Os pesquisadores de segurança Peter Ferrie (Symantec), Nate Lawson (Root Labs), Dino Dai Zovi e Thomas Ptacek (Matasano Security) estão desafiando a programadora Joanna Rutkowska que, desde o ano passado, divulga seu rootkit “Blue Pill” (Pílula Azul) como sendo indetectável. O grupo propôs um desafio, que ocorreria na conferência Black Hat, mas Rutkowska impôs condições.
Rutkowska quer 5 laptops para que as chances do programa de detecção do rootkit “adivinhar” se a máquina está infectada ou não sejam reduzidas a 3%. Ela também exigiu que o programa de detecção não trave o computador de teste nem use mais de 90% da CPU por mais de um segundo e que, depois do teste, o código-fonte das ferramentas de detecção seja divulgado publicamente.
Mas a exigência mais complicada feita pela programadora foi a quantia de 384 mil dólares para pagar uma equipe de duas pessoas para desenvolver o “Blue Pill” completamente (6 meses a 200 dólares/horas por pessoa). De acordo com ela, o estado atual do Blue Pill ainda é de protótipo e ele não está pronto para entrar em uma competição.
O Blue Pill é um rootkit que funciona de forma diferente da maioria dos rootkits usados por programadores de vírus atualmente. Ele funciona em uma camada de “hypervisor” onde ele virtualiza todo o hardware usando um recurso especial dos processadores AMD conhecido como SVM (Secure Virtual Machine). O código malicioso ficaria acima do sistema operacional, o que, de acordo com Rutkowska, tornaria este tipo de malware indectável.
Lawson revela que o detector levou um mês para desenvolver e analisa que, se o rootkit de Rutkowska levaria 12 meses (duas pessoas trabalhando seis meses), há uma clara vantagem na detecção. Ele acha que rootkits que funcionam na camada onde o Blue Pill opera são muito complicados de se desenvolver, e isto abre portas para meios de detecção.
Rutkowska alega que o dinheiro necessário para pagar os custos de desenvolvimento do Blue Pill poderia ser facilmente obtido, considerando-se que virtualização é hoje um grande negócio e haveria muitas empresas interessadas em provar que não existem grandes riscos de segurança associados com a tecnologia.
O desafio inicial proposto pelo grupo seria com apenas 2 laptops. Rutkowska teria que infectar um deles com o Blue Pill. Se o detector de rootkit desenvolvido pelo grupo não funcionasse, ela poderia ficar com o laptop. O grupo aceitou todas as exigências adicionais feitas por ela, com exceção do dinheiro. “Por que nós pagaríamos 384 mil para comprar um rootkit que nós já sabemos que podemos detectar?”, escreveu Ptacek no blog da Matasano.
O grupo vai revelar e explicar suas descobertas e código gratuitamente na conferência Black Hat, mesmo que Rutkowska não participe do desafio.
Linha Defensiva 