаphkmalloc,отвечающаязауправлениединамическойпамятьюиразработаннаяещевсередине90 хПоуломКам-

пом,замененаejmalloc(people.freebsd.org/~jasone/jemalloc),

котораянаписанасучетомработынаSMP-системах.

Файловыесистемы

FreeBSDполучилаподдержкуфайловойсистемыZFS(Zettabyte FileSystem),котораяпервоначальноразрабатываласьSun MicrosystemsдляSolaris.Особенностью128 битнойZFSявляет-

сявозможностьработысфайламииразделамиоченьбольшого размера.Внейобъединенаконцепцияфайловойсистемыи менеджералогическихдисков(какLVM).Ееотличаютвысокое быстродействие,простоеуправлениеобъемамихраненияданных,отсутствиефрагментации,переменныйразмерблокаимеханизмы,обеспечивающиецелостностьданных.Нопокатакая поддержкаотмеченакакэкспериментальнаяиимеетрядограничений.Например,FreeBSDнеможетзагружатьсясZFS,также неподдерживаетсяACLинекоторыедругиехарактеристики ZFS.Ктомуже,онапокадоступнатолькодляплатформamd64, i386иpc98.Ноглавное—файловыесистемыUDFтеперьможно строитьпрямонаZFS!ПоумолчаниюмодульZFSотключени советуюпередначаломработыпочитатьZFSQuickStartGuide

(wiki.freebsd.org/ZFSQuickStartGuide).

Назовуещеодиннемаловажныйнюанс.Обычнокаталог/boot монтируетсяврежиметолькодлячтения(вsinglemode),но утилитамZFSнеобходимавозможностьзаписив /boot/zfs,

xàêåð 05 /113/ 08