O Blue Pill (Pílula Azul), rootkit considerado “indetectável” pela sua criadora, Joanna Rutkowska, teve seu código fonte disponibilizado na web no site Blue Pill Project, que foi anunciado nesta quinta-feira (02/08) por Rutkowska na conferência Black Hat, em Las Vegas.

Para se esconder do sistema operacional, o Blue Pill tenta “virtualizar” o sistema operacional usando tecnologias recentemente introduzidas em processadores. Estas tecnologias são criadas para facilitar a virtualização de aplicativos e sistemas operacionais — procedimento cada vez mais comum em empresas para facilitar o gerenciamento de servidores. O Blue Pill poderia ser usado para, por exemplo, esconder ferramentas de um indivíduo que conseguiu invadir o sistema.

O rootkit foi desafiado por um grupo de pesquisadores de segurança da Matasano, Root Labs e Symantec, que afirma que o mesmo pode ser detectado, ao contrário do que afirma sua criadora. O desafio, que deveria ter acontecido na Black Hat, não ocorreu devido a “condições” impostas por Rutkowska. De acordo com reportagem do ZDNet Zero Day, o grupo afirmou durante a conferência que planeja lançar uma plataforma de detecção de rootkits virtualizados chamada de Samara.

Nate Lawson, um dos pesquisadores do grupo, reconhece que, como em outras áreas, trata-se um de jogo de gato e rato, com atacantes e criminosos constantemente tentando burlar as defesas existentes, enquanto programadores de softwares de segurança fecham as novas entradas que são encontradas.

Rutkowska acredita que o Blue Pill pode ser melhorado e que, com estas melhorias, o rootkit seja capaz de enganar qualquer software de detecção de rootkit. Em seu estado atual, no entanto, o rootkit tem problemas que tornam sua presença facilmente verificável: o Virtual PC 2007, por exemplo, trava completamente em qualquer computador que esteja com o blue pill em execução.

Veja também

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

1 comentário

  1. Adivinha Quem 21/12/2011 às 16:03

    Eu acompanho esse rootkit desde sua criação, e realmente ele era indetectável. Mas depois de “eles” conseguirem o código fonte se passando por supostos “ajudantes” a melhorá-lo, estão dizendo que é detectável, para desbancar a Minha Deusa.

    Eles nem si quer sabiam que o rootkit fazia virtualização dos s.o., assim como até hoje só os russos quebraram wpa2 “usando” a placa de vídeo…

    Eu estive até ajudando em um s.o. que partiu da ideia desse root… Advinha de quem foi a ideia? Ela mesmo! Minha Deusa!

    …é por isso que eu “c*go” para o meu CEH…
    …é por isso que eu me lixo para essas pesquisas…

    **digo… que fui um dos primeiros a ter esse rootkit “em mãos” aqui na america latina e afirmo: PURA BESTEIRA DESSES “PESQUISADORES” de empresas de anti-vírus !!!

    ***Vai ver daonde o MOSSAD e o CYBER COMMANDO tiraram a ideia do STUXNET e do DUQU… “DUQÚ” que não foi (rssss) …bem… pelo menos serviu para atrasar os terroristas iranianos….. e vender packs de “segurança” tb. kkkkkkkkkkkkkkk (eu não presto.)

    Curtir

    Responder

Deixe uma resposta para Adivinha Quem Cancelar resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.