Рутковская, Йоанна: биография

Эта же презентация была представлена и 1 февраля 2006 года на конференции IT-Defense (англ.), проходившей с 30 января по 3 февраля в Дрездене, Германия.

Позднее, на базе представленной классификации, а именно 24 ноября 2006 года, Йоанна опубликовала более расширенную версию своей классификации вредоносного ПО, добавив в неё, в частности, третий тип вредоносного ПО.

Период работы в COSEINC Research (2006—2007)

Точная дата начала официальной работы Йоанны с COSEINC неизвестна. Однако, известно, что это состоялось примерно в марте-апреле 2006 года, поскольку в мартовском интервью Йоанна отозвалась о себе как об исследователе вопросов безопасности, работающем над проектами, связанными с ИТ-безопасностью, для различных компаний по всему миру, однако в конце июня в своем блоге она написала, что Blue Pill разработана эксклюзивно для COSEINC, а работу над этим проектом она начала в марте 2006 года.

13 мая 2006 года выступила на конференции по компьютерной безопасности CONFidence (англ.), проходившей в Кракове с 13 по 14 мая. Её доклад, озаглавленный как «Rootkits vs. Stealth by Design Malware» (рус. «Руткиты против невидимого вредоносного ПО»), был посвящён вопросам, связанным с функционированием руткитов.

22 июня 2006 года Йоанна в своем блоге публикует предварительное описание своей новейшей разработки Blue Pill, над которой она работала последние несколько месяцев. Свою разработку Йоанна описывает как 100%-необнаруживаемое ПО. Идея программы была довольно проста: после внедрения Blue Pill на атакуемый компьютер целевая операционная система переходит под полное управление ультратонкого гипервизора Blue Pill, причём все это происходит «на лету» (то есть без перезапуска системы). Также отсутвуют и потери производительности, характерные для всех «обычных» виртуальных машин, все устройства системы полностью доступны для ОС, что достигает за счет использования технологии AMD, известной как SVM/Pacifica. Несмотря на то, что данная идея в общем-то не нова, Йоанна описывает отличия от ранее представленного руткита SubVirt.

28 июня 2006 года на портале eWeek опубликовывается статья «Blue Pill Prototype Creates 100 % Undetectable Malware» (рус. «Прототип Blue Pill создает 100 % необнаруживаемое вредоносное ПО»), посвящённое разработке Йоанны Blue Pill. Райан Нарайен, ссылаясь на запись в блоге Йоанны, в целом повторяет написанное Йоанной. Статья вызывает много шума и бурных дискуссий. 1 июля 2006 года сама Йоанна в статье «The Blue Pill Hype» (рус. «Ажиотаж по поводу Blue Pill») в своем блоге пишет:

Кроме того, в той же статье Йоанна опровергает слухи о том, что её работа была проспонсирована корпорацией Intel (основной конкурент AMD на рынке процессоров). Йоанна утверждает, что её работа была оплачена компанией COSEINC Research, на которую она в тот момент работала, а вовсе не Intel. Йоанна реализовала Blue Pill на архитектуре AMD64 только потому, что её предыдущее исследование (также сделанное для COSEINC) была посвящено Vista x64, для функционирования которой и был приобретен процессор AMD64. И несмотря на наличие желания перенести «Blue Pill» на Intel VT, никаких ближайших планов по этому поводу у Йоанны нет по причине нехватки свободного времени.

21 июля 2006 года Йоанна завершает конференцию SyScan’06, проходившей с 20 по 21 июля 2006 года в Сингапуре. Организатором данной конференции является Томас Лим (англ. Thomas Lim), CEO компании «COSEINC», в которой в то время работала Йоанна. Официально презентация Йоанны называлась «Subverting Vista Kernel for Fun and Profit» (рус. «Сокрытие ядра Vista для развлечения и пользы») и состояла из двух частей. В первой части она продемонстрировала общий способ (то есть не опираясь на какой-либо определённый баг) вставить зловредный код в последнюю 64-битную версию ядра Windows Vista Beta 2, тем самым успешно обойдя широко разрекламированую проверку Vista на «подписанность» кода. Причём представленная атака даже не потребовала перезагрузки системы.