ATI-evi driveri postali metom Purple Pill projekta
Protekla dva tjedna se po medijima povlače svakakvi, manje-više istiniti napisi o razbijenom kernelu (u nastavku teksta “jezgra”) novog Microsoftovog operacijskog sustava, beskonačno propagirane Viste. Najviše pozornosti je naopravdano, prema skromnom mišljenju autora ovih redaka, dobio projekt pod nazivom “Purple Pill”. Da malo pokušamo razjasniti stvari…
LinchpinLabs, nezavisna firma koja se bavi istraživanjem računalne sigurnosti, je sredinom tekuće godine razvila alat nazvan “Atsiv” (Vista unazad) pomoću kojega je moguće ubaciti maliciozni kod u jezgru Viste. Atsiv je napravljen isključivo kao dokaz koncepta, dakle kao jednostavan dokaz da je to moguće. Pojava ovakvog alata je bila samo pitanje vremena, jer je novonapisana jezgra Viste prema riječima Microsofta, ultra-super stvar i nemoguće ju je razbiti. Iako je takva tvrdnja a priori neistinita, trebalo ju je i u praksi pobiti. Microsoftov odgovor na ovo je bio, u najmanju ruku, neodgovoran i loše smišljen. Naime, Microsoft je jednostavno onemogućio Atsiv-ov potpis i u novoj verziji definicija malicioznog softvera u svom Windows Defenderu proglasio Atsiv malicioznim. I to je sve. Odgovor na proof of concept nikada ne smije biti ovakav. Programi koji su napravljeni kao dokaz koncepta nisu maliciozni i služe isključivo za motivaciju razvojnih inženjera, kako bi brže riješili neki problem. Update definicija za Windows Defender kao rješenje za rootkit!? Neodgovorno u najmanju ruku. Kako bi istaknuo nestručnost takvog poteza, ReactOs-ov bivši inženjer zadužen za razvoj jezgre ReactOs-a, a trenutno razvojni inženjer za Windows Sysinternals, Alex Ionescu je napravio Purple Pill projekt koji iskorištava sigurnosne propuste u ATI-evim upravljačkim programima i tako za umetanje malicioznog koda iskorištava potpis kojeg Microsoft ne smije onemogućiti. Naime, kada bi se to dogodilo, SVI korisnici ATI-evih upravljačkih programa bi morali instalirati novu verziju drivera, jer bi im Vista u protivnome isključila i obrisala postojeće, te im za grafičku karticu postavila svoje upravljačke programe. Microsoftov odgovor na ovaj problem – u suradnji sa ATI-evim programerima razviti rješenje. Smatramo da je prilično sigurno pretpostaviti da su ATI-evi novi upravljački programi trenutno u Microsoftu, da na njima upravo radi hrpetina Microsoftovih programera i da će izaći sa novim potpisom. Ovo je, ponovo, pogrešno rješenje. Naime, kada bi ovo rješenje pokušali primjeniti u praksi, Microsoftovi programeri bi morali preuzeti sve verzije svih programa od svih proizvođača grafičkih kartica, multimedijalnih codec-a, programa za održavanje sustava (npr. nekih aplikacija za defragmentaciju i kloniranje diskova). Sve te programe bi Microsoftovi inženjeri morali ručno pregledati i pokrpati moguće sigurnosne rupe. Da ne ulazimo u sve moguće probleme ovakvog pristupa, istaknuti ćemo samo najveći – Microsoft ionako kasni sa izdavanjem novih operacijskih sustava i aplikacija, te zakrpa za njih. Malo je reći da nemaju vremena krpati i tuđi softver.
No, Alex Ionescu je ubrzo objavio da Purple Pill projekt nije nemoguće otkriti, na što mu je ukazala Joanne Rutkowska, začetnica projekta “Blue Pill”, čiji rootkit još ni danas nije moguće otkriti. Ionescu je odmah sa svog bloga obrisao sve što je vezano za Purple Pill, sa servera obrisao datoteku koja je sadržavala njegov rootkit i, naravno obrisao sve ostalo što se ticalo toga. Ovakav potez i objašnjenje poprilično “smrde”. Naime, stvar na koju mu je Rutkowska navodno ukazala je odavno poznata – ona ju je još prošle godine objavila na jednoj konferenciji, a Ionescu je itekako bio upoznat sa time. Nadalje, Ionescu je prilično mlad, tek je napunio 21 godinu i proteklih godinu dana ga intervjuiraju Microsoft, Google, Apple i vjerujemo mnogi drugi. Nedugo nakon što je cijela priča izašla u medijima, a mediji dali link do Google cache-a u kojem je dotični post, post je misteriozno nestao i iz Google cache-a. No, u Googleovom cache-u smo pronašli zgodan link do članka na OpenRCE, koji je također misteriozno nestao. Trenutno se čini kao da je cijela stvar zataškana i osim prijepisa originalnog članka nismo uspjeli pronaći ništa korisno (npr. dotični Purple Pill.zip ). Vrlo zanimlijvo je da čak niti na Google groups (sučelje za korištenje i pretraživanje newsgrupa diljem svijeta) nema ni jednog jedinog posta koji bi odgovarao upitu “purple pill”+vista 🙂 Nadalje, čak niti Dogpile, tražilica koja pretražuje rezultate drugih tražilica, ne uspijeva pronaći ništa vezano za originalni članak ili alat. No, na stranu s teorijama zavjere.
Što želimo reći… Za početak, kaos oprečnih informacija o razbijenoj jezgri Viste koji se posljednjih tjedana pojavio u bespućima interneta, je uzrokovao svakakve napise poput “Nemojte prelaziti na Vistu jer Windows XP ne pati od ovog problema”. To je pogrešno. Dobri stari XP uopće ne pokušava boriti se protiv ovoga i jako je podložan upravo ovom problemu (i brojnim drugima, daleko jednostavnijim za iskorištavanje). Za neprelazak na Vistu postoje mnogi razlozi, a ovaj je apsolutno nebitan u cijeloj priči.
Druga stvar koju želimo istaknuti je upravo ono što je Joanna Rutkowska rekla na konferenciji Black Hat: Bilo koja monolitna (nemodularna) jezgra operacijskog sustava može se razbiti. Nijedna hardverska zaštita (poput Trusted Computing projekta) nije sigurna i moguće ju je zaobići. Ovo se odnosi na trenutno sve operacijske sustave.
Stoga imamo jednostavnu preporuku; ne vjerujte svemu što govore o Visti, ne vjerujte da je sve što je u Google-ovim rezultatima ujedno i sve što uopće postoji, i zadržite zdrav razum prilikom odabira OS-a i komponenata sa svoje računalo. Zbog svoje implementacije DRM-a, Vista nije sposobna ispravno prikazivati HD video. Trusted Platform Module čipovi na matičnim pločama za sada nisu iskorišteni (već smo ih pronašli na nekim pločama i BIOS-ima). Kada operacijski sustavi u potpunosti postanu sposobni koristiti trusted computing platformu, rootkitovi više neće imati utjecaja samo na računalo, nego i na ostale aspekte života (prisjetimo se Gatesovih govora o pametnom domu i svakavim home serverima).
