Йоанна Рутковская
Польская специалистка и исследовательница в области компьютерной безопасности. Известна в первую очередь по ее исследованиям низкоуровневой защиты и скрытого программного обеспечения.
Год рождения 1981
Сайты
Деятельность Бизнесмены, Блоггеры, Интернет, Хакеры
Страны Польша
Поделиться

Биография

Родилась в 1981 году в Варшаве, Польша.

В 11 лет получила свой первый компьютер. Им стал PC/AT 286, оснащенный процессором, работающим на частоте 16 МГц, 2 Мбайт памяти и 40-мегабайтным жёстким диском.

Практически сразу познакомилась с GW-BASIC, а примерно через год перешла на Borland Turbo Basic. Начав программировать, Йоанна стала интересоваться как работает операционная система. В возрасте примерно 14 лет она начала изучать язык ассемблера для архитектуры x86 (на MS-DOS) и плавно перешла к написанию вирусов, после чего больше сосредоточилась на математике и искусственном интеллекте.

Затем начала изучать основы построения сетей, Linux, системное программирование, что в конце 1990-х гг. вновь привело ее к области компьютерной безопасности и написанию эксплоитов для Linux x86, а затем и для Win32-систем. Так что, как и многие из известных исследователей, Йоанна начала писать эксплоиты в подростковом возрасте.

В 2002-2003 годах Йоанна пока еще практически никому не известна, но в сети начинают публиковаться материалы по исследованиям руткитов и защиты от них от имени некоего Яна Кшиштофа Рутковского.

В 59 номере журнала Phrack (28 июля 2002 г.) была опубликована статья Яна «Анализ путей исполнения: обнаружение руткитов ядра», в которой описывается метод обнаружения руткитов на основе подсчета исполняемых инструкций в некоторых системных вызовах. Также в качестве примера реализации подобной концепции к статье был приложен исходный код программы PatchFinder.

2 декабря 2002 года он опубликовал описание уязвимости в IPD — драйвере с открытым исходным кодом для Windows NT и Windows 2000, разработанном для запрета установки новых служб и драйверов и защиты существующих драйверов от руткитов. Ошибка заключалась в том, что система защиты включалась спустя 20 минут после загрузки ОС, но при этом можно было без особых проблем переводить системные часы назад, тем самым не давая активировать защиту.

3 января 2003 года Ян опубликовал описание новой уязвимости в IPD. Суть уязвимости заключалась в следующем: для защиты ядра от различных вредоносных программ IPD блокировала каталог WINNT/system32/drivers, так чтобы нельзя было модифицировать какие-либо файлы в этом каталоге. Но можно было создать символьную ссылку на этот каталог и получить полный доступ к этому каталогу.

31 июля 2003 года на конференции Black Hat USA 2003, проходившей с 28 по 31 июля в Лас-Вегасе, США, от его имени была представлена презентация «Продвинутые способы обнаружения руткитов в Windows 2000». Основной темой презентации стали способы обнаружения руткитов и черных ходов в Windows 2000. В докладе приведена классификация руткитов, основные способы их сокрытия, а также основные способы их обнаружения.

Примерно до июля 2003 года Ян указывал адрес электронной почты Варшавского политехнического института (где как раз в это время училась Йоанна) при публикации различных исследований по сокрытию и обнаружению руткитов ядра Windows.

Начиная с середины 2003 года вся деятельность Яна была постепенно свернута, а менее двух месяцев спустя никому ранее неизвестная исследовательница Йоанна Рутковская начала публиковать материалы по способам сокрытия и обнаружения Windows-руткитов. Первым подписанным этим именем стало описание концепции проекта «Хамелеон». Причем описанные идеи вплотную связаны с идеями, описанными Яном, и некоторым образом даже развивают их, иногда ссылаясь на них как на предыдущие работы.

В сентябре 2003 года Йоанна публикует концепцию о скрытых Windows-руткитах, получившую название «Проект „Хамелеон“». Данный проект являлся лишь набором идей (без практической реализации в коде) о способах записи действительно невидимых для Windows руткитов (то есть так, чтобы даже специальные программы их не обнаруживали). Собственно, Йоанна данный проект забросила, собираясь вернуться к нему позднее, но этого так и не случилось. Тем не менее, некоторые идеи проекта были позаимствованы Шерри Спаркс и Джейми Батлер при создании первого практического руткита для виртуальных машин.

Примерно с этого момента материалы, ранее опубликованные от имени Яна, постепенно в открытую изменяют свою подпись на подпись Йоанны, причем даже начали опубликовываться ссылки на материалы Яна как на материалы авторства Йоанны.

В ноябре 2003 года Ян выступила на конференции HiverCon 2003, проходившей с 6 по 7 ноября 2003 года в Дублине, Ирландия. Темой доклада вновь становится продвинутое обнаружение руткитов Windows 2000 методом анализа путей выполнения, но дополненная по сравнению с версией, представленной на Black Hat. Доклад был посвящен новейшим методикам обнаружения скомпрометированности системы и выявлению руткитов на платформе Windows.

В середине октября 2004 года Рутковская выступила на конференции IT Underground 2004, проходившей 12—13 октября в Варшаве. Ею были представлены две презентации, посвященные руткитам для платформ Linux и Win32, а также методам их обнаружения. Первая презентация «Черные ходы в ядре Linux и их обнаружение» была посвящена двум способам реализации умных черных ходов ядра в сетевом стеке ядра Linux при помощи обработчика ptype и Netfilter, а также представила оригинальные способы их обнаружения, которые впоследствии были успешно реализованы в одном из коммерческих инструментов, написанных самой Йоанной. Также в ней была представлена идея пассивных скрытых каналов, используемая в описанных способах.

Во второй презентации «Обнаружение руткитов на системах Windows» шло обсуждение обнаружение руткитов уровня пользователя и уровня ядра. Первая половина презентации была посвящена применению MS Kernel Debugger (совместно с LiveKD) для обнаружения руткитов уровня пользователя. Остальная часть была посвящена более продвинутым руткитам уровня ядра, а также в ней были представлены некоторые идеи по их обнаружению.

20 октября 2004 года Йоанна оставила первую запись на своем персональном веб-сайте invisiblethings.org, и на следующий день опубликовала на нём материалы обеих презентаций с ITUnderground.

28 декабря 2004 года на Всемирном конгрессе хакеров, проходящем в Берлине (Германия) с 27 по 29 декабря, Йоанна представляет доклад «Пассивные скрытые каналы в ядре Linux». Темой доклада стали пассивные скрытые каналы, не генерирующие собственного трафика, а лишь меняющие некоторые поля в пакетах, создаваемых легальными пользовательскими приложениями или процессами на зараженной машине.

28 сентября 2005 года Йоанна выступила с презентацией «Скрывать и находить: определение пути выявления вредоносного ПО на Windows» на конференции «Хак в коробке», проходившей с 26 по 29 сентября в Куала-Лумпуре (Малайзия), параллельно представив при этом несколько своих разработок, в том числе и System Virginity Verifier. Основной целью презентации было определение списка жизненно важных частей операционной системы и методология выявления вредоносного ПО.

25 января 2006 года Йоанна выступила с презентацией на Black Hat Federal, проходившей с 23 по 26 января в Вашингтоне (США), на тему «Охота на руткиты против выявления скомпроментированности». Презентация была посвящена описанию типов скомпрометированности системы, а также в ней было представлено описание способов достижения атакующим полной невидимости без использования классической технологии руткитов. В ходе презентации Йоанна рассматривала такие традиционные уловки руткитов как перезагрузка, сокрытие процессов, открытые сокеты.

После ее выступления на Black Hat в 2006 году во многих публикациях ее стали называть хакером, однако сама Йоанна против этого, заявив об этом в одном из интервью в конце 2007 года:

Я не считаю себя хакером (хотя в прессе меня часто так называют). Я считаю себя исследователем в области компьютерной безопасности, а с недавних пор — ещё и бизнесвумен.

Также она представила свой новый руткит DeepDoor (разглашать какие-либо подробности о котором она отказалась), способный взламывать код NDIS путем модифицирования четырёх слов в области памяти, где NDIS хранит свои данные. Во время демонстрации Йоанна продемонстрировала, как её руткит исправно выполнял свою задачу по перехвату трафика даже несмотря на то, что межсетевой экран ZoneAlarm блокировал ему доступ.

В итоге, Йоанна заявила, что безопасного способа читать память с ядром в Windows не существует. По её мнению, Microsoft должна предоставить возможность сторонним компаниям предлагать решения по защите памяти с ядром. Эксперты, наблюдавшие эту презентацию охарактеризовали ее как впечатляющую работу и безумие.

Весной 2006 года Йоанна начала работать в COSEINC Research.

22 июня 2006 года Йоанна в своем блоге публикует предварительное описание своей новейшей разработки Blue Pill, над которой она работала последние несколько месяцев. Свою разработку Йоанна описывает как 100%-необнаруживаемое ПО. Идея программы была довольно проста: после внедрения Blue Pill на атакуемый компьютер целевая операционная система переходит под полное управление ультратонкого гипервизора Blue Pill, причем все это происходит «на лету» (то есть без перезапуска системы). Также отсутвуют и потери производительности, характерные для всех «обычных» виртуальных машин, все устройства системы полностью доступны для ОС, что достигает за счет использования технологии AMD, известной как SVM/Pacifica. Несмотря на то, что данная идея в общем-то не нова, Йоанна описывает отличия от ранее представленного руткита SubVirt.

В апреле 2007 года Йоанна решает покинуть COSEINC и создать собственную компанию «Invisible Things Lab», специализирующуюся на консультационных услугах и исследованиях в области информационной безопасности. Само создание собственной компании было проведено без лишней шумихи, а ее дебют был приготовлен на июльский Black Hat USA. В названии фирмы обыгрывалось название ее блога «Invisible Things», ставшего к тому моменту весьма популярным. 1 мая 2007 года в компанию на должность главного разработчика устраивается россиянин Александр Терешкин (также известный как 90210), также бывший член COSEINC AML.

В 2008 году Рутковская со своей командой сосредоточилась на исследованиях безопасности гипервизора Xen.

7 апреля 2010 года Йоанна объявила о разработке новой высокозащищенной операционной системы Qubes. Работа над ОС началась в декабре 2009 года, около двух месяцев ушло на проектирование системы, затем начался этап написания кода. Архитектура Qubes была спроектирована Йоанной и Рафалом, код виртуализации графического интерфейса написан Рафалом, а остальная часть системы — в основном Йоанной.

15 апреля 2010 года издание Network World назвал Йоанну одной из 12 положительных хакеров («White Hat» hackers), которых надо знать.

Другие статьи: