Rootkit à vendre ! mise à prix : 400 K$
Il ne s'agit pas là d'une vaine querelle opposant quelques hackers inconnus, mais d'un duel de niveau olympique opposant des docteurs es-sécurité. D'un coté, une coalition regroupant des chercheurs de Matasano (des anciens du AtStake et du L0pht Heavy Industries), de Symantec et de Root Labs, et de l'autre le couple Joanna Rutkowska et Alexander Tereshkin, de la toute nouvelle société Invisible Things. Tous d'éminents spécialistes des processus cachés et des attaques à bas niveau.
Du coté du clan Rutkowska, l'on affirme pouvoir développer une nouvelle version de Bluepill, le rootkit Vista x64 qui défraya la chronique il y a plus d'un an. Une nouvelle version qui serait totalement indétectable et ne nécessiteraient pas de « prérequis » contraignants, tel le célèbre SubVirt imaginé par les chercheurs de Microsoft.
Le team Matasano, de son coté, estime que quelque soit la discrétion du rootkit en question, les différences de timing, les réactions du noyau, d'infimes indices permettront à un programme générique de détecter la présence du code dangereux, même si celui-ci est isolé par son propre environnement virtuel. Les rootkits reposant sur un hyperviseur ne peuvent passer inaperçu, c'est ce que clame Nate Lawson sur son blog. Même réaction de la part de Dino dai Zovi, également auteur d'un rootkit sous hyperviseur baptisé Vitriol VT-x et présenté lors de la précédente Black Hat de Las Vegas. Propos soutenus par l'opinion de Peter Ferrie de Symantec, savant incontesté des attaques de VM . Tout ce petit monde étant regroupé derrière Thomas Ptacek de Matasano, qui joue pour l'occasion les chefs de groupe.
Au défi lancé par Rutkowska, Ptacek « répond respectueusement à l'invitation » et demande quelques précisions sur les modalités du concours. Modalité que le clan Invisible Things précise, à savoir une détection en double aveugle portant sur 5 machines infectées ou non, détection ne devant pas « planter » le système testé ni bloquer la CPU durant plus d'une seconde. Et... au fait, détail insignifiant, les développements de BluePill devront être payés au salaire horaire moyen d'un développeur/expert en sécurité, à savoir 200 $ de l'heure. Sachant que BluePill aligne déjà officiellement deux mois de développement et que sa finalisation exigera au total, selon Rutkowska, 6 mois de travail à deux personnes, la facture s'élèvera donc, selon différents calculs, entre 380 et 410 000 dollars.
Et c'est là que le bât blesse... d'accord pour toutes les contraintes techniques, accepte le clan Matasano,, mais nous n'avons aucune raison de payer pour voir quelque chose que nous sommes capables de détecter.
Pour de vulgaires considérations matérielles, la guerre des rootkits n'aura donc probablement pas lieu. Les organismes de sécurité « à trois lettres » et autres industriels du botnet savent désormais que le développement d'un tel outil, compatible Vista 64, ne coûtera qu'un petit demi-million de dollars maximum. Une paille en regard des services attendus.