Joanna Rutkowska, die Autorin von Blue Pill, einer Software die ein laufendes Betriebssystem unbemerkt in eine virtuelle Umgebung verschiebt, hat den Source Code von Blue Pill auf der Webseite BluePillProject veröffentlicht. Damit kann der Streit in die nächste Runde gehen.
Joanna behauptet, mit einer solchen Virtualisierung lässt sich komplett unentdeckbarer Schadcode entwickeln, der vom Betriebssystem innerhalb der virtuellen Umgebung nicht mehr erkennbar ist. Der Hypervisor kann das innen laufende System kontrollieren, alle Tastatureingaben überwachen, den Netzwerkverkehr filtern und das ohne Gefahr der Entdeckung. Virenscanner scannen ja nur das eigene System und prüfen bisher nicht, ob ein Hypervisor vorhanden ist.
Thomas Ptacek von Matasano ist gänzlich anderer Meinung und beschreibt welche Ansätze Virtualisierung zu erkennen möglich sind und was davon in seinem Black Hat Vortrag bereits erzählt wurde.
Ich persönlich neige dazu, Thomas rechtzugeben.
Kommentare gesperrt wegen Spam
Comment by Christian — 17. November 2007 @ 16:55