Blaue Pille rot gefärbt

Im Sommer machte Joanna Rutkowska mit der Veröffentlichung ihres Virtualisierungs-Rootkits Schlagzeilen: Mit Hilfe der Virtualisierungsfunktionen moderner CPUs verschiebt die Blue Pill ein laufendes System in eine virtuelle Maschine. Das System, so ihre These, kann dies nicht bemerken, steht aber unter Kontrolle der Blue Pill. Forscher haben aber nun gezeigt, daß das Verschieben in eine virtuelle Maschine doch erkannt werden kann ("Compatibility Is Not Transparency").

Das Verschieben eines laufenden Systems in eine VM dürfte für Hersteller von kopiergeschützen Programmen ein Alptraum sein: Die Software wäre damit von außen analysierbar, ohne daß das Programm eine Chance hätte, dies festzustellen. Selbiges gilt natürlich auch für den Versuch, im Betriebssystem eine DRM-Kette (beispielsweise für die Wiedergabe von HD-DVDs/Blueray Disks) zu etablieren.
Andererseits wäre das die ultimative Mögichkeit für trojanische Pferde, sich vor Entdeckung zu verstecken. Insbesondere an die "Remote Forensic Software" (aka Bundestrojaner) mußte ich hierbei denken... vielleicht ist es doch ganz gut, daß diese Möglichkeit für solche Programme verwehrt bleibt.
Zur Namensgebung: Mit der "blauen Pille" ist natürlich nicht ein bekanntes Kreislauf-Medikament gemeint, sondern eine Anspielung auf die rote und die blaue Pille, welche der Filmheld Neo im Kinofilm "Matrix" angeboten bekommt: Die blaue Pille würde ihn einlullen, und er würde die Welt weiterhin so empfinden wie bisher - analog zur von Joanna Rutkowska vertretenen These, daß der Verschiebeprozeß für das System nicht bemerkbar sei. Die "Red Pill" hingegen (wie auch die entsprechenden Erkennungsmaßnahmen genannt werden) läßt die Wahrheit deutlich werden (und in dieser Analogie die Virtualisierung erkennen).

comments powered by Disqus