Tytuł odnosi się do ostatniego wpisu („Tricky tricks”) w blogu Joanny Rutkowskiej, gdzie uznała ona ostatnie lata firm AV za stracone, a pieniądze wydane na heurystykę za wyrzucone w błoto.
Cóż, oceniając postępowanie i wpisy JR, mam wrażenie, że chyba się trochę pogubiła (w komentarzach jest nawet wpis, że wszyscy ludzie z sektora AV „uwzięli” się na nią). Ja też dołożę swoją „uwzięcie”.

Mniej więcej rok temu JR pokazała światu BluePill, czyli rootkita, który obchodził zabezpieczenia Visty – i to nie tej cywilnej, ale „profesjonalnej” wersji 64-bitowej. Różnica między x32 a x64 jest znaczna. I tak Vista64 dodatkowo zawiera np. technologię zwaną potocznie PatchGuard, a dodatkowo nie pozwala na instalowanie niepodpisanych sterowników. Ogólnie niebieska pigułka pokazała, że Vista, nawet ta 64-bitowa, nie test tak bezpieczna, jak M$ by chciał. Jak najbardziej „plus” dla JR. Pojawiły się też inne rootkity (np. BootKit od Kumarów), które także kompromitowały Vistę.

OK. Minęło trochę czasu i Vista musiała przełknąć fioletową pigułkę (PurplePill). Tym rootkitem JR udowodniła (i nie tylko Ona), że podpisywanie sterowników w V64 nie jest wcale wymagane, by zainstalować drivera. Wyśmiała w ogóle koncepcje M$ ze specjalnym podpisem dla sterowników, bo sama nabyła taki certyfikat za 250 $ i od tej pory mogła bez przeszkód instalować swojego, już nowego (dlaczego nowego, to już zupełnie inna historia) rootkita, zwanego nbp (NewBluePill).

Zaraz się zapytacie, gdzie jest Jej niekonsekwencja? Ano właśnie w ostatnim wpisie. Tam na wszelkie sposoby udowadnia, że AV poszły w złą stronę, wydając ct. „zillions of dollars” na techniki wykrywania tego, co niewykrywalne, a i tak pozostanie problem 0Day (czyli nowego wirusa, którego nie ma jeszcze w bazach AV). JR sugeruje też, że wystarczy dodać do systemu tylko sprawdzanie certyfikatów dla plików wykonywalnych i problem będzie rozwiązany (???).
Kurcze, o co chodzi? Nie minęły 2 miesiące i taka zmiana frontu. Sama JR udowadniała, jak to łatwo oszukać system z takim zabezpieczeniem, jak łatwo kupić taki certyfikat, a tu teraz taki wpis. Całkowicie pomijam to, że Vista ma:
1) rozbudowany UACL, czyli pyta się przez uruchomieniem pliku, czy na pewno chcemy ten program odpalić, a gdy proces żąda praw admina, dostajemy dodatkowe info,
2) instalowanie podpisanych sterowników specjalnym (zaufanym) certyfikatem.

Czyli co? „Bajka” w teorii JR!!!

Ot, poczekamy, zobaczymy. JR prowadzi już małą „wojenkę” z Markiem Russinovichem i kilkoma firmami z sektora security. Osobiście kibicuję Joannie, bo... no właściwie sam nie wiem, czemu(patriotyzm?), ale mam tez wrażenie, że ostatnie wypowiedzi robią więcej szumu medialnego niż niosą ze sobą wiedzy. A szkoda.

GaMar