Йоанна Рутковська

Фотографія Йоанна Рутковська (photo Yoanna Rutkovskaya)

Yoanna Rutkovskaya

  • Рік народження: 1981
  • Вік: 35 років
  • Місце народження: Варшава, Польща
  • Громадянство: Польща

Біографія

Польська спеціалістка і дослідниця в галузі комп’ютерної безпеки. Відома в першу чергу за її дослідженням низькорівневої захисту і прихованого програмного забезпечення.

Народилася 1981 року у Варшаві, Польща.

В 11 років отримала свій перший комп’ютер. Ним став PC/AT 286, оснащений процесором, що працює на частоті 16 МГц, 2 Мбайт пам’яті і 40-мегабайтним жорстким диском.

Практично відразу познайомилася з GW-BASIC, а приблизно через рік перейшла на Borland Turbo Basic. Почавши програмувати, Йоанна стала цікавитися як працює операційна система. У віці близько 14 років вона почала вивчати мову асемблера для архітектури x86 (MS-DOS) і плавно перейшла до написання вірусів, після чого більше зосередилася на математиці і штучному інтелекті.

Потім почала вивчати основи побудови мереж, Linux, системне програмування, що наприкінці 1990-х рр. знову привело її до області комп’ютерної безпеки та написання експлойтів для Linux x86, а потім і для Win32-систем. Так що, як і багато з відомих дослідників, Йоанна почала писати експлоїти в підлітковому віці.

У 2002-2003 роках Йоанна поки ще практично нікому не відома, але в мережі починають публікуватися матеріали з досліджень руткітів і захисту від них від імені якогось Яна Кшиштофа Рутківського.

У 59 номері журналу Phrack (28 липня 2002 р.) була опублікована стаття Яна «Аналіз шляхів виконання: виявлення руткітів ядра», у якій описується метод виявлення руткітів на основі підрахунку виконуваних інструкцій у деяких системних викликах. Також як приклад реалізації подібної концепції до статті був прикладений вихідний код програми PatchFinder.

2 грудня 2002 року він опублікував опис уразливості в IPD — драйвері з відкритим вихідним кодом для Windows NT і Windows 2000, розробленому для заборони встановлення нових служб і драйверів і захисту існуючих драйверів від руткітів. Помилка полягала в тому, що система захисту включалася через 20 хвилин після завантаження ОС, але при цьому можна було без особливих проблем переводити системні годинник назад, тим самим не даючи активувати захист.

3 січня 2003 року Ян опублікував опис нової уразливості в IPD. Суть уразливості полягала в наступному: для захисту ядра від різних шкідливих програм IPD блокувала каталог WINNT/system32/drivers, так щоб не можна було модифікувати які-небудь файли в цьому каталозі. Але можна було створити символічне посилання на цей каталог і отримати повний доступ до цього каталогу.

31 липня 2003 року на конференції Black Hat USA 2003, що проходила з 28 по 31 липня в Лас-Вегасі, США, від його імені була представлена презентація «Просунуті способи виявлення руткітів в Windows 2000». Основною темою презентації стали способи виявлення руткітів і чорних ходів в Windows 2000. У доповіді наведена класифікація руткітів

, основні способи їх приховування, а також основні способи їх виявлення.

Приблизно до липня 2003 року Ян вказував адресу електронної пошти Варшавського політехнічного інституту (де як раз в цей час навчалася Йоанна) при публікації різних досліджень по прихованню і виявлення руткітів ядра Windows.

Починаючи з середини 2003 року вся діяльність Яна була поступово згорнута, а менш двох місяців потому нікому раніше невідома дослідниця Йоанна Рутковська почала публікувати матеріали щодо способів приховування і виявлення Windows-руткітів. Першим підписаним цим ім’ям стало опис концепції проекту «Хамелеон». Причому описані ідеї впритул пов’язані з ідеями, описаними Яном, і навіть деяким чином розвивають їх, іноді посилаючись на них як на попередні роботи.

У вересні 2003 року Йоанна публікує концепцію про прихованих Windows-руткитах, що отримала назву «Проект „Хамелеон“». Даний проект був лише набором ідей (без практичної реалізації в коді) про способи запису дійсно невидимих для Windows руткітів (тобто так, щоб навіть спеціальні програми їх не виявляли). Власне, Йоанна даний проект закинула, збираючись повернутися до нього пізніше, але цього так і не сталося. Тим не менш, деякі ідеї проекту були запозичені Шеррі Спаркс і Джеймі Батлер при створенні першого практичного руткіта для віртуальних машин.

Приблизно з цього моменту матеріали, раніше опубліковані від імені Яна, поступово відкрито змінюють свій підпис на підпис Йоанни, причому навіть почали опубліковуватися посилання на матеріали Яна на матеріали авторства Йоанни.

У листопаді 2003 року Ян виступила на конференції HiverCon 2003, що проходила з 6 по 7 листопада 2003 року в Дубліні, Ірландія. Темою доповіді знову стає просунуте виявлення руткітів Windows 2000 методом аналізу шляхів виконання, але доповнена у порівнянні з версією, представленої на Black Hat. Доповідь було присвячено новітнім методикам виявлення скомпрометированности системи і виявлення руткітів на платформі Windows.

У середині жовтня 2004 року Рутковська виступила на конференції IT Underground 2004, що проходила 12-13 жовтня у Варшаві. Нею були представлені дві презентації, присвячені руткитам для платформ Linux та Win32, а також методів їх виявлення. Перша презентація «Чорні ходи в ядрі Linux та їх виявлення» була присвячена двом способам реалізації розумних чорних ходів ядра в мережевому стеку ядра Linux за допомогою обробника ptype і Netfilter, а також представила оригінальні способи їх виявлення, які згодом були успішно реалізовані в одному з комерційних інструментів, написаних самою Йоанна. Також в ній був

а представлена ідея пасивних прихованих каналів, використовувана в описаних способів.

У другій презентації «Виявлення руткітів на системах Windows» йшло обговорення виявлення руткітів рівня користувача і рівня ядра. Перша половина презентації була присвячена застосуванню MS Kernel Debugger (спільно з LiveKD) для виявлення руткітів рівня користувача. Інша частина була присвячена більш просунутим руткитам рівня ядра, а також у ній були представлені деякі ідеї по їх виявленню.

20 жовтня 2004 року Йоанна залишила першу запис на своєму персональному веб-сайті invisiblethings.org і на наступний день опублікувала на ньому матеріали обох презентацій з ITUnderground.

28 грудня 2004 року на Всесвітньому конгресі хакерів, що проходить в Берліні (Німеччина) з 27 по 29 грудня, Йоанна представляє доповідь «Пасивні приховані канали в ядрі Linux». Темою доповіді стали пасивні приховані канали, не генеруючі власного трафіку, а лише змінюють деякі поля в пакетах, створюваних легальними користувацькими додатками або процесами на зараженій машині.

28 вересня 2005 року Йоанна виступила з презентацією «Приховувати і знаходити: визначення шляху виявлення шкідливого ПЗ на Windows» на конференції «Хак в коробці», що проходила з 26 по 29 вересня в Куала-Лумпурі (Малайзія), паралельно надаючи при цьому кілька своїх розробок, в тому числі і System Virginity Verifier. Основною метою презентації було визначення списку життєво важливих частин операційної системи і методологія виявлення шкідливого ПО.

25 січня 2006 року Йоанна виступила з презентацією на Black Hat Federal, що проходила з 23 по 26 січня у Вашингтоні (США), на тему «Полювання на руткіти проти виявлення скомпроментированности». Презентація була присвячена опису типів скомпрометированности системи, а також в ній було представлено опис способів досягнення атакуючим повної невидимості без використання класичної технології руткітів. В ході презентації Йоанна розглядала такі традиційні прийоми руткітів як перезавантаження, приховування процесів, відкриті сокети.

Після її виступу на Black Hat в 2006 році в багатьох публікаціях її стали називати хакером, однак сама Йоанна проти цього, заявивши про це в одному з інтерв’ю наприкінці 2007 року:

Я не вважаю себе хакером (хоча в пресі мене часто так називають). Я вважаю себе дослідником в області комп’ютерної безпеки, а з недавніх пір — ще й бізнесвумен.

Також вона представила свій новий руткіт DeepDoor (розголошувати які-небудь подробиці про який вона відмовилася), здатний зламувати код NDIS шляхом модифікування чотирьох слів в області пам’яті, де NDIS зберігає

свої дані. Під час демонстрації Йоанна продемонструвала, як її руткіт справно виконував своє завдання з перехоплення трафіку навіть незважаючи на те, що брандмауер ZoneAlarm блокував йому доступ.

У підсумку, Йоанна заявила, що безпечного способу читати пам’ять з ядром Windows не існує. На її думку, Microsoft повинна надати можливість стороннім компаніям пропонувати рішення по захисту пам’яті з ядром. Експерти, які спостерігали цю презентацію охарактеризували її як вражаючу роботу і божевілля.

Навесні 2006 року Йоанна почала працювати в COSEINC Research.

22 червня 2006 року Йоанна у своєму блозі публікує попередній опис своєї новітньої розробки Blue Pill, над якою вона працювала в останні кілька місяців. Свою розробку Йоанна описує як 100%-необнаруживаемое. Ідея програми була досить проста: після впровадження Blue Pill на атакується комп’ютер цільова операційна система переходить під повне управління ультратонкого гіпервізора Blue Pill, причому все це відбувається «на льоту» (тобто без перезавантаження системи). Також відсутні і втрати продуктивності, характерні для всіх «звичайних» віртуальних машин, всі пристрої системи повністю доступні для ОС, що досягає за рахунок використання технології AMD, відомої як SVM/Pacifica. Незважаючи на те, що дана ідея загалом не нова, Йоанна описує відмінності від раніше поданого руткіта SubVirt.

У квітні 2007 року Йоанна вирішує покинути COSEINC і створити власну компанію «Invisible Things Lab», яка спеціалізується на консультаційні послуги та дослідженнях в області інформаційної безпеки. Саме створення власної компанії було проведено без зайвого галасу, а її дебют був приготований на липневий Black Hat USA. У назві фірми обігрувалася назва блогу «Invisible Things», який став до того часу вельми популярним. 1 травня 2007 року в компанію на посаду головного розробника влаштовується росіянин Олександр Терешкін (також відомий як 90210), також колишній член COSEINC AML.

У 2008 році Рутковська зі своєю командою зосередилася на дослідженнях безпеки гіпервізора Xen.

7 квітня 2010 року Йоанна оголосила про розробку нової высокозащищенной операційної системи Qubes. Робота над ОС почалася в грудні 2009 року, близько двох місяців пішло на проектування системи, потім почався етап написання коду. Архітектура Qubes була спроектована Йоанна і Рафалом, код віртуалізації графічного інтерфейсу написаний Рафалом, а інша частина системи — в основному Йоанна.

15 квітня 2010 року видання Network World назвав Йоанну однією з 12 позитивних хакерів («White Hat» hackers), які треба знати.