Самая знаменитая, наверное, акция JREF – это давно объявленный приз в 1 миллион долларов любому, кто убедительно продемонстрирует свои сверхъестественные способности в условиях надежно контролируемого эксперимента. Последние годы условия эксперимента предполагают, что на базе JREF в штате Флорида в крепком и надежно запечатанном ящике-сейфе лично Джеймсом Рэнди спрятан некий предмет. И всякий человек, который с помощью своих необычных способностей сумеет дистанционно «увидеть» и правильно описать скрытую в ящике вещь, получит немалую сумму в качестве приза… Несмотря на явно привлекательные условия конкурса, на него продуктивно не откликнулся почему-то ни один из живущих на планете экстрасенсов. Но что самое поразительное, в начале нынешнего года нашелся-таки человек, совершенно правильно угадавший эту спрятанную вещь. Человеком таким оказался Мэтт Блэйз, никогда ранее не замечавший в себе экстрасенсорных способностей. Да и после чистой победы в необычном конкурсе ничем особенным от остальных людей не отличающийся, кроме, разве что, очевидных криптоаналитических талантов.
Дело было так. В конце прошлого года, дабы оживить интерес к конкурсу, Дж. Рэнди опубликовал на сайте Фонда уточняющую информацию о спрятанной вещи. Это должно было дополнительно подтвердить честность затеи, поскольку информация в зашифрованном виде описывала предмет, гарантируя для потенциальных участников возможность проверки и одновременно отводя от организаторов подозрения в жульничестве с быстрой подменой предмета (если кто-то вдруг его правильно угадает). Зашифрованное описание выглядело как четыре коротких строчки символов:
0679 4388 66/27 5 -14
Именно на этом этапе к конкурсу и подключился Мэтт Блэйз, углядев здесь занятную криптоаналитическую задачку. Поломав некоторое время голову над цифрами (или, как он глумливо прокомментировал в своем блоге, "если угодно, обретя божественное вдохновение"), Блэйз предположил, что первые десять цифр (отделенные слэшем) могут означать ISBN, то есть стандартный международный номер книги. Проверка показала, что действительно есть такой номер – 0-679-43886-6, а имеет его учебный словарь Уэбстера, выпущенный издательством Random House в 1995 году. Поиски данной книги в библиотеке в итоге увенчались успехом, хотя это и оказалось самой трудной частью решения. Ну а логика книжного ключа сама подсказала дальнейший путь к отгадке. Следующие три цифры после разделителя-слэша (275) были предположительным номером страницы, а две последние (14) – номером строки. Эти координаты вывели аналитика на словарную статью, дающую определение термину "компакт-диск"…
Джеймс Рэнди подтвердил, что найденный Блэйзом ответ – "в запечатанном ящике спрятан компакт-диск" – абсолютно верен. С формальной точки зрения теперь криптограф вполне мог потребовать честно заработанный миллион, коль скоро ответ был найден дистанционно и исключительно напряжением ментальных способностей «экстрасенса». Однако Блэйз благородно решил не заниматься стяжательством и из уважения к подвижнической работе Фонда не только не стал требовать свой приз, но и с юмором честно описал, как именно работал его "дар ясновидения".
Что, с одной стороны, поспособствовало разоблачению одного из очередных «чудес», а с другой – наглядно продемонстрировало мощь аналитических методов мышления.
ГОЛУБЯТНЯ: Сухое «Сциллохарибдянское»: опохмел
Автор: Сергей Голубицкий
Сегодня завязываем с дегустацией мультимедийных железяк, пожертвованных мне на длительное терзание дистрибьютором DCM Russia. Тем более что винодельческая тема больше не соответствует географии: месяц как покинул испепеленную солнцем Молдавию и перебрался на не менее испепеленный – а вдобавок еще и пыльный – брег Понта Евксинского, где, как известно, тонкостям вина предпочитают пиво с горилкой.
Ах, ридна Незалежность, ничего-то в тебе не меняется… Как и прежде, на цифровом термометре в центре Одессы полыхают 42 градуса (в шесть часов вечера!); как и прежде, повсеместно и самозабвенно жгут свалки, отравляя морской воздух диоксинами (вот уж точно – фирменный национальный продукт!); как и прежде, расслабленно доброжелательное население хохмит, балансируя на грани шанхайской тети Хаи с ее пасхальными китайцами…
Недетский символизм местных нравов на редкость рельефно воплощен в фотографии, сделанной под Ильичевском (фото внизу):
• телескопические спиннинги на задней полке «гранд-туризма», намекающие на одномоментный зарул к морю и потяг бычков, тонко передают modus vivendi [Образ жизни (лат.)] южных областей Незалежности;
• летящая в окно обертка мороженого претендует на метафору modus agendi [Образ действия (лат.)], удачно оттеняя безбашенно-кучерявые отношения с экологией;
• наконец, modus cogitandi [Образ мышления (лат.)] идеально воплощен в наклейке с кроликами in coitu [В половом акте (лат.)]. Последних, как назло, заприметил Серега-младший: "Папа, папа! Что это за зайчики? Что они делают? Зачем они на стекле?" Потребовалось нечеловеческое напряжение шишки Макаренко, чтобы снести семантическое яичко, адаптированное к восьмилетнему возрасту: "Эта наклейка, сынок, означает, что водитель машины разводит на ферме кроликов. Помнишь, мы с тобой видели на стекле наклейку с красным крестом? Так вот: в той машине ехал врач, а в этой – фермер!"
Свет моих очей, увы, не унимался: "Ну и зачем окружающим людям знать, что он фермер? Нам с того какая польза?" Слава богу, для безупречной детской логики (папа таки вегетарианец с 25-летним стажем!) нашлось убедительное противоядие: "Сынок, это просто реклама!" Дело в том, что концепт рекламы в нашей семье – это высшая степень мирового падения и последняя инстанция абсурда. Реклама не поддается объяснению, а главное, такового не требует.
Несмотря на печальную энтропию провинциального быта Незалежности, «Боржоми» пить очевидно рано (вопреки повсеместной продаже этого табуированного россиянским берущим сословием напитка на Украине, равно как и в Молдове). Тем более что энтропия эта всего лишь отражает инертность человеческого духа, нигде в мире не поспевающего за социальными переменами. Сермяга в ином. Я неоднократно обращал внимание читателей на вектор социального и экономического развития Украины, полярно противоположный вектору Россиянии. Речь идет о принципиальной и повсеместной ставке на "маленького человечка". Если хотите, того самого фермера с кроликами in coitu.
Маленький человечек со своим маленьким и средненьким бизнесом сегодня полностью формирует собирательный образ Незалежности. Не татаро-монгольская плутократия, не азиатское байство государственных чаеболов, отданных для прикрытия в управление попкам-олигархам и лишенных, в отличие от корейских аналогов, малейшей заботы о собственном народе, а неудержимый расцвет частной инициативы маленьких людей, ежечасно воплощаемой в десятки аптек, кофеен, баров, ресторанов, часовых мастерских, магазинчиков, стоматологических кабинетов, пунктов проката мотороллеров, точек ремонта бытовой аппаратуры – всего того, что бандиты в Россиянии истребили сначала сами по себе, а затем – в спайке с государством.
Именно этот отличный от Россиянии вектор и определяет мои регулярные анабасисы в Незалежность, заставляет прощать ей политический маразм (слава богу, на повседневном уровне никто киевского бреда не замечает), вместе с "тетями Хаями", невыносимыми для уха, и диоксинами, невыносимыми для здоровья. Тем более что от лета к лету плоды незалежного вектора оказываются все сочнее и сочнее. Так, сегодня уровень сервиса и комфорта в местах моего отдыха приближается к представлениям об идеале.
Дабы не быть голословным, предлагаю читателям навскидку характерную зарисовку. Ситуация: спалил до мерзкой хрипоты автомобильную колонку в передней левой двери. На первый взгляд пустячок, по сути же – тяжкий швах. Дело в том, что на ровном месте колонки не вылетают. В девяти случаях из десяти виноваты высохшие конденсаторы старого усилителя, которые допускают перегрузку по одному из каналов. В подобной ситуации менять только колонки чревато: не ровен час, спалишь новые.
На поверку оказалось – аккурат мой случай: вместе с акустикой Cerwin-Vega (поверить не могу, что планку самооценки четыре года назад опустил столь низко, что поднялась рука на покупку столь гомерической пафни!) скончался и четырехканальный дедушка Pioneer. Единственное утешение – все сроки приличия давно уже вышли: как известно, усилитель автозвука, подобно аккумуляторной батарее, больше двух лет полноценно не функционирует.
Вечер посвятил изучению в Интернете современного состояния рынка (давненько, однако, ничего у меня в музыке не ломалось!) и остановился на оптимальном, как показалось, варианте по соотношению цены и качества: двухкомпонентной акустике Hertz HSK130 и усилителе Calcell P 1004 (о том и другом непременно расскажу в одной из ближайших "Голубятен").
Отправляюсь на авторынок и в первом же ларьке (вот они – кролики in coitu!) нахожу не только выбранные модели, но и едва ли не полный каталог всего, что просматривал в Интернете: линейки DLS, Hertz, Morel, Infinity, Phoenix, Calcell, Hifonics, SPL и Rockford Fosgate (перечисляю лишь то, что входило в изначально определенную для себя ценовую категорию, для серьезно же богатеньких были в наличии и Boston Acoustics, и Alpine Electronics).
"Где установить? Я вас умоляю!" – продавец протягивает пачку визитных карточек (шестнадцать штук!). Обзваниваю первую пятерку частных мастеров – неудачно: умельцы заняты под завязку, ближайшее окошко – через три дня. Зато первый же салон (уже не малый, а средний бизнес!) откликается на гешефт с энтузиазмом: приезжайте – обслужим по первому разряду!
Ехать оказалось четыре минуты. На внутренней парковке автосервиса екнуло сердце: живым мне отсюда не выбраться! На приколе в ожидании тюнинга (компания специализировалась на автомузыке) вальяжно томились Porsche Cayenne Turbo и два AMG SL55. Немного успокоился, заприметив на задворках скромнягу «Мустанга» махровых 70-х годов (как потом оказалось, начинка реликтового и эксклюзивно напичканного зверя почти в полтора раза превышала по стоимости серийный "Порше").
Конечно же, я утрирую для украшения сюжета, и никакое сердце у меня никуда не екало, потому как цену вопроса заранее оговорил по телефону. Поразила, однако, не доступность услуг для кроликов in coitu (= "маленького человека" – похоже, в нашем культур-повидле объявился новый кённинг!) в одном из лучших специализированных тюнинговых салонов города, а объем выполненных работ. Двое мастеров провозились с моими колонками и усилителем пять с половиной часов: многочисленные замеры, изготовление новых подиумов для колонок (трехсантиметровая фанера вместо штатного пластика, убивающего на корню волновые колебания звука), поиск посадочных мест для твитеров (в дверях не нашли, остановились на торпеде), ковыряние в совершенно незнакомой электропроводке, монтаж усилителя. Цена вопроса – 250 гривен (50 долларов!). Без комментариев.
Ёксель-моксель, совсем забыл, что "Голубятня"-то у нас про Archos 404! Быстрехонько наверстываем упущенное.
Archos 404 отличается от своего старшего собрата Archos 604 пятью чертами: общими размерами, пропорцией экрана (4:3 вместо 16:9), отсутствием сенсорной подложки и WiFi и наличием встроенной фото/видеокамеры. В остальном гаджеты практически идентичны: 30-гигабайтный жесткий диск, поддержка True Color (16 млн. цветов), просмотр видео и фотографий, проигрывание музыки, запись звука и видео. Так же как и 604-й (и не так, как Creative Zen Vision W), 404-й умеет подключаться к компьютеру по-человечески, то есть обычным внешним USB-диском, а не устройством Windows Media. Так же радует глаз богатое иконографическое меню (опять же преимущество в сравнении с текстовым анахронизмом Creative Zen Vision W). Так же искренне печалит отсутствие FM-радио.
Впрочем, все эти малоосмысленные ТТХ и спецификации читатель без труда найдет в каталогах любого интернет-магазина, мне же хотелось остановиться на информации дефицитной – реальной practicability устройства, реальном качестве экрана и реальной поддержке видеоформатов.
Начну с конца. Поддержка видеокодеков у младшего Archos в состоянии out-of-the-box неизмеримо выше, чем у Creative Zen Vision W. В прошлой «Голубятне» я написал, что джукбокс Creative поддерживает три-четыре фильма из десяти без конвертации. На третьем месяце тестирования могу смело констатировать – погорячился. Creative не поддерживает даже двух фильмов из десяти, поэтому практически все кино приходится предварительно конвертировать, как это делается для Sony PSP, – обстоятельство, меня лично раздражающее сверх меры.
Итак, поддержка видео у джукбоксов изначально лучше, а вкупе с опциональными плагинами Archos, обеспечивающими проигрывание не только кодека H.264, но и VOB-формата MPEG2 (то есть обычные DVD), смотрится вообще шикарно. Сразу же, однако, добавляю пудовую ложку дегтя: программные видеоплагины Archos не раздает, а самым постыдным и непристойным образом продает, причем по 20 евриков за штуку – дикость несусветная!
Теперь – качество экрана. Оно на голову выше, чем у старшего брата Archos 604 WiFi (ярче, контрастнее и четче по объективной причине меньшего физического размера и отсутствия сенсорной пленки), и по-прежнему хуже, чем у Creative Zen Vision W.
Впрочем, главное достоинство Archos 404 – в practicability его форм-фактора. 404-й – единственный по-настоящему портативный джукбокс. Ни Zen, ни 604-й в карман не засунешь – ни рубашки, ни брюк, ни пиджака. Зато 404-й – в самый раз! Кроме того, гаджет целиком умещается в ладони при пользовании, что создает дополнительное и непередаваемое удовольствие от камерности ситуации. 404-й весь такой маципуленький, миньятюрненький – точь-в-точь как нравится Козловскому! При этом качество сборки металлического корпуса просто зашкаливает представления о технологичном устройстве категории high class.
Добавьте сюда фантастически привлекательную цену (290 долларов), и вы получите серьезнейшего кандидата на внеплановый подарок себе любимому.
ОКНО ДИАЛОГА: Железная леди
Автор: Родион Насакин
Конгресс и выставку корпоративных ИТ – Interop Moscow 2007, второй раз проходившую в России, посетила целая плеяда весьма известных в компьютерной (в том числе андеграундной) тусовке личностей. В частности, для доклада и участия в конференции на тему информационной безопасности в Россию прибыли Джоанна Рутковска и ее коллега Александр Терешкин. Вместе они не так давно создали компанию Invisible Things Lab, занимающуюся консультированием по вопросам ИТ-безопасности.
Популярность Джоанны резко выросла после того, как eWeek Magazine в прошлом году отметил ее в числе "великолепной пятерки" самых заметных хакеров. Таким образом, журналисты оценили выступление на прошлогодней конференции Black Hat, где она продемонстрировала два метода взлома второй беты Windows Vista.
Первый из них заключается в использовании руткита Blue Pill. Название – "синяя пилюля" было навеяно фильмом «Матрица». Действие руткита Джоанна сравнивала с невидимым мировым контролем глобальной информационной системы, подсовывающей пользователям виртуальную иллюзию действительности. Blue Pill действительно работает через виртуальную машину AMD Pacifica и способна использовать обращения системы к этой машине для незаметного перехвата управления ОС гипервизором. Подробнее об этом докладе уже писал Бёрд Киви (КТ № 1-2 от 18 января 2007).
Выбор технологии виртуализации вызвал несколько обвинений в адрес эксперта по поводу финансирования ее исследований конкурентами компании. Однако Джоанна отмела эти домыслы, заявив, что Blue Pill без особых сложностей может быть «портирован» и под аналогичную технологию процессорной виртуализации Intel Vanderpool. Второй метод заключается в обходе системы проверки целостности с тем же результатом.
После этого выступления Рутковска неоднократно делала заявления об обнаружении новых уязвимостей в Windows Vista и выступала с критикой в адрес Microsoft, утверждая, что слова представителей корпорации о высочайшей защищенности ОС не соответствуют истине. Другой излюбленной темой докладов Рутковской является несовершенство современной архитектуры ПК, из-за которой даже аппаратные средства защиты не способны обеспечить настоящую безопасность.
Сейчас Джоанна – непременный участник всех крупных мировых конференций и круглых столов, посвященных информационной безопасности, и, видимо, уже звезда. По крайней мере, после окончания круглого стола на Interop, ее окружила толпа поклонников (видимо, начинающих хакеров), выпрашивающих автограф, и добиться беседы с ней оказалось не самым простым делом. На некоторые вопросы также ответил Александр Терешкин.
Женщина-хакер – это необычно. Почему вы выбрали для себя это занятие?
– Не считаю себя хакером, скорее исследователем в сфере безопасности. Почему выбрала эту карьеру? Потому что меня интересовала информатика, «начинка» ОС и еще я люблю челленджи.
Вы знаете многих женщин-хакеров?
– Нет, их очень мало. Думаю, меньше пяти, к сожалению. Интересно, что все они американки.
Существуют ли элементы некоего «женского стиля» в технике работы?
– Никакого специфического подхода к решению компьютерных задач, в зависимости от того женщина вы или мужчина, нет. Пол действительно не имеет значения.
Какие элементы или службы в современных ОС наиболее уязвимы? В какие «дыры» наиболее просто «пролезть» злоумышленнику?
– Самая чувствительная составляющая любой ОС – это ядро. Я провела большую исследовательскую работу в последние несколько лет, для того чтобы показать, что на сегодняшний день ядро современной ОС чрезвычайно уязвимо. Таким образом, мне кажется, что главные усилия, прежде всего в академической сфере, следует приложить для создания эффективной системы, основанной на микроядерной архитектуре. То есть само ядро можно сделать очень маленьким, и тем самым свести к минимуму количество потенциальных багов. Вообще, на вопрос, какие «дыры» наиболее легки для проникновения, невозможно дать хороший ответ.
Вы неоднократно говорили, что эффективная защита в современных условиях невозможна. Что же сделать обычному пользователю для обеспечения своей безопасности?
– Сегодня – только молиться, что он не будет жертвой умно поставленной атаки.
64-битная версия Windows безопаснее, чем Windows x86?
– Я так не думаю. Самые современные 32-битные процессоры поддерживают NX-бит (non-executable bit, реализует запрет на выполнение), благодаря чему становится возможным использовать DEP – одну из Windows-технологий защиты от экплойтов столь же эффективно, как и на 64-битных процессорах.
Что же касается Vista x64, то эта версия ОС содержит два дополнительных средства безопасности, а именно, проверка на наличие электронной подписи у всех драйверов, работающих с ядром, а также т. н. технологию Patch Guard [Другое название – Kernel Patch Protection, функция безопасности в ОС, отвечающая за мониторинг ядра и обнаружения перехвата и попыток модификации кода ядра. Технология призвана защитить ядро, как от вредоносного, так и от вполне нейтрального кода, который может оказать негативное влияние на работу ОС]. Однако обе эти технологии относительно легко обойти (например, новые методы загрузки неподписанного кода в ядро мы будем обсуждать в конце июля в Лас-Вегасе), и я не считаю, что их можно расценивать в качестве дополнительного уровня безопасности.
Руткиты в моде
В Panda Labs бьют тревогу. В Интернете резко увеличивается количество вредоносных кодов, использующих технологии сокрытия следов своей деятельности (файлы, запущенные процессы и модификации системного реестра) от защитного ПО. По данным антивирусной компании руткиты становятся все более популярными у создателей spyware и троянов, рассчитанных на кражу банковских реквизитов. Между тем адекватной ответной активности от софтверных компаний и разработчиков антивирусов пока не последовало. Системы безопасности, которые могли бы выявлять по косвенным признакам и поведению кода скрытые угрозы, пока не очень распространены.
В прошлом году количество обнаруженных руткитов выросло на 62 %, а по итогам 2007 года, если верить прогнозам, нас ждет, как минимум, 40-процентный рост. Рейтинг наиболее опасных угроз на момент составления отчета возглавляли руткиты Nurech.A/B, Bagle.HX и Abwiz.A.
Расколотое Ядро
Придуманный Джоанной метод внедрения кода в ядро Windows Vista в обход стандартных защитных процедур ОС стал возможным из-за того, что система допускает прямой доступ пользователя с правами администратора к содержимому винчестера из приложений. Достаточно просто Джоанна спровоцировала переход составляющих ядра из оперативной памяти в файл подкачки – это обычная системная операция. Затем она открыла этот файл, и в разделе драйверов, заменила одну из стандартных процедур на руткит, который затем был запущен в оперативную память.
На вашем семинаре Understanding Stealth Malware речь идет об инструментах, позволяющих обходить защиту ядра Windows Vista x64, Можно об этом подробнее?
– Да, мы представили новые пути внедрения неподписанного кода в ядро Vista x64. Наша цель была – продемонстрировать, что архитектура семейства Windows, включая Vista, крайне неудачна, и в Microsoft должны кардинально ее изменить для лучшей защиты ОС. Мы хотим продемонстрировать, что нынешних средств, используемых в Windows, таких как TPM/Bitlocker [Система защиты BitLocker с помощью микросхемы TPM (Trusted Platform Module), расположенной на материнской плате, шифрует весь жесткий диск и гарантирует безопасность даже в момент загрузки системы. В Microsoft позиционируют эту функцию, как наиболее эффективное средство для сохранения конфиденциальности данных корпоративных пользователей и рекомендуют использование TPM/BitLocker в рабочих ноутбуках ответственных лиц компаний. Вместо TPM можно использовать USB-ключ или парольную защиту] или подписывание драйверов, недостаточно для защиты ядра, в то время как Microsoft говорит обратное. Это, кстати, относится и к Linux, которая имеет очень схожую с Windows архитектуру.
А.Т.: – Даже если предположить, что атакующему неизвестны способы внедрения неподписанного кода в ядро Vista, у него всегда остается возможность воспользоваться официальным путем – покупкой сертификата за 250 долларов. Это лишний раз говорит о том, что защита, построенная на проверках подписей, не может быть абсолютно надежна.
Одной из главных тем вашей работы является крайняя сложность обнаружения вредоносного кода, использующего технологии виртуализации. Эффективные средства для идентификации таких угроз в современном программном и аппаратном обеспечении отсутствуют. Вы говорили, что производители должны снабдить архитектуру своих продуктов инструментами контроля и обнаружения зловредного ПО в виртуальных машинах. Появился ли интерес со стороны ИТ-гигантов, таких как Intel, AMD или Microsoft?
– Мне неизвестно ни о каких шагах Intel и AMD по созданию эффективных средств обнаружения этих угроз. Хотя некоторые разработчики ОС, в том числе Microsoft планируют снабдить свои системы встроенными гипервизорами. Вероятно, этот процесс начнется через два года или около того. Остается надеяться, что эти гипервизоры будут достаточно надежными средствами контроля за виртуальными машинами.
А.Т.: – Некоторые дистрибутивы Linux уже содержат компонент KVM (Kernel-based Virtual Machine), использующий расширения виртуализации современных процессоров. Он способен исполнять немодифицированные Linux и Windows. Также, открытый проект по виртуализации серверов Xen, начиная с версии 3.0, использует расширения SVM и VT-x. В этом проекте принимают участие разработчики многих известных компаний, таких, как Intel, AMD и IBM. Разумеется, эти проекты не являются средствами обнаружения вредоносного кода, использующего виртуализацию, но их гипервизоры не должны позволить такому коду получить контроль над виртуальной машиной. Ситуация во многом схожа с переходом операционных систем на использование защищенного режима 80386: после установки супервизора ОС код, работающий в режиме виртуального 8086, более не мог сам стать супервизором.
Как складывается судьба Blue Pill? Вы не планируете выложить в открытый доступ сигнатуры к ней и протестировать эффективность современных антивирусов?
– Я написала работающий прототип Blue Pill приблизительно год назад и продемонстрировала ее в рамках конференции Black Hat в Лас-Вегасе и на многих других мероприятиях. В этом году в рамках нашего семинара в Вегасе мы собираемся представить другую, намного более зрелую реализацию Blue Pill, которая была переписана с нуля. Нынешняя версия может, например, обходить временной анализ даже в том случае, если детектор использует надежный источник данных о времени (например, протокол NTP). Также новая реализация полностью поддерживает работу со встроенными гипервизорами, так что можно запустить множество одних Blue Pill внутри других.
Никакой необходимости в опубликовании сигнатур нет, это ничего не изменит в эффективности обнаружения угрозы антивирусами. Каждый слушатель нашего семинара в Лас-Вегасе получит возможность скомпилировать, запустить и проанализировать рабочую версию Blue Pill. Ну а публиковать ее код в Интернете мы все же не собираемся.
По бизнес-стезе
Недавно вы вместе с Александром Терешкиным создали компанию In-visible Things Lab. Каковы основные направления деятельности? Можете ли вы рассказать о первых проектах компании?
– Invisible Things Lab – это консалтинговая компания, которая специализируется на вопросах безопасности ОС. Мы выделяем три основные группы клиентов. Первая категория – это разработчики защитного ПО и ОС, которым мы предлагаем наш продукт для оценки безопасности и консультационную поддержку. Другая группа – это корпоративные клиенты, заинтересованные в независимом аудите технологий ИТ-защиты, которые они планируют внедрить в компании. И, наконец, последняя категория – это правоохранительные структуры и органы следствия, которым мы помогаем находиться в курсе современных возможностей киберзлоумышленников, например, malware-угроз, проводя различные курсы обучения и семинары. К сожалению, я не могу говорить об отдельных проектах компании или называть наших клиентов в силу договоров о конфиденциальности.
Александр Терешкин – известный российский эксперт по руткитам и реверсному инжинирингу. В Invisible Things Lab он – главный исследователь. Мы зачастую вместе занимаемся изучением угроз и консультационными проектами, однако Александр немного больше времени уделяет программистской работе, а я сосредоточена непосредственно на бизнес-задачах.
У Джоанны есть «коллега» – другой крупный специалист по руткитам Марк Руссинович. Он очутился в центре внимания в 2005 году, когда обнаружил в DRM-системе для компакт-дисков от Sony BMG полноценный руткит.
Для многих поклонников Марка стало настоящим шоком, когда в прошлом году он продал свой сайт Sysinternals.com Microsoft и сам ушел трудиться туда же.
Кстати, что вы думаете об уходе Марке Руссиновича в Microsoft?
– Марк Руссинович – прекрасный эксперт по Windows, и тот факт, что он теперь в Microsoft нисколько не умаляет значимости этого человека. В Microsoft вообще работает много очень умных людей.
TOP-5: ПЯть самых заметных хакеров прошлого года по версии eWeek
H.D.Moore – автор ряда хакерских программ и известной open source-утилиты Metasploit Framework, используемой для создания эксплойтов и тестирования ПО на наличие «дыр» в защите. Эта программа вызывает неоднозначную реакцию у специалистов по ИТ-безопасности и софтверных разработчиков. С одной стороны это эффективный инструмент для самостоятельного отыскания уязвимостей и создания патчей, который используется некоторыми фирмами при проверке контроля качества выпускаемого софта.
С другой, ничто не мешает использовать Metasploit и злоумышленникам с гораздо менее благородными целями. В прошлом году H.D. Moore обновил свою программу, добавив в нее ряд новых возможностей для обнаружения потенциальных целей для вторжений. В частности, теперь программ «поддерживает» автоматические атаки через скриптовые сценарии.
Исследования H.D. Moore вошли в проект MoBB (Month of Browser Bugs), который позволил обнаружить уязвимости в драйверах WiFi и браузерах.
Джон «Джонни Кэш» ЭллЧ (Jon «Johnny Cache» Ellch), Дэвид Мэйнор (David Maynor) – Хакер Эллч сделал на Black Hat совместный доклад с бывшим исследователем из SecureWorks, посвященный уязвимостям беспроводных устройств. Основная порция критики пришлась на продукцию Apple, которая относительно редко попадает в зону внимания специалистов по ИТ-безопасности. Также докладчики указали на серьезные уязвимости в ПО Broadcom, D-Link и Toshiba.
Марк Руссинович (Mark Russinovich) – Его имя по сей день ассоциируется, в основном, со скандалом по поводу DRM-защиты, используемой в Sony BMG, после которого слово «руткит» перестало быть техническим термином и перекочевало в маркетинговый лексикон разработчиков антивирусного ПО. Разоблачения Руссиновича ярко проиллюстрировали неэффективность антивирусов в отношении соответствующих угроз. Последний год Марк, уже будучи сотрудником Microsoft, занимался в основном разработкой средств обнаружения руткитов и утилит, уничтожающих spyware и прочее скрытое вредоносное ПО на компьютере.