FYI.

This story is over 5 years old.

Blue Pill is malware die je computer in The Matrix plaatst

Je zal er nooit achterkomen of je computer besmet is met Blue Pill.
12.12.14

​ In het eerste deel van The Matrix-trilogie krijgt Neo te horen dat hij in de Matrix zit. "The Matrix is een gevangenis voor je brein," zoals Morpheus zegt. "Het is niet merkbaar, het is overal, het is de wereld die over je ogen heen is getrokken om je de waarheid te onthouden."

Allemaal leuk en aardig, maar het is maar een film; dat kan niet echt zo zijn. Nou, wel dus. Maar dan voor je computer.

Advertentie

De Poolse computerbeveilingsexpert en oprichter/CEO van Invisbile Things Lab, Joanna Rutkowska, heeft een rootkitsoftware geschreven die je computer in een 'Matrix' opneemt. Op de Black Hat – computerbeveiliging – conferentie in Las Vegas van 2006 presenteerde ze haar indrukwekkende concept, genaamd Blue Pill. Om Joanna's creatie goed uit te kunnen leggen moet ik eerst wat andere termen beschrijven. Een rootkit is een type malware ontworpen om processen geheim te houden. De meeste rootkits worden ontworpen zodat geen normaal detectiemiddel ze kan oppikken. De rest van het vijandige programma kan dan ongestoord zijn werk doen.

In computers zitten hiërarchische beschermingsdomeinen, ook wel beschermingsringen genoemd. Zoals in de afbeelding hier beneden te zien is, heeft de architectuur van een computer vier ringen, met ring nul als ring met de hoogste autoriteit. Het spel tussen hackers en beveiligers komt er op neer dat je een ring hoger, en dus sterker wilt zitten dan de ander.

Blue Pill is een type rootkit dat zelfs nog onder het niveau van je besturingssysteem opereert. Dat kan hij omdat de malware een hypervisor (een term waar we zo op terugkomen) gebruikt. Het is daardoor bijna niet te traceren. Dat heeft te maken met het niveau waarop het opereert. Blue Pill zit op het -1ste level. Het zit los van het besturingssysteem, er onder als het ware. Door de strategisch gekozen plek waar het zich nestelt, zit het nog veiliger dan het anders al zou zitten.

Beveiligingsringen in de software van een besturingssysteem. Afbeelding: The Greekz

Joanna maakt dus gebruik van een hypervisor, wat een supernerdy term is voor virtualisatie. Hierbij wordt er een ​virtuele 'computer' gecreëerd waar een besturingssyteem op draait. Je kent het misschien wel van Windows in een venstertje runnen op een Mac. Het Windows-OS 'denkt' dat het op een computer draait, maar in werkelijkheid bestaat die hele computer alleen binnen het venstertje. Neo zou in de voorgaande analogie een programma zijn op die computer. Word, bijvoorbeeld.

Rutkowska heeft door deze techniek slim te gebruiken een angstaanjagend briljante val bedacht. Als een besturingssysteem Blue Pill oppikt, merkt de computer/beheerder er niets van. Ondertussen wordt er wel degelijk iets uitgevoerd op je pc; Blue Pill verplaatst je hele besturingssysteem naar een virtuele machine met een hypervisor. En daar is niets van te merken, geen melding, geen haperingen, geen reboot, nada, noppes. Dat is in de kern Blue Pill, het 'on the fly' verplaatsen van het besturingssysteem, zoals Rutkowska in haar presentatie op de Black Hat-conferentie vertelt.

Dan zit je computer dus in de 'matrix'. En ik vermoed dat je dan lang kunt wachten op je Morhpeus op het witte paard. Maar wat kun je daar precies mee? Nou, het is de ultieme hack. Want je merkt het nooit, en toch kan de aanvaller alles. Dus ga je door met je normale dagelijkse dingen, maar ondertussen onderschept de virtuele machine alles met de hypervisor. Alle acties gaan eerst langs Blue Pill, die alles kan kopiëren, veranderen, verwijderen, etc. De hacker kan de andere computer compleet controleren. Zonder dat jij het weet. Ooit.

Er zijn nog geen aanvallen bekend waarbij Blue Pill is gebruikt, wat niet heel gek is aangezien alles draait om niet ontdekt worden. Maar dat komt vooral doordat Rutkowska haar programma alleen gebruikt om van te leren. Als expert op het gebied van computerbeveiliging is het haar doel de beveiliging te bevorderen, vandaar dat ze dit soort dingen creëert, om er van te leren. Want als zij het niet doet, komt iemand anders uiteindelijk wel met het idee, en wie zegt dat die wel goede intenties heeft.

Vanzelfsprekend doet ze erg voorzichtig met de code van Blue Pill. Maar er spelen ook andere dingen. "Ik denk niet dat we Blue Pill-achtige malware binnenkort in het wild tegenkomen. De huidige malware werkt ook prima; de anti-virusindustrie zuigt al bij het vinden en voorkomen van dit soort bedreigingen," zei Rutkowska in een interview met computersite Tom's Hardware. "Er is dus weinig reden voor de georganiseerde misdaad om de focus op veel complexere technologieën te richten. Maar dat is voor ons als beveiligingsmedewerkers geen reden om te wachten. We moeten nu gaan nadenken over hoe we voorkomen dat zulk soort malware ooit in de verkeerde handen valt." Dat het niet in gebruik is, stelt Rutkowska niet gerust want "er zijn nog heel veel plekken in een Windows- kernel waar traditionele malware verborgen kan worden," vertelt ze in een interview met het tijdschrift Wired. "Ik was even kwetsbaar als elke andere gebruiker. Dit irriteerde me."

Advertentie

De kwestie rondom computerbeveiliging is niet eentje die makkelijk op te lossen is. Bijna alle besturingssystemen zijn nou eenmaal gebouwd op gebruikersvriendelijkheid, en niet op ultieme beveiliging tegen hackers. Dus kwam ze met het  Qubes besturingssysteem. Een revolutionair besturingssysteem, die steunt op veiligheid door middel van virtualisatie.

Schematisch overzicht van Qubes. Afbeelding: Invisible Things Blog

Rutkowska heeft haar probleem opgelost door een besturingssysteem van de grond af op te bouwen. Het idee is dat er compartimenten voor alles zijn. Als er dan een virus binnendringt, kan het alsnog alleen in dat ene hokje schade aanrichten. Met virtualisatie worden er meerdere virtuele machines - compartimenten - opgeroepen, waarin de dagelijkse zaken afgehandeld kunnen worden.

Zoals in de afbeelding te zien is, heeft Rutkowska verschillende domeinen opgezet. De AppVM's (user domains) zijn bedoeld voor dingen als internet, applicaties als Word of Photoshop, etc. De System Domains handelen zaken met betrekking tot netwerk, of USB's af. Het Admin domain is het belangrijkste maar ook meteen het kwetsbaarste punt. Als dat wordt geïnfecteerd is het game over, zoals Rutkowska het verwoordt.

Vanaf daar worden de andere domeinen gemanaged. De GUI domain gaat over zaken als toetsenbord, muis, en het inloggen voor gebruikers. De laatste twee hebben om veiligheidsredenen geen netwerktoegang, zodat de kans zo klein mogelijk wordt op infectie.

Dus als een compartiment geïnfiltreerd wordt, is alleen die data gecompromitteerd. De rest is nog veilig. In het interview met Wired vertelt Rutkowska dat ze meestal ongeveer vijftien domeinen tegelijk open heeft staan. Rutkowska heeft dus haar Blue Pill concept omgezet tot een formidabel schild. Qua gebruikersvriendelijkheid niet voor iedereen geschikt, maar dat terzijde blijft het een briljante vondst.

Net zoals Rutkowska geïrriteerd was dat ze zo kwetsbaar was, ben ik nu ook ineens een stuk banger. Rutkowska's Blue Pill concept heeft mij doen beseffen hoe intens computerbeveiliging kan zijn. Mijn mate van respect voor computernerds is vele malen groter geworden, dat zij dit begrijpen, hiermee spelen. Daar heb ik veel respect voor. Alleen al omdat ze misschien weten waar the fuck Morpheus is.