O Blue Pill (Pílula Azul), rootkit considerado “indetectável” pela sua criadora, Joanna Rutkowska, teve seu código fonte disponibilizado na web no site Blue Pill Project, que foi anunciado nesta quinta-feira (02/08) por Rutkowska na conferência Black Hat, em Las Vegas.

Para se esconder do sistema operacional, o Blue Pill tenta “virtualizar” o sistema operacional usando tecnologias recentemente introduzidas em processadores. Estas tecnologias são criadas para facilitar a virtualização de aplicativos e sistemas operacionais — procedimento cada vez mais comum em empresas para facilitar o gerenciamento de servidores. O Blue Pill poderia ser usado para, por exemplo, esconder ferramentas de um indivíduo que conseguiu invadir o sistema.

O rootkit foi desafiado por um grupo de pesquisadores de segurança da Matasano, Root Labs e Symantec, que afirma que o mesmo pode ser detectado, ao contrário do que afirma sua criadora. O desafio, que deveria ter acontecido na Black Hat, não ocorreu devido a “condições” impostas por Rutkowska. De acordo com reportagem do ZDNet Zero Day, o grupo afirmou durante a conferência que planeja lançar uma plataforma de detecção de rootkits virtualizados chamada de Samara.

Nate Lawson, um dos pesquisadores do grupo, reconhece que, como em outras áreas, trata-se um de jogo de gato e rato, com atacantes e criminosos constantemente tentando burlar as defesas existentes, enquanto programadores de softwares de segurança fecham as novas entradas que são encontradas.

Rutkowska acredita que o Blue Pill pode ser melhorado e que, com estas melhorias, o rootkit seja capaz de enganar qualquer software de detecção de rootkit. Em seu estado atual, no entanto, o rootkit tem problemas que tornam sua presença facilmente verificável: o Virtual PC 2007, por exemplo, trava completamente em qualquer computador que esteja com o blue pill em execução.

Veja também

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

1 comentário

  1. Adivinha Quem 21/12/2011 às 16:03

    Eu acompanho esse rootkit desde sua criação, e realmente ele era indetectável. Mas depois de “eles” conseguirem o código fonte se passando por supostos “ajudantes” a melhorá-lo, estão dizendo que é detectável, para desbancar a Minha Deusa.

    Eles nem si quer sabiam que o rootkit fazia virtualização dos s.o., assim como até hoje só os russos quebraram wpa2 “usando” a placa de vídeo…

    Eu estive até ajudando em um s.o. que partiu da ideia desse root… Advinha de quem foi a ideia? Ela mesmo! Minha Deusa!

    …é por isso que eu “c*go” para o meu CEH…
    …é por isso que eu me lixo para essas pesquisas…

    **digo… que fui um dos primeiros a ter esse rootkit “em mãos” aqui na america latina e afirmo: PURA BESTEIRA DESSES “PESQUISADORES” de empresas de anti-vírus !!!

    ***Vai ver daonde o MOSSAD e o CYBER COMMANDO tiraram a ideia do STUXNET e do DUQU… “DUQÚ” que não foi (rssss) …bem… pelo menos serviu para atrasar os terroristas iranianos….. e vender packs de “segurança” tb. kkkkkkkkkkkkkkk (eu não presto.)

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.