Рутковская, Йоанна: биография

Основным приёмом, позволявшим такое сделать, был анализ расположения регистра таблицы описания прерываний (англ. interrupt descriptor table register, сокр. IDTR). SIDT-инструкция помещает содержимое IDTR в указанный операнд, то есть размещает его в памяти, причём речь идет уже о переразмещении IDT-таблицы по определенному адресу.

Йоанна впервые заметила подобное странное поведение SIDT-инструкции за несколько лет до этого, когда тестировала Suckit-руткит на VMWare. Данный руткит вполне корректно работал на реальной ОС, но выдавал ошибку при запуске на виртуальной машине. Йоанна потратила несколько часов на выяснение того факта, что проблема заключалась в SIDT, которую использовал Suckit чтобы получить адрес IDT-таблицы.

При этом сама Йоанна не отрицает, что подобные исследования проводились и до неё. Так, например, она ссылается на документ, опубликованный в 2000 году в USENIX, который посвящён проблеме реализации виртуальных машин на процессорах фирмы Intel. В числе обсуждаемых проблем как раз и была проблема с SIDT.

Идея проекта была представлена Йоанной в октябре на IT Underground 2004 в Варшаве, Польша. После конференции, 18 октября Дейв Эйтел опубликовал свой отчет о поездке на эту конференцию, привлекший немалый интерес. В результате, Йоанна начала получать множество писем от людей, желающих узнать, «как обнаружить использование VMWare при помощи одной инструкции».

В итоге, 14 ноября 2004 года Йоанна выложила Red Pill в виде исходного кода небольшой программы, написанной на Си. Этот код необходимо было скомпилировать на Windows, работающей на процессоре Intel.

Но, к сожалению, у этой программы были недостатки, причём главным недостатком программы оказалась её неспособность определять аппаратную виртуализацию:

NUSHU

В декабре 2004 года Йоанна на 21-м Chaos Communication Congress в Берлине выступила с докладом по скрытым каналам в ядре Linux версии 2.4. К этой презентации ею была подготовлена концепт-программа, способная продемонстрировать возможную опасность от скрытых каналов в корпоративных сетях и тем самым предоставить исследователям данные по этим каналам для анализа.

Согласно сопроводительной заметке, написанной самой Йоанной, программа широко не тестировалась и является лишь демонстрацией концепции самой идеи.

2 января 2005 года Йоанна на своем сайте объявила об открытии материалов и кода NUSHU.

Программа вызвала интерес в хакерском сообществе, вследствие чего было предложено несколько способов обнаружения этой программы. Так, например, Стивен Мердок и Стивен Льюис из Кембриджской компьютерной лаборатории (www.cl.cam.ac.uk) в апреле 2005 года опубликовали документ, посвящённый скрытым каналам в TCP/IP. В этом документе, в частности, представлено описание метода обнаружения скрытых каналов, основывающихся на принципе NUSHU, и предложена новая реализация идеи скрытых каналов под названием «Lathra».

В середине ноября 2005 года Евгений Тумоян и Максим Аникеев из Таганрогского государственного университета опубликовали документ «Network Based Detection of Passive Covert Channels in TCP/IP» («рус. Сетевое обнаружение пассивных скрытых каналов в TCP/IP»), описывающий новый способ обнаружения скрытых каналов (в том числе и каналов, созданных программой NUSHU) на основе использования ISN-нумерации в стеке протоколов TCP/IP. Через месяц данный документ был выложен и для бесплатного ознакомления.

Выступая на 22-м Chaos Communication Congress в конце декабря 2005 года Стивен Мердок во время своей презентации специально уделил внимание техническим подробностям о работе программы NUSHU. Сама Йоанна посчитала эту презентацию «очень клевой».