Рутковская, Йоанна

Поделись знанием:
(перенаправлено с «Йоанна Рутковская»)
Перейти к: навигация, поиск
Эта статья или раздел нуждается в переработке.
Пожалуйста, улучшите статью в соответствии с правилами написания статей.
В Википедии есть статьи о других людях с фамилией Рутковская.
Йоанна Рутковская
Joanna Rutkowska
Место рождения:

Варшава, ПНР

Научная сфера:

информационные технологии

Место работы:

Invisible Things Labs

Альма-матер:

Варшавский политехнический институт

Известна как:

автор ПО Blue Pill,
автор ОС Qubes

Йоа́нна Рутко́вская[1] (польск. Joanna Rutkowska; 1981, Варшава) — польский специалист и исследователь в области компьютерной безопасности. Известна в первую очередь по её исследованиям низкоуровневой защиты и скрытого программного обеспечения[2].

О себе отзывается[3] так:

Я — исследователь, который фокусируется на проблемах безопасности системного уровня, например, в ядре, гипервизоре, чипсете и т. д. Именно исследователь, а не охотник за уязвимостями или тестер. Меня больше интересуют фундаментальные проблемы, а не какие-то конкретные «дыры» в каких-либо программах пользователей. Например, может ли ОС или платформа обеспечить какую-либо защиту пользователя, несмотря на то, что приложения, например, Adobe Reader или IE могут быть потенциально скомпрометированы? Я верю в «безопасность путём изоляции».

После её выступления на Black Hat в 2006 году во многих публикациях её стали называть хакером, однако сама Йоанна против этого, заявив об этом в одном из интервью в конце 2007 года[4]:

Я не считаю себя хакером (хотя в прессе меня часто так называют). Я считаю себя исследователем в области компьютерной безопасности, а с недавних пор — ещё и бизнесвумен.





Биография

Детство и юность (1981—2003)

Родилась в 1981 году в Варшаве, Польша. В 11 лет получила свой первый компьютер[5]. Им стал PC/AT 286, оснащенный процессором, работающим на частоте 16 МГц, 2 Мбайт памяти[3] и 40-мегабайтным жёстким диском[5].

У него была монохромная видеокарта Hercules и большинство игр на нем не работало, так что мне ничего не оставалось, кроме как начать программировать.
Йоанна Рутковская[5]

Практически сразу познакомилась с GW-BASIC, а примерно через год перешла на Borland Turbo Basic[3]. Начав программировать, Йоанна стала интересоваться как работает операционная система. В возрасте примерно 14 лет она начала изучать язык ассемблера для архитектуры x86 (на MS-DOS) и плавно перешла к написанию вирусов, после чего больше сосредоточилась на математике и искусственном интеллекте[6]. Затем начала изучать основы построения сетей, Linux, системное программирование, что в конце 1990-х гг. вновь привело её к области компьютерной безопасности и написанию эксплоитов для Linux x86, а затем и для Win32-систем[7]. Так что, как и многие из известных исследователей, Йоанна начала писать эксплоиты в подростковом возрасте[5].

Свой первый хак Йоанна сделала после прочтения нашумевшей статьи в журнале Phrack об эксплойте, разрушающем стек, который она также самостоятельно скомпилировала и протестировала:

Я прочитала статью и сказала: „Нет, это не может работать. Это невозможно“. Но это на самом деле сработало.
Йоанна Рутковская[5]

Через несколько лет она бросила писать эксплойты, но с удовольствием вспоминает то чувство удовлетворения, вызываемое написанием хорошего эксплойта:

Это удивительно и захватывающе как волшебный фокус. Теперь уже я сосредоточена в несколько другой области, но всё еще отслеживаю интересные эксплойты.
Йоанна Рутковская[5]

Затем она постепенно продвинулась дальше: уязвимости ядра, руткиты, скрытые каналы и прочее, а также способы борьбы со всеми этими уязвимостями[7]. В одном из интервью 2007 года она вспоминает:

После некоторого периода написания эксплойтов я начала задумываться о том, чем же заниматься дальше. Меня очень интересовало внутренне устройство ОС и у меня были довольно хорошие познания в нем. Это и привело меня в область руткитов.
Йоанна Рутковская[5]

Параллельно с этим закончила Варшавский политехнический институт, получив степень магистра в области информатики[8]. По её воспоминаниям, женщины составляли всего лишь около 5 процентов от общего числа студентов факультета, где Рутковская изучала математику[5]. По её выражению, её университетское обучение имело мало общего с безопасностью[5]. Так, в одном из интервью она сказала, что хоть и изучала информатику в Варшавском Политехническом институте, но большинство вещей изучила сама, как и многие коллеги по отрасли[6].

Первые исследования (2001—2002)

Примерно в 2001 г. Йоанна начала всерьез заниматься исследованиями в области компьютерной безопасности для платформ на базе операционных систем Linux и Win32, а спустя два года переходит к исследованиям в области программ, работающих по технологии «невидимок» (англ. stealth technology)[9].

Ян Кшиштоф Рутковский (2002—2003)

В этот период Йоанна пока ещё практически никому не известна, но в сети начинают публиковаться материалы по исследованиям руткитов и защиты от них от имени некоего Яна Кшиштофа Рутковского (польск. Jan Krzysztof Rutkowski).

На конференциях Black Hat USA 2003 и HiverCon 2003 в его профиле написали[10][11]:

Ян Рутковский — независимый исследователь в области безопасности. Его основные исследования относятся к нетривиальным методикам использования уязвимостей (как например, повреждение кучи или умные нагрузки), а также продвинутые аспекты технологии руткитов и черных ходов. На данный момент он сосредоточен на системах Windows 2000 и Linux.

В 59 номере журнала Phrack (28 июля 2002 г.) была опубликована статья Яна «Анализ путей исполнения: обнаружение руткитов ядра»[12], в которой описывается метод обнаружения руткитов на основе подсчета исполняемых инструкций в некоторых системных вызовах. Также в качестве примера реализации подобной концепции к статье был приложен исходный код программы PatchFinder.

2 декабря 2002 года он опубликовал описание уязвимости в IPD — драйвере с открытым исходным кодом для Windows NT и Windows 2000, разработанном для запрета установки новых служб и драйверов и защиты существующих драйверов от руткитов. Ошибка заключалась в том, что система защиты включалась спустя 20 минут после загрузки ОС, но при этом можно было без особых проблем переводить системные часы назад, тем самым не давая активировать защиту[13].

3 января 2003 года Ян опубликовал описание новой уязвимости в IPD. Суть уязвимости заключалась в следующем: для защиты ядра от различных вредоносных программ IPD блокировала каталог WINNT/system32/drivers, так чтобы нельзя было модифицировать какие-либо файлы в этом каталоге. Но можно было создать символьную ссылку на этот каталог и получить полный доступ к этому каталогу[14].

31 июля 2003 года на конференции [www.blackhat.com/html/bh-usa-03/bh-usa-03-index.html Black Hat USA 2003], проходившей с 28 по 31 июля в Лас-Вегасе, США, от его имени была представлена презентация «Продвинутые способы обнаружения руткитов в Windows 2000»[15][16][17]. Основной темой презентации стали способы обнаружения руткитов и черных ходов в Windows 2000. В докладе приведена классификация руткитов, основные способы их сокрытия, а также основные способы их обнаружения. Более подробно рассматривается упоминавшийся выше метод анализа путей исполнения (сокр. АПИ; англ. execution path analysis, сокр. EPA), в основе которого лежит простой факт: если в результате атаки система скомпрометирована, и она пытается что-либо скрыть при помощи изменения некоторых путей исполнения, то такая система будет исполнять дополнительные инструкции при обычных системных и библиотечных вызовах. В статье была предложена реализация счетчика инструкций на основе возможностей процессоров Intel, т. н. пошагового режима (англ. single stepping mode). Однако, поскольку ядро Windows 2000 является довольно сложным набором программ, то количество исполняющихся инструкций может меняться и в «чистой» системе, что весьма затрудняет анализ. Тем не менее, тесты позволяют заметить весьма активное использование системной функции FindFirstFile, которая многократно вызывается на определенном этапе обращения к какому-либо каталогу, но в скомпрометированной системе данная функция будет вызываться на нескольких этапах. В этой ситуации, проблемой остается лишь определение того, является ли подобное поведение признаком скомпрометированности или всего лишь информационным шумом. Для решения этой дилеммы в статье предлагается использовать метод записи путей исполнения (сокр. ЗПИ; англ. execution path recording, сокр. EPR), являющийся модификацией. Идея ЗПИ основана на записи отладочным обработчиком полного пути исполнения (адреса и инструкции в этих адресах), затем вычислении наиболее общего пути (по частоте использования), а затем сравнении этих двух путей (текущего и записанного).

Кроме того, в рамках презентации обсуждались также и некоторые программы защиты от руткитов (Integrity Protections Driver, Server Lock), а также некоторые их уязвимости. Кроме того, была некоторым образом затронута и тема переноса метода АПИ на другие операционные системы[10].

Всего лишь чуть более года спустя, в статьях о руткитах для Windows уже будут писать, ссылаясь в том числе и на этот доклад[18]:

Как в создании руткитов, так и в борьбе с ними есть свои лидеры. Признанной руткитоборкой первой степени является Йоанна Рутковская, чей новый веб-сайт invisiblethings.org я настоятельно советую посетить. Она является автором утилиты Patchfinder и Klister. Первая из них направлена на обнаружение руткитов, модифицирующих пути исполнения, а вторая помогает обнаруживать DKOM KLT.

Примерно до июля 2003 года Ян указывал адрес электронной почты Варшавского политехнического института[19] (где как раз в это время училась Йоанна) при публикации различных исследований по сокрытию и обнаружению руткитов ядра Windows[12][20].

Начиная с середины 2003 года вся деятельность Яна была постепенно свернута, а менее двух месяцев спустя никому ранее неизвестная исследовательница Йоанна Рутковская начала публиковать материалы по способам сокрытия и обнаружения Windows-руткитов. Первым подписанным этим именем стало описание концепции проекта «Хамелеон»[21]. Причём описанные идеи вплотную связаны с идеями, описанными Яном, и некоторым образом даже развивают их, иногда ссылаясь на них как на предыдущие работы[20].

В сентябре 2003 года Йоанна публикует концепцию о скрытых Windows-руткитах, получившую название «Проект „Хамелеон“». Данный проект являлся лишь набором идей (без практической реализации в коде) о способах записи действительно невидимых для Windows руткитов (то есть так, чтобы даже специальные программы их не обнаруживали). Собственно, Йоанна данный проект забросила, собираясь вернуться к нему позднее, но этого так и не случилось. Тем не менее, некоторые идеи проекта были позаимствованы Шерри Спаркс и Джейми Батлер при создании первого практического руткита для виртуальных машин[22].

Примерно с этого момента материалы, ранее опубликованные от имени Яна, постепенно в открытую изменяют свою подпись на подпись Йоанны, причём даже начали опубликовываться ссылки на материалы Яна как на материалы авторства Йоанны[20][23].

Сама же Йоанна впоследствии на вопрос о том, когда она начала заниматься компьютерной безопасностью, скажет[6]:

Несколько лет назад, будучи студенткой. Я уже тогда публиковала результаты моих исследований, благодаря чему получила несколько приглашений к участию в различных проектах.

В ноябре 2003 года Ян выступила на конференции HiverCon 2003, проходившей с 6 по 7 ноября 2003 года в Дублине, Ирландия[24][25]. Темой доклада вновь становится продвинутое обнаружение руткитов Windows 2000 методом анализа путей выполнения (англ. Advanced Windows 2000 rootkit detection (execution path analysis)), но дополненная по сравнению с версией, представленной на Black Hat. Доклад был посвящён новейшим методикам обнаружения скомпрометированности системы и выявлению руткитов на платформе Windows[26].

И с этого момента Йоанна все свои материалы публикует исключительно от своего имени.

Начало профессиональной карьеры (2003—2006)

В середине октября 2004 года Рутковская выступила на конференции IT Underground 2004, проходившей 12—13 октября в Варшаве. Ею были представлены две презентации, посвящённые руткитам для платформ Linux и Win32, а также методам их обнаружения. Первая презентация «Черные ходы в ядре Linux и их обнаружение»[27] была посвящена двум способам реализации умных черных ходов ядра в сетевом стеке ядра Linux (англ. Linux Kernel Network Stack) при помощи обработчика ptype и Netfilter, а также представила оригинальные способы их обнаружения, которые впоследствии были успешно реализованы в одном из коммерческих инструментов, написанных самой Йоанной. Также в ней была представлена идея пассивных скрытых каналов, используемая в описанных способах[22].

Во второй презентации «Обнаружение руткитов на системах Windows»[28] шло обсуждение обнаружение руткитов уровня пользователя и уровня ядра. Первая половина презентации была посвящена применению MS Kernel Debugger (совместно с LiveKD) для обнаружения руткитов уровня пользователя. Остальная часть была посвящена более продвинутым руткитам уровня ядра, а также в ней были представлены некоторые идеи по их обнаружению[22].

Помимо этого, подтекстом выступления было обсуждение способов как сделать руткиты совершеннее. Во время ланча Йоанна продемонстрировала, как можно при помощи фактически одной инструкции (иногда упоминаемой как «любимая инструкция Синана», англ. Sinan's Favorite Instruction) обнаружить использование VMware[29] (то есть идея, положенная в основу проекта Red Pill).

20 октября 2004 года Йоанна оставила первую запись на своем персональном веб-сайте invisiblethings.org, и на следующий день опубликовала на нём материалы обеих презентаций с ITUnderground[30].

28 декабря 2004 года на Всемирном конгрессе хакеров, проходящем в Берлине (Германия) с 27 по 29 декабря, Йоанна представляет доклад «Пассивные скрытые каналы в ядре Linux»[31]. Темой доклада стали пассивные скрытые каналы (сокр. ПСК; англ. passive covert channels, сокр. PCC), не генерирующие собственного трафика, а лишь меняющие некоторые поля в пакетах, создаваемых легальными пользовательскими приложениями или процессами на зараженной машине.

28 сентября 2005 года Йоанна выступила с презентацией «Скрывать и находить: определение пути выявления вредоносного ПО на Windows»[32] на конференции «Хак в коробке»[33], проходившей с 26 по 29 сентября в Куала-Лумпуре (Малайзия), параллельно представив при этом несколько своих разработок, в том числе и System Virginity Verifier. Основной целью презентации было определение списка жизненно важных частей операционной системы и методология выявления вредоносного ПО. Список начинается с таких основных вещей как действия, необходимые для проверки целостности файловой системы и реестра, затем следом идет проверка памяти уровня пользователя (выявление посторонних процессов, вредоносных динамических библиотек (DLL), инжектированные потоки и прочее), и заканчивается такими продвинутыми вещами как определение жизненно важных частей ядра, которые могут быть изменены современным вредоносным ПО, основанном на руткитах (при помощи таких способов, как Raw IRP hooking, различные DKOM-манипуляции или трюки с виртуальными машинами). Причём вне зависимости от полноты данного списка, по мнению Йоанны, для компрометирования системы вредоносным ПО будет использоваться лишь определенное число методов, то есть такой список на любом этапе не может быть бесконечным, а его полнота будет зависеть лишь от сообщества специалистов. В принципе, создание такого списка может значительно повысить осведомленность об угрозах и, в конечном счете, позволит создание более совершенных программ защиты от вредоносного ПО. Концепты подобных программ Йоанна и представила на своей презентации, наряду с несколькими интересными вредоносными программами[34].

В качестве реализации своей идеи описанного сообщества, занимающегося выявлением методов компрометирования систем, Йоанна там же, на конференции, представила проект открытых методологий поиска компрометаций[35] (англ. open methodologies for compromise detection, сокр. OMCD. Данный проект был начат в самом начале сентября совместно с Институтом безопасности и открытых методологий[36] (англ.). В рамках проекта под руководством Йоанны должны были вестись работы над методологией обнаружения вредоносного ПО и руткитов на системах Windows для определения стандарта как для исследователей, так и для разработчиков инструментов, автоматизирующих этот процесс[37].

25 января 2006 года Йоанна выступила с презентацией на Black Hat Federal[38] (англ.), проходившей с 23 по 26 января в Вашингтоне (США), на тему «Охота на руткиты против выявления скомпрометированности»[39] (англ.)[40]. Презентация была посвящена описанию типов скомпрометированности системы, а также в ней было представлено описание способов достижения атакующим полной невидимости без использования классической технологии руткитов. В ходе презентации Йоанна рассматривала такие традиционные уловки руткитов как перезагрузка, сокрытие процессов, открытые сокеты. Также она представила свой новый руткит DeepDoor (разглашать какие-либо подробности о котором она отказалась), способный взламывать код NDIS[41] путём модифицирования четырёх слов в области памяти, где NDIS хранит свои данные. Во время демонстрации Йоанна продемонстрировала, как её руткит исправно выполнял свою задачу по перехвату трафика даже несмотря на то, что межсетевой экран ZoneAlarm блокировал ему доступ. В итоге, Йоанна заявила, что безопасного способа читать память с ядром в Windows не существует. По её мнению, Microsoft должна предоставить возможность сторонним компаниям предлагать решения по защите памяти с ядром. Эксперты, наблюдавшие эту презентацию охарактеризовали её как впечатляющую работу и безумие[42].

Эта же презентация была представлена и 1 февраля 2006 года на конференции IT-Defense[43] (англ.), проходившей с 30 января по 3 февраля в Дрездене, Германия[44][45].

Позднее, на базе представленной классификации, а именно 24 ноября 2006 года, Йоанна опубликовала более [invisiblethings.org/papers/malware-taxonomy.pdf расширенную версию] своей классификации вредоносного ПО, добавив в неё, в частности, третий тип вредоносного ПО[46].

Период работы в [www.coseinc.com/ COSEINC Research] (2006—2007)

Точная дата начала официальной работы Йоанны с COSEINC неизвестна. Однако, известно, что это состоялось примерно в марте-апреле 2006 года, поскольку в мартовском интервью Йоанна отозвалась о себе как об исследователе вопросов безопасности, работающем над проектами, связанными с ИТ-безопасностью, для различных компаний по всему миру[47], однако в конце июня в своем блоге она написала, что Blue Pill разработана эксклюзивно для COSEINC[48], а работу над этим проектом она начала в марте 2006 года[49].

13 мая 2006 года выступила на конференции по компьютерной безопасности CONFidence[50] (англ.), проходившей в Кракове с 13 по 14 мая[51][52]. Её доклад, озаглавленный как «[proidea.maszyna.pl/CONFidence06/video/rutkowska_malware.avi Rootkits vs. Stealth by Design Malware]» (рус. «Руткиты против невидимого вредоносного ПО»), был посвящён вопросам, связанным с функционированием руткитов.

22 июня 2006 года Йоанна в своем блоге публикует предварительное описание своей новейшей разработки Blue Pill, над которой она работала последние несколько месяцев. Свою разработку Йоанна описывает как 100%-необнаруживаемое ПО. Идея программы была довольно проста: после внедрения Blue Pill на атакуемый компьютер целевая операционная система переходит под полное управление ультратонкого гипервизора Blue Pill, причём все это происходит «на лету» (то есть без перезапуска системы). Также отсутвуют и потери производительности, характерные для всех «обычных» виртуальных машин, все устройства системы полностью доступны для ОС, что достигает за счет использования технологии AMD, известной как SVM/Pacifica. Несмотря на то, что данная идея в общем-то не нова, Йоанна описывает отличия от ранее представленного [research.microsoft.com/csm/CSM_Publications.htm руткита SubVirt][48].

28 июня 2006 года на портале eWeek опубликовывается статья «[www.eweek.com/c/a/Windows/Blue-Pill-Prototype-Creates-100-Undetectable-Malware/ Blue Pill Prototype Creates 100 % Undetectable Malware]» (рус. «Прототип Blue Pill создает 100 % необнаруживаемое вредоносное ПО»), посвящённое разработке Йоанны Blue Pill. Райан Нарайен, ссылаясь на запись в блоге Йоанны, в целом повторяет написанное Йоанной. Статья вызывает много шума и бурных дискуссий. 1 июля 2006 года сама Йоанна в статье «[theinvisiblethings.blogspot.com/2006/07/blue-pill-hype.html The Blue Pill Hype]» (рус. «Ажиотаж по поводу Blue Pill») в своем блоге пишет:

статья в целом точна, за исключением одной детали - названия, вводящего в заблуждение. Там говорится, что уже реализован "прототип Blue Pill, создающий 100% необнаруживаемое ПО", что не верно. Если бы это было так, я бы не стала называть мою реализацию прототипом, что подразумевает весьма раннюю версию продукта[53].

Кроме того, в той же статье Йоанна опровергает слухи о том, что её работа была проспонсирована корпорацией Intel (основной конкурент AMD на рынке процессоров). Йоанна утверждает, что её работа была оплачена компанией COSEINC Research, на которую она в тот момент работала, а вовсе не Intel. Йоанна реализовала Blue Pill на архитектуре AMD64 только потому, что её предыдущее исследование (также сделанное для COSEINC) была посвящено Vista x64, для функционирования которой и был приобретен процессор AMD64. И несмотря на наличие желания перенести «Blue Pill» на Intel VT, никаких ближайших планов по этому поводу у Йоанны нет по причине нехватки свободного времени.

21 июля 2006 года Йоанна завершает конференцию SyScan’06, проходившей с 20 по 21 июля 2006 года в Сингапуре[54]. Организатором данной конференции является Томас Лим (англ. Thomas Lim), CEO компании «COSEINC», в которой в то время работала Йоанна. Официально презентация Йоанны называлась «Subverting Vista Kernel for Fun and Profit» (рус. «Сокрытие ядра Vista для развлечения и пользы») и состояла из двух частей. В первой части она продемонстрировала общий способ (то есть не опираясь на какой-либо определённый баг) вставить зловредный код в последнюю 64-битную версию ядра Windows Vista Beta 2, тем самым успешно обойдя широко разрекламированую проверку Vista на «подписанность» кода. Причём представленная атака даже не потребовала перезагрузки системы.

Вторая часть выступления получила (неофициальное, так как это был по сути подзаголовок) название «Introducing Blue Pill» (рус. «Представляя Blue Pill»), в рамках которой представляет свою новую разработку «Blue Pill». Общей целью выступления была задача показать возможность создания (в скором времени или уже) необнаруживаемого вредоносного ПО, которое не будучи привязанным к какому-либо концепту будет представлять собой угрозу как некий алгоритм[55].

3 августа 2006 года на конференции Black Hat Briefings в Лас-Вегасе вновь представляет свою разработку Blue Pill, но поскольку данная конференция привлекает к себе значительное внимание профильных изданий, то данная разработка наделала много шума в IT-сообществе и принесла Йоанне мировую известность. На этой конференции корпорация Microsoft представила свою новую операционную систему Windows Vista широкому кругу IT-специалистов. В ходе демонстрации раздавались предрелизные копии ОС (по сути это были копии последнего на тот момент стабильного релиза системы)[56]. В марте 2006 года Microsoft уже проводила специальную встречу с хакерами (получившей название «Blue Hat 3»), в ходе которой обсуждались вопросы общей безопасности[57]. Поэтому с учётом полученной информации, представители Microsoft позиционировали Vista как самую защищенную ОС Windows. В ходе презентации Джон Лэмберт (англ.  John Lambert), руководитель подразделения Microsoft, рассказывал об исправленных уязвимостях системы, ранее обнаруженных в бета-версиях[56]. Через некоторое время подошёл черёд Йоанны выступать. Во время её презентации весь зал был набит до отказа, несмотря на то, что это было последнее выступление последнего дня в рамках конференции по безопасности на «Black Hat». Для исследований и демонстрации Йоанна использовала одну из ранних тестовых версий Windows Vista. В качестве одного из способов защиты системы корпорация Microsoft внедрила в в 64-битную версию своей системы механизм блокировки неподписанного кода (то есть не имеющего цифровой подписи). Однако, Йоанна нашла возможность обхода этой проверки. Для выполнения атаки требуются права администратора, что в теории должно было быть блокировано механизмом User Account Control (UAC), который урезает права пользователей, а при необходимости выполнения важных операций требует от пользователей подтверждения. Однако на вопрос о том, как она смогла обойти UAC Йоанна ответил "Я просто нажала «Принять», пояснив при этом, что это сообщение пользователям выдается так часто, что они уже автоматически на него отвечают, уже толком не понимая, что они делают. В ходе презентации сама же Йоанна заявила следующее:

Тот факт, что этот механизм обходится не означает того, что Vista совсем незащищена. Просто она не настолько защищена, как это рекламируется. Чрезвычайно сложно реализовать 100-процентную защиту ядра.

Завершила своё выступление презентацией уже нашумевшего к тому моменту проекта Blue Pill[58].

Реакция корпорации Microsoft была довольно спокойной. Так, Остин Уилсон (англ. Austin Wilson) 7 августа 2006 года в одном из [blogs.msdn.com/members/windowsvistasecurity/ официальных блогов компании, посвящённом безопасности Windows Vista] с долей иронии написал следующее, подчеркнув наличие у неё администраторских прав в атакуемой системе:

Йоанна несомненно чрезвычайно талантлива. Она продемонстрировала способ, которым кто-либо обладая правами администратора может внедрять неподписанный код в ядро 64-битных версий Windows Vista. Некоторые восприняли это так, что некоторые нововведения Microsoft в области безопасности оказались бесполезными. Это не так. Важно понять две вещи: "серебряной пули" не существует когда мы говорим о безопасности, и чрезвычайно сложно защититься от атаки пользователя, сидящего за консолью компьютера с правами администратора. Обе демонстрации, относящиеся к подписыванию драйверов и виртуализации, начались с допущения того, что человек, пытающийся выполнить код, уже обладает администраторскими привилегиями на этом компьютере[59].

Однако, далеко не все аналитики согласились с подобным ответом. Так например, Крис Касперски анализируя информацию, представленную Йоанной, возразил:

Мол, с правами администратора (а "Голубая Пилюля" требует их) еще и не такое возможно! А, что, собственно говоря, с ними возможно?! Загрузить неподписанный драйвер, либо каким бы то ни было другим легальным способом проникнуть на уровень ядра нельзя, что доставляет множество проблем как самим администраторам, так и разработчикам. Во имя её величества Безопасности с этим можно было бы и смириться, если бы Microsoft заткнула все лазейки, а так получается, что нас вынуждают поступиться частью свобод и удобств, предлагая взамен... ничего! Где логика?! Как всегда, логика на стороне Microsoft, преуспевшей только в одном - в продвижении своих глюкодромов на рынок[60].

Осознав успех проекта «Blue Pill», вскоре после этого Йоанна формирует внутри COSEINC небольшую группу исследователей под названием «Advanced Malware Labs», главной целью которой была дальнейшая работа в области вредоносного ПО, основанного на виртуализации. Однако, после нескольких месяцев работы в компании сменились приоритеты, и работа над Blue Pill была закрыта[61].

21 сентября 2006 года Йоанна вновь выступает с докладом «[conference.hackinthebox.org/hitbsecconf2006kl/materials/DAY%202%20-%20Joanna%20Rutkowska%20-%20Subverting%20Vista%20Kernel.pdf Subverting Vista Kernel for Fun and Profit]» (рус. «Сокрытие ядра Vista для развлечения и пользы») на конференции [conference.hackinthebox.org/hitbsecconf2006kl/ Hack In The Box] 2006[62], проходящей в Куала-Лумпур, Малайзия. Версия Blue Pill, представленная на конференции, осталась прежней, но в качестве атакуемой ОС теперь использовался новый выпуск Windows Vista RC1[63] (тогда как ранее использовалась версия Windows Vista Beta 2[64]).

Период работы в Invisible Things Lab (2007 — наст. время)

В апреле 2007 года Йоанна решает покинуть COSEINC и создать собственную компанию «Invisible Things Lab» («рус. Лаборатория невидимых вещей»), специализирующуюся на консультационных услугах и исследованиях в области информационной безопасности. Само создание собственной компании было проведено без лишней шумихи, а её дебют был приготовлен на июльский Black Hat USA. В названии фирмы обыгрывалось название её блога «Invisible Things», ставшего к тому моменту весьма популярным. 1 мая 2007 года в компанию на должность главного разработчика устраивается россиянин Александр Терешкин (также известный как 90210), также бывший член COSEINC AML[61][65]. Юридически фирма оформлена в Варшаве, Польша. Физического офиса у неё нет. Сама Йоанна о своей компании говорит так:

Мы гордимся тем, что мы - современная компания. У нас нет физического офиса вообще. Все работают на дому, а информацией мы обмениваемся через почту с шифрованием. У нас нет такого, чтобы работник высиживал в офисе с девяти до пяти. Работа, которой мы занимаемся, требует креативности, и было бы глупо заставлять людей высиживать чёткий график[3].

Компания специализируется на вопросах безопасности операционных систем и виртуальных машин и оказывает различные консультационные услуги. В 2008 году в компанию приходит Рафал Войчук, сотрудничавший с Йоанной и Александром ранее[66]. Александр Терешкин в ITL работает на должности главного исследователя. По словам Йоанны, они вместе с Александром занимаются изучением угроз и консультационными проектами, однако Александр немного больше времени уделяет программистской работе, а сама Рутковская сосредоточена непосредственно на бизнес-задачах[67].

10 мая 2007 года открывала конференцию [www.nluug.nl/events/vj07/ NLUUG], проходившую в Эде, Нидерланды[68][69]. Её доклад, озаглавленный как «[invisiblethings.org/papers/NLUUG-virtualization.ppt Virtualization — The Other Side of the Coin]» («рус. Виртуализация - обратная сторона монеты»), вновь был посвящён проекту Blue Pill[70]. В ходе презентации рассматривались достоинства и недостатки недавно представленной технологии виртуализации. Значительная часть доклада повторяла материал доклада «Subverting Vista Kernel», представленного Йоанной в прошлом году на конференции Black Hat, но ограничивался лишь темой виртуализации (без обсуждения атаки на ядро Windows Vista), а также рассматривались ещё несколько вопросов с «философской» точки зрения[22].

13 мая 2007 года Йоанна должна была выступить на конференции [2007.confidence.org.pl/ CONFidence 2007], проходящей с 12 по 13 мая в Кракове[71]. Её доклад, получивший условное название «A la carte» («рус. На выбор»), по сути представлял собой несколько заранее заготовленных тем (те доклады, с которыми Йоанна выступала в то время), а выбирать конкретную тему из предложенных должны были зрители путём голосования. Однако из-за болезни Йоанны выступление не состоялось[72]. (Кстати, именно по этой причине на сайте CONFidence доклад Йоанны в списке присутствует, но недоступен для скачивания[73].)

16 мая 2007 года открывает конференцию [www.infosecurityproject.com/2007/index.html Info-Security Conference 2007] в Гонконге[68][74]. В докладе, озаглавленном «Human factor vs. Technology» («рус. Человеческий фактор против технологии»), Йоанна рассмотрела современные проблемы в обеспечении безопасности операционных систем с точки зрения как пользователя так и технической, а также изложила свои соображения по поводу решения этих задач в дальнейшем[75].

31 мая 2007 года Йоанна выступает на московской на выставке-конгрессе Security@Interop Moscow 2007 с ключевым докладом «Вирусы-невидимки — победят хорошие парни»[68][76].

28 июля 2007 года Йоанна вместе с Александром Терешкиным в рамках [www.blackhat.com/html/bh-usa-07/train-bh-usa-07-schedule.html Black Hat USA Training 2007: Weekend Session] проводят тренинг [www.blackhat.com/html/bh-usa-07/train-bh-us-07-jrk.html Understanding Stealth Malware] («рус. Понятие скрытого вредоносного ПО») на Black Hat, проходившим со 28 июля по 2 августа в Лас-Вегасе, США[68][77]. Слушателям курса предлагалась возможность на более глубоком уровне изучить основы работы скрытого вредоносного ПО, его взаимодействие с операционной системой, аппаратным обеспечением и сетью. В рамках курса слушатели могли ознакомиться и поэкспериментировать с несколькими неопубликованными концептами руткитов, специально созданными для этого курса и схожими с Deepdoor, FireWalk, Blue Pill и прочими. Также кратко рассматривался вопрос об их обнаружении[78].

А несколько дней спустя, 2 августа, там же Йоанна и Александр представили технический доклад «[www.blackhat.com/presentations/bh-usa-07/Rutkowska/Presentation/bh-usa-07-rutkowska.pdf IsGameOver(), anyone?]» («рус. ИграОкончена() или кто-нибудь еще?»)[68][79]. В основу доклада был положен новый практический метод атаки «на лету» на ядро Vista x64, а также рассмотрение недостатков технологии TPM/Bitlocker с точки зрения подобных атак. Значительная часть доклада была посвящена презентации новых деталей о вредоносном ПО, использующим виртуализацию. Сюда вошли различные методы обнаружения, которые могли быть использованы либо для выявления использования виртуализации, либо для нахождения самого вредоносного ПО. Рассматривались способы обхода вредоносным ПО средств защиты и варианты реализации вложенной виртуализации[80].

17 сентября 2007 года Йоанна выступает на IT-саммите Gertner по вопросам безопасности в Лондоне, Великобритания[68].

23 октября 2007 года выступила на Северном форуме по вопросам виртуализации, проходившем в Стокгольме, Швеция[68].

В середине ноября 2007 года Йоанна выступила с докладом «Информационные технологии и человеческий фактор» на Российском съезде директоров по информационным технологиям, проходившем в Ростове-на-Дону, Россия. Её доклад был посвящён новому подходу, позволяющему перехватывать контроль над процессорами с аппаратной поддержкой виртуализации[81].

В 2007 году она демонстрирует ненадежность и возможность обхода некоторых типов hardware-based памяти (например, основанной на FireWire)[82].

В 2008 году Рутковская со своей командой сосредоточилась на исследованиях безопасности гипервизора Xen[83].

25 марта 2008 года совместно с Терешкиным проводит тренинг по скрытому ПО на Black Hat в Амстердаме[68].

8 апреля 2008 года выступила с докладом на крупной конференции RSA Conference в Сан-Франциско, США[68][84].

24 апреля 2008 года выступает на конференции RISK в Осло, Норвегия[68].

16 мая 2008 года как один из специально приглашенных специалистов своей презентацией «[static.confidence.org.pl/2008/movies/Joanna_Rutkowska.avi Security Challenges in Virtualized Environments]» («рус. Проблемы безопасности в виртуальной среде») открывает конференцию [2008.confidence.org.pl/ CONFidence 2008], проходящей с 16 по 17 мая в Кракове[85]. Презентация была посвящена различным потенциальным проблемам безопасности в виртуальной среде: руткиты, использующие в своей основе виртуализацию (например, Blue Pill), изолируемые субъекты виртуальных машин, проблемы «доверия» витуальным машинам, вложенная виртуальность и её влияние на безопасность виртуальных систем[86].

4 августа 2008 года совместно с Терешкиным проводит треннинг по скрытому ПО на Black Hat в Лас-Вегасе[68]. В одном из интервью, взятому у неё за кулисами конференции, на вопрос о том, как её исследования влияют на промышленное использование гипервизоров, Йоанна ответила, что «одним из преимуществ её работы является то, что люди становятся более осведомленными в выборе гипервизоров, но главной целью все же является донесение информации до поставщиков решений, которые должны знать об опасностях применения, как от них защищаться и их исправлять»[87].

7 августа 2008 года на конференции Black Hat Йоанна, Рафал и Александр продемонстрировали, что ошибка, обнаруженная в BIOS материнской платы [www.intel.com/p/ru_RU/support/highlights/dsktpboards/dq35jo DQ35JO] позволяет в том числе обходить защиту памяти гипервизора Xen. Несколько недель спустя Intel выпустила обновленный BIOS, исправляющий данную ошибку, после чего Рутковская опубликовала все подробности механизма атаки[88] и код, это демонстрирующий[89]. Атака была основана на использовании возможности переназначения памяти (англ. memory remapping или англ. AKA memory reclaiming) чипсета и позволяет обойти определенные механизмы защиты памяти, реализованые в процессоре или чипсете. Причём подобным способом можно обойти и защиту памяти SMM, получив к ней полный доступ. В дальнейшем эта уязвимость была более подробно ими исследована в ходе изучения уязвимостей SMM, позволив им изучить двоичный код SMM, что позволило найти ещё уязвимости в нём[90].

10 декабря 2008 года объявили о нахождении новых уязвимостей в Intel Product Security Response Center, касающихся SMM. Все эти найденные SMM-уязвимости являются результатом единого проектирования реализации определенной функциональности небезопасным способом. В результате этого, в обработчике SMM присутствует более 40 потенциально уязвимых мест (эксперименты проводились на материнской плате DQ35JOE со всеми патчами, доступными на декабрь 2008). Из найденных уязвимостей только две были вполне успешно опробованы, так как в использовании остальных Йоанна и … не видели никакого практического смысла. По их мнению, корректное решение данной проблемы заключалось бы в полном перепроектировании существующих обработчиков SMM. В личной переписке представители Intel подтвердили наличие проблемы в «мобильных, десктопных и серверных материнских платах» без упоминания каких-либо подробностей и уязвимых моделях. Йоанна и … предположили, что атаке подвержены все недавно выпущенные материнские платы Intel.

Intel обещала исправления прошивок к лету 2009 года, попросив при этом не раскрывать деталей уязвимостей в SMM, пока все соответствующие патчи не будут готовы. Поэтому детальное описание уязвимостей должно было быть представлено на конференции Black Hat USA 2009, запланированной на конец июля 2009 года. Представители Intel сообщили, что они уведомили представителей Координационный центр CERT об этой проблеме, поскольку по их мнению, подобные ошибки могут содержаться и в BIOS других производителей. КЦ CERT присвоил этой ошибке порядковый номер VU#127284[90].

2 сентября 2008 года Йоанна выступает на IT-форуме по безопасности в Осло[68].

18 февраля 2009 года Йоанна совместно со своим коллегой Рафалом Войчуком представила доклад [media.blackhat.com/bh-dc-09/video/Wojtczuk_Rutkowska/BlackHat_DC_2009_Rutkowska_Wojtczuk_Intel_TXT.m4v Attacking Intel Trusted Execution Technology] («рус. Атака на технологию доверенного исполнения Intel») на конференции Black Hat DC 2009, проходившей с 16 по 19 февраля 2009 года в Крайстал-сити (Арлингтон, Вирджиния) ([en.wikipedia.org/wiki/Crystal_City,_Virginia en])[91][92]. Доклад посвящён обнаруженному в конце 2008 года способу обхода защитных технологий Intel Trusted Execution Technology (части бренда Intel vPro) и Intel System Management Mode.

В начале доклада речь шла об уязвимостях, позволяющих обходить технологию Dynamic Root of Trust Measurement (сокр. DRTM), что в общем случае ставит под угрозу значительную часть современных систем. Затем речь зашла о проблемах в Static Root of Trust Measurement (сокр. SRTM), точнее, о необходимости проверять каждую часть кода, исполняемого после начала загрузки системы[93].

Как известно, технология Intel Trusted Execution Technology (сокр. TXT), являющаяся реализацией «позднего запуска» (или отложенного запуска), не проверяет состояние системы перед запуском, позволяя тем самым защищенную загрузку системы даже на зараженном компьютере. Но Йоанна и Рафал выяснили, что в TXT не была предусмотрена защита во время выполнения, то есть банальная защита от переполнения буфера в коде гипервизора. TXT рассчитан лишь на защиту при запуске, то есть данный механизм гарантирует, что загружаемый код на момент загрузки действительно тот, что должен запускаться. Однако, есть фрагмент системного ПО, которое должно быть доверенным. Такой фргамент называется и называется System Management Mode (сокр. SMM).

SMM, будучи самым привилегированным типом ПО, которое исполняется процессором, может обходить защитные проверки, выполняемые в процессе позднего запуска на только что загруженной виртуальной машине (но утверждение, что SMM вообще не проверяется, неверно). Таким образом, атака на функционал позднего запуска TXT может проходить в два этапа:

  1. заражение системного обработчика SMM,
  2. заражение свежезагруженного защищенного кода из зараженного обработчика SMM.

Йоанна с Рафалом представили код, демонстрирующий атаку по подобной схеме на гипервизор Xen, загружаемого при помощи модуля tboot. Tboot обеспечивает защищенную загрузку Linux и Xen при помощи функционала позднего запуска Intel TXT. По идее, tboot должен гарантировать, что после загрузки корректного (то есть немодифицированного) гипервизора Xen (и только в этом случае!), корректные данные будут загружены в регистры TPM. Но на практике, это означает, что только определенная (доверенная) версия гипервизора Xen получит доступ к защищенным областям TPM, и/или сможет положительно идентифицировать себя для взаимодействия (например, с ноутбуком системного администратора) при помощи специальной возможности TPM «Remote Attestation» («рус. Удаленная проверка»). Таким образом, Йоанна и Рафал показали, что при помощи зараженного обработчика SMM можно модифицировать только что загруженную виртуальную машину, то есть атака полностью обходит все защитные механизмы, предоставляемые TXT для защиты загрузки.

В качестве защиты от подобных атак Intel разрабатывали механизм, называемый SMM Transfer Monitor (сокр. STM), который представляет собой некое подобие среды (или «песочницы»), в которую помещается существующий обработчик SMM путём виртуализации при помощи технологий VT-x и VT-d. При этом STM должен восприниматься как взаимодействующий гипервизор (англ. peer hypervisor) для виртуальной машины, загружаемой поздним запуском, и во время позднего запуска STM должен анализироваться. Но на момент демонстрации данная технология была по-прежнему недоступна, поскольку по выражению представителей Intel (в частной переписке) «она не имела коммерческого смысла»[90].

15 мая 2009 года с докладом «[proidea.maszyna.pl/CONFidence09/joanna_rutkowska.avi Thoughts about Trusted Computing]» («рус. Мысли по поводу доверенной обработки информации») выступает на конференции [2009.confidence.org.pl/ CONFidence 2009], проходившей с 15 по 16 мая 2009 года в Кракове[94]. Доклад полностью посвящён технологии Trusted Computing: что это такое, основные блоки, составляющие технологию (TPM, VT и TXT) и доступные в современном оборудовании, обсуждение сценариев применения подобного оборудования, а также обсуждение различий между теоретическим функционалом и практическим ограничением его применения[95].

26 мая 2009 года Йоанна представила презентацию на EuSecWest в Лондоне[68].

25 июля 2009 года Йоанна и Александр проводят треннинг по скрытому ПО на Black Hat в Лас-Вегасе[68].

27 июля 2009 года Йоанна и Рафал проводят тренинг по защите виртуализации на Black Hat в Лас-Вегасе[68].

15 сентября 2009 года представила презентацию на Intel Security Summit в Хиллсборо, Орегон, США[68].

29 октября 2009 года представила презентацию на Computerbild Anti-Virus-Symposium в Гамбурге[68].

24 ноября 2009 года Йоанна делает ключевой доклад на семинаре по безопасности в Universität der Bundeswehr в Мюнхене[68].

16 апреля 2010 года представила [www.youtube.com/watch?v=0pPf1F1RGF8&feature=PlayList&p=21E89915401DA5F9&playnext=1&index=1 презентацию] на CampusParty EU в Мадриде[68].

Разработки и исследования

Red Pill

Основная статья: Red Pill

В ноябре 2004 года Йоанна опубликовала код программы Red Pill и описание используемой ею уязвимости. Название программы (как и название проекта Blue Pill) было взято из кинофильма «Матрица», где в одной из сцен главному герою предлагаются две пилюли на выбор: синяя — чтобы остаться в системе (в Матрице), красная — чтобы из неё выйти. Рутковская сравнивает глотание красной пилюли с возвратом подпрограммой значения, отличного от нуля (то есть сообщения об ошибке), что в кинофильме позволило герою понять, что он находится в виртуальном мире. Основной задачей программы была демонстрация возможности определить использование виртуальной машины при помощи SIDT-инструкции процессора, выполняемой в непривилегированном режиме, но возвращающей содержимое регистра, используемого внутри ОС.

Основным приёмом, позволявшим такое сделать, был анализ расположения регистра таблицы описания прерываний (англ. interrupt descriptor table register, сокр. IDTR). SIDT-инструкция помещает содержимое IDTR в указанный операнд, то есть размещает его в памяти, причём речь идет уже о переразмещении IDT-таблицы по определенному адресу.

Йоанна впервые заметила подобное странное поведение SIDT-инструкции за несколько лет до этого, когда тестировала Suckit-руткит на VMWare. Данный руткит вполне корректно работал на реальной ОС, но выдавал ошибку при запуске на виртуальной машине. Йоанна потратила несколько часов на выяснение того факта, что проблема заключалась в SIDT, которую использовал Suckit чтобы получить адрес IDT-таблицы.

При этом сама Йоанна не отрицает, что подобные исследования проводились и до неё. Так, например, она ссылается на документ, опубликованный в 2000 году в USENIX, который посвящён проблеме реализации виртуальных машин на процессорах фирмы Intel. В числе обсуждаемых проблем как раз и была проблема с SIDT.

Идея проекта была представлена Йоанной в октябре на IT Underground 2004 в Варшаве, Польша. После конференции, 18 октября Дейв Эйтел опубликовал свой [lists.immunitysec.com/pipermail/dailydave/2004-October/001015.html отчет о поездке] на эту конференцию, привлекший немалый интерес. В результате, Йоанна начала получать множество писем от людей, желающих узнать, «как обнаружить использование VMWare при помощи одной инструкции»[22][30].

В итоге, 14 ноября 2004 года Йоанна выложила Red Pill в виде исходного кода небольшой программы, написанной на Си[30]. Этот код необходимо было скомпилировать на Windows, работающей на процессоре Intel[96].

Но, к сожалению, у этой программы были недостатки, причём главным недостатком программы оказалась её неспособность определять аппаратную виртуализацию:

Есть разница между определением виртуализации и определением специфического гипервизора, такого как BluePill, о чём мы уже говорили ранее. Следует помнить, что RedPill был нацелен на определение программной виртуализации, которую использовали продукты VMWare ещё до того, как Intel и AMD представили VT-x/AMD-v (до 2006 года). Мой оригинальный детектор RedPill, который был опубликован в 2004 году, не способен определять аппаратную виртуализацию[3].

NUSHU

В декабре 2004 года Йоанна на 21-м Chaos Communication Congress в Берлине выступила с докладом по скрытым каналам в ядре Linux версии 2.4. К этой презентации ею была подготовлена концепт-программа, способная продемонстрировать возможную опасность от скрытых каналов в корпоративных сетях и тем самым предоставить исследователям данные по этим каналам для анализа.

Согласно сопроводительной заметке, написанной самой Йоанной, программа широко не тестировалась и является лишь демонстрацией концепции самой идеи[97].

2 января 2005 года Йоанна на своем сайте объявила об открытии материалов и кода NUSHU[30].

Программа вызвала интерес в хакерском сообществе, вследствие чего было предложено несколько способов обнаружения этой программы. Так, например, Стивен Мердок и Стивен Льюис из Кембриджской компьютерной лаборатории ([www.cl.cam.ac.uk/ www.cl.cam.ac.uk]) в апреле 2005 года опубликовали документ, посвящённый скрытым каналам в TCP/IP. В этом документе, в частности, представлено описание метода обнаружения скрытых каналов, основывающихся на принципе NUSHU, и предложена новая реализация идеи скрытых каналов под названием «Lathra»[30][98].

В середине ноября 2005 года Евгений Тумоян и Максим Аникеев из Таганрогского государственного университета опубликовали документ «[www.rootkit.com/vault/90210/neural_networks_vs_NUSHU.pdf Network Based Detection of Passive Covert Channels in TCP/IP]» («рус. Сетевое обнаружение пассивных скрытых каналов в TCP/IP»), описывающий новый способ обнаружения скрытых каналов (в том числе и каналов, созданных программой NUSHU) на основе использования ISN-нумерации в стеке протоколов TCP/IP[99]. Через месяц данный документ был выложен и для бесплатного ознакомления[30].

Выступая на 22-м Chaos Communication Congress в конце декабря 2005 года Стивен Мердок во время своей [www.cl.cam.ac.uk/users/sjm217/talks/ccc05covert-tcp.pdf презентации] специально уделил внимание техническим подробностям о работе программы NUSHU. Сама Йоанна посчитала эту презентацию «очень клевой»[30].

FLISTER

FLISTER — концепт-код для демонстрации возможности обнаружения файлов, скрытых Windows-руткитами сразу в обоих режимах пользователя и ядра. Программа основана на использовании ошибок (как правило, сделанных авторами руткитов) обработки вызова функции ZwQueryDirectoryFile() с методом ReturnSingleEntry, установленным как TRUE[100].

Программа была написана в начале 2005 года[101]. 24 января 2005 года Йоанна опубликовала исходный код программы[30].

Тесты, проведенные в начале 2007 года, показали, что данная программа не только нестабильна, но и «обнаружение руткитов при помощи этой программы практически невозможно»[102].

modGREPER

modGREPER — детектор скрытых модулей для Windows 2000/XP/2003. Программа просматривает всю память, используемую ядром (адреса 0x80000000 — 0xffffffff), в поисках структур, похожих на корректные объекты описания модулей[100]. Пока что программа распознает лишь два наиболее важных типа объектов: довольно известный _DRIVER_OBJECT и _MODULE_DESCRIPTION. modGREPER обладает неким подобием встроенного искусственного интеллекта (точнее, несколько наборов логических правил, описывающих возможные поля структуры), что позволяет ему определять, действительно ли данные байты описывают объект модуля.

Затем modGREPER строит список найденных объектов, сравнивает их друг с другом, и в итоге сравнивает полученный список со списком модулей ядра, полученного при помощи документированных функций API (EnumDeviceDrivers).

Подразумевалось, что modGREPER был в состоянии обнаруживать все виды сокрытия модулей, используемые на момент выхода программы. Кроме того, некоторые из модулей могут помечаться как «SUSPECTED» («рус. Подозрительные»). Это применяется к нескрытым модулям, чьи соответствующие файлы образов или отсутствуют или расположены в скрытых каталогах (скрытых руткитом, а не системой). Данное поведение было добавлено из-за того, что большинство руткитов даже не пытаются скрыть свои модули ядра от API.

Программа также может обнаруживать и выводить список незагруженных модулей ядра. Это иногда позволяет более продвинутые (бездрайверные) руткиты ядра. Однако этот список имеет некоторые ограничения: у него ограниченный объём и он содержит лишь основное (базовое) имя модуля (без указания пути).

Однако, сама же Йоанна признала, что вполне возможно писать руткиты, не поддающиеся подобной проверке. Причём, в качестве основной цели выпуска такой программы она сама же указала на стремление простимулировать хакеров на написание более изощренных руткитов[103].

Первая версия программы (0.1) была выпущена 6 июня 2005 года, вторая и последняя на данный момент (0.2) — 14 июня 2005 года[104].

Тесты, проведенные в начале 2007, показали, что данная программа не только нестабильна, но и «обнаружение руткитов при помощи этой программы практически невозможно»[102].

System Virginity Verifier

Программа представляет собой небольшую консольную утилиту, запускаемую из командной строки. Идея, лежащая в основе SVV, заключается в проверке основных системных компонентов Windows, которые различные вредоносные программы стремятся изменить. Проверка позволяет гарантировать целостность системы и выявлять потенциальное заражение системы[100].

В конце сентября 2005 года на конференции «Hack In The Box» в Куала-Лумпуре, Малайзия, представила первую версию программы (1.0)[105]. 3 октября 2005 года Йоанна опубликовывает первую версию программы на своем сайте[30]. 1 ноября 2005 года была опубликована первая стабильная версия (1.1) программы[106].

Тесты, проведенные в конце 2005 года, показали, что данная программа реализует лишь «ограниченный набор тестов», выявляя лишь те руткиты, которые «либо скрывают лишь часть своих данных, либо удаляют себя перед перезапуском системы»[107].

25 января 2006 года на конференции Black Hat Federal представила версию 2.2[108].

Последняя на данный момент версия (2.3) была опубликована 27 февраля 2006 года[106].

12 мая 2006 года Йоанна объявила в своём блоге об открытии исходного кода SVV, поскольку, по её словам, у неё совершенно нет времени заниматься её дальнейшей разработкой, но при этом она продолжает считать подход, использованный в программе, верным и многообещающим. Согласно лицензии, под которой она открыла код, позволяет пользователям делать всё что угодно с исходниками, вплоть до использования их в коммерческих целях[109].

Тесты, проведенные в начале 2007, показали, что данная программа не только нестабильна, но и «обнаружение руткитов при помощи этой программы практически невозможно»[102].

Blue Pill

Основная статья: Blue Pill

Йоанна начинает обдумывать подобный проект примерно с марта 2006 года, когда к ней попала документация AMD по новой технологии виртуализации AMD-V (ранее известной как Pacifica). Первые процессоры с поддержкой этой технологии попали на рынок в конце мая, и уже в первую неделю июня Йоанне удалось достать в Польше один из таких процессоров. Начиная с этого момента ей потребовалось ровно шесть дней для написания первой действующей версии Blue Pill[49]. Программа была представлена на конференции Black Hat Briefings, проходившей в Лас-Вегасе 3 августа 2006 года[61].

Когда Microsoft объявила в прошлом году о том, что ядро будет защищено от загрузки [неавторизованного] кода, я подумала: "Мммм, а это интересная задачка. Мне стоит побаловаться с этим[5].

Некоторые эксперты в области руткитов (например, Грег Хогланд, написавший один из первых руткитов для Windows) утверждали, что руткиты на основе виртуальных машин являются лишь лабораторной игрушкой и не несут в себе реальной угрозы. В ответ на это Йоанна возразила, что это утверждение вполне может быть справедливо для таких программ как SubVirt, разработанного сотрудниками Microsoft Research и Мичиганского университета, но не для Blue Pill или Vitriol, поскольку они основываются на аппаратной виртуализации, а не программной[110].

Вскоре после закрытия COSEINC AML, Йоанна основывает Invisible Things Lab, после чего работа над Blue Pill возобновилась. Йоанна и Александр Терешкин принимают решение написать новый руткит Blue Pill (чтобы отличать новый Blue Pill от оригинального, ему присвоили название New Blue Pill), чтобы им можно было пользоваться для дальнейших исследований, а также в образовательных целях. Большая часть кода нового Blue Pill была написана Терешкиным. Новый Blue Pill значительно отличался от оригинального, причём не только реализованными новыми возможностями, но и изменениями в архитектуре (теперь она стала похожа на HVM, используемую в XEN 3).

Рон Фан (англ. Rong Fan) переделал новый Blue Pill для работы с процессорами Intel, добавив при этом поддержку аппаратной виртуализации Intel VT-x. Рон также добавил поддержку вложенной виртуализации на основе VT-x для последующих NBP, но этот код не может быть опубликован из-за соглашения об ограничении разглашения, но аналогичная поддержка аппаратной виртуализации AMD в открытом коде присутствует.

С осени 2007 года поддержкой работы над новым Blue Pill занимается американская компания Phoenix Technologies[61].

Qubes

7 апреля 2010 года Йоанна объявила о разработке новой высокозащищенной операционной системы Qubes (от англ. cubes — кубы, кубики). Работа над ОС началась в декабре 2009 года, около двух месяцев ушло на проектирование системы, затем начался этап написания кода[111]. Архитектура Qubes была спроектирована Йоанной и Рафалом, код виртуализации графического интерфейса написан Рафалом, а остальная часть системы — в основном Йоанной[112].

По поводу названия ОС сама Йоанна говорит[111] следующее:

О, я думаю, это довольно очевидно. Qubes — это такой своеобразный способ написания слова Cubes, и каждый такой «куб» должен символизировать виртуальную машину. Когда мы думаем об использовании виртуальной машины в защите, то мы представляем себе некую клетку или куб, то есть что-то, что способно в себя вмещать и ограничивать то, что у неё внутри (например, вредоносную программу).

По сути, разработка сейчас представляет собой некую надстройку над операционной системой Fedora 12. На данный момент Qubes не имеет собственной программы установки, поэтому разработчики подготовили все необходимые RPM-пакеты и протестировали их на данной системе. Разработчики предполагают, что Qubes будет работать и на других Linux-системах, поддерживающих RPM-пакеты, но эта возможность ими не тестировалась. После написания собственной программы установки разработчики хотят превратить Qubes в самостоятельную систему, не требующую установки других ОС[113].

Выпуск версии Release 1 Alpha 2 был назначен на 11 июня 2010 года, первая бета-версия должна выйти 1 сентября 2010 года, а первая стабильная версия — 31 декабря 2010 года[114].

Релиз системы версии 1.0 состоялся 3 сентября 2012 года[115][116].

Награды и достижения

  • 2 января 2007 года Рутковская была удостоена звания одной из Пяти хакеров, отметившихся в 2006 году, присужденного ей журналом eWeek за разработку и демонстрацию в действии Blue Pill, а также обнаружение и демонстрацию уязвимости антивирусного ПО, тем самым продемонстрировав, что разработчики популярных ОС ещё не готовы к аппаратной виртуализации[117].
  • 15 апреля 2010 года издание Network World назвал Йоанну одной из 12 положительных хакеров («White Hat» hackers), которых надо знать[118].

Личная компьютерная техника

Лично для себя предпочитает продукцию корпорации Apple[5].

  • Основной рабочий компьютер — [www.apple.com/ru/macpro/specs.html восьмиядерный] [www.apple.com/ru/macpro/ Mac Pro] (2 x 2,8 ГГц Intel Xeon) с 16 Гбайт памяти и 30-дюймовым монитором Apple. О нём отозвалась так:
Это самый красивый настольный компьютер, который у меня когда-либо был - как по внешнему виду, так и по графическому интерфейсу[3].
  • В качестве универсального ноутбука использует старый чёрный [www.apple.com/ru/macbook/specs.html MacBook] (Santa Rosa, Core 2 Duo 2,2 ГГц, 4 Гбайт памяти) (откладывала покупку нового [www.apple.com/ru/macbookpro/specs.html MacBook Pro] с цельным корпусом, поскольку до недавнего времени у него не было поддержки более 4 Гбайт памяти)[3].
  • [www.voodoopc.com/hpcentral/voodoopc/products.html Voodoo Envy 133] приобрела из-за нового чипсета[3].

Также Йоанна пользуется ещё несколькими компьютерами (как ноутбуки, так и десктопы), произведёнными не корпорацией Apple[3].

Интересы и увлечения

В качестве своего хобби Йоанна называет «программирование автономного шестипалого робота с мозгом на основе двух 8-битных микроконтроллеров»[3].

Личная жизнь

В 2007 году, на вопрос журналиста о том, что Йоанна считает своим самым большим достижением, та ответила: «Счастливую жизнь с моим партнёром»[4].

Интересные факты

  • В Польше наряду с именем «Joanna» используется и имя «Asia» (произносится как «Аща»), считающееся уменьшительной формой имени «Joanna». Поэтому в Польше Йоанну довольно часто зовут Ащей[119].
  • Впервые за руль автомобиля села в 26 лет, несмотря на то, что выросла и проживает в таком крупном мегаполисе как Варшава, поскольку, по её мнению, получить водительское удостоверение в Польше весьма трудно[5].
  • Среди браузеров предпочтение отдает Google Chrome:
Основная причина выбора - мне понравился его графический интерфейс, он работает быстро и поддерживает все эти скрипты, Flash и Бог знает, что там ещё — всё, что нужно для просмотра типичных новостных сайтов сегодня[3].
  • Признаётся, что любит поспать:
Лично для меня очень важно подремать после обеда. Я вообще не могу долго работать, если нормально не выспалась. Честно говоря, я даже день в офисе никогда не выдерживала[3].
  • Предпочитает итальянские рестораны и суши-бары[5].
  • Любит классическую музыку (скрипки, Вивальди, Паганини), а также спокойный джаз[5] (Smooth Jazz Cafe). Также слушает Queen[49].
  • Любимый фильм — вовсе не «Матрица», хотя Рутковская и смотрела его более трёх раз[49].
  • Говорит, что не может прожить без жевательной резинки и нескольких часов[4].
  • Группа хакеров «ZF0» (сокр. от Zero For 0wned) в пятом выпуске своего электронного журнала (он был опубликован 28 июля 2009 года) объявила Йоанну шарлатаном, попутно заявив, что официально добавили её в список объектов для троллинга, а также взломали её [www.invisiblethingslab.com/ сайт][120].

Напишите отзыв о статье "Рутковская, Йоанна"

Примечания

  1. Согласно польско-русской практической транскрипции. В некоторых русскоязычных источниках её имя записывается двойным транскрибированием (через англоязычный вариант) — Джоанна Рутковска.
  2. [invisiblethingslab.com/itl/Resources.html Invisible Things Lab — Resources] (англ.)
  3. 1 2 3 4 5 6 7 8 9 10 11 12 Дмитрий Чеканов. [www.thg.ru/network/joanna_rutkowska/onepage.html Интервью с Джоанной Ратковской: виртуализация, руткиты и гипервизоры] (рус.). Tom's Hardware (10 августа 2009 года). Проверено 14 декабря 2010. [www.webcitation.org/67H5iHCuY Архивировано из первоисточника 29 апреля 2012].
  4. 1 2 3 [www.itsec.ru/newstext.php?news_id=37328 Хакер Джоанна Рутковска]
  5. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 [www.darkreading.com/security/management/showArticle.jhtml?articleID=208804418 Black Hat Woman] (англ.)
  6. 1 2 3 [centrum.bezpieczenstwa.pl/content/view/1026/70/ Joanna Rutkowska — o sobie i bezpieczeństwie systemów operacyjnych] (польск.)
  7. 1 2 [www.eweek.com/c/a/Security/Rutkowska-AntiVirus-Software-Is-Ineffective/ Rutkowska: Anti-Virus Software Is Ineffective] (англ.)
  8. [www.invisiblethingslab.com/itl/About.html About the company] (англ.)
  9. [2007.confidence.org.pl/joanna-rutkowska?lp_lang_view=en CONFidence 2007 — konferencja bezpieczeństwo sytemów, ochrona fizyczna, security.Joanna Rutkowska] (англ.)
  10. 1 2 [www.blackhat.com/html/bh-usa-03/bh-usa-03-speakers.html#Jan%20K.%20Rutkowski Black Hat USA 2003 Topics and Speakers] (англ.)
  11. [web.archive.org/web/20040104030503/www.hivercon.com/conf/bio-rutkowski.htm Bio — Jan Rutkowski] (англ.)
  12. 1 2 [www.phrack.org/issues.html?issue=59&id=10#article Execution path analysis: finding kernel based rootkits] (англ.)
  13. [www.dataguard.no/bugtraq/2002_1/4362.html Bypassing Integrity Protection Driver (time vulnerability)] (англ.)
  14. [www.dataguard.no/bugtraq/2002_1/4638.html Another way to bypass Integrity Protection Driver ('subst' vuln)] (англ.)
  15. [craigchamberlain.com/library/malware/Advanced%20Windows%202000%20Rootkit%20Detection%20-%20Execution%20Path%20Analysis.pdf Advanced Windows 2000 Rootkits Detection] (англ.)
  16. [www.blackhat.com/html/bh-media-archives/bh-archives-2003.html Black Hat 2003 Multimedia Archives — Presentation, Audio and Video] (англ.)
  17. [www.blackhat.com/html/bh-usa-03/bh-usa-03-schedule.html Black Hat Briefings and Training USA 2003. Schedule] (англ.)
  18. [www.securitylab.ru/contest/212106.php Windows под прицелом]
  19. jkrutkowski@elka.pw.edu.pl
  20. 1 2 3 [www.rutkowska.yoyo.pl/ Who is Joanna Rutkowska?] (англ.)
  21. invisiblethings.org/papers/chameleon_concepts.pdf
  22. 1 2 3 4 5 [invisiblethings.org/papers.html Papers and conference presentations] (англ.)
  23. [rootkit.com/newsread.php?newsid=235 Bypassing Klister 0.4 With No Hooks or Running a Controlled Thread Scheduler] (англ.)
  24. [web.archive.org/web/20031228065324/www.hivercon.com/conf/archive03.htm HiverCon Security Conference. Archive] (англ.)
  25. [www.linuxsecurity.com/content/view/113843/151/ Hivercon 2003 Call For Papers — The Community’s Center for Security] (англ.)
  26. [lists.jammed.com/ISN/2003/08/0080.html HiverCon 2003 Corporate Security Conference Final Speaker Announcement] (англ.)
  27. [invisiblethings.org/papers/ITUnderground2004_Linux_kernel_backdoors.ppt Linux Kernel Backdoors And Their Detection] (англ.)
  28. [invisiblethings.org/papers/ITUnderground2004_Win_rtks_detection.ppt Rootkits Detection on Windows Systems] (англ.)
  29. [lists.immunitysec.com/pipermail/dailydave/2004-October/001015.html IT Underground trip report] (англ.)
  30. 1 2 3 4 5 6 7 8 9 [invisiblethings.org/newsarchive.html Invisiblethings.org. News archive] (англ.)
  31. [events.ccc.de/congress/2004/fahrplan/event/176.en.html Passive covert channels in the Linux kernel] (англ.)
  32. [video.google.com/videoplay?docid=1546524215434730686 Hide-And-Seek: Defining the Roadmap for Malware Detection on Windows] (англ.)
  33. [conference.hackinthebox.org/hitbsecconf2005kl/index.php?cat=1 Hack In The Box] (англ.)
  34. [conference.hackinthebox.org/hitbsecconf2005kl/?p=19 HITBSecConf2005 — Malaysia " Joanna Rutkowska] (англ.)
  35. [www.isecom.org/projects/omcd.shtml Open Methodologies for Compromise Detection] (англ.)
  36. [www.isecom.org Institute for Security and Open Methodologies]
  37. [lists.owasp.org/pipermail/owasp-nynjmetro/2005-September/000155.html (OWASP-NewJersey) Fw: (ISECOM-news) new project released — OMCD] (англ.)
  38. [www.blackhat.com/html/bh-federal-06/bh-fed-06-index.html Black Hat Federal 2006]
  39. [www.blackhat.com/html/bh-federal-06/bh-fed-06-speakers.html#Rutkowska Rootkit Hunting vs. Compromise Detection]
  40. [www.blackhat.com/html/bh-federal-06/bh-fed-06-schedule.html Black Hat Briefings Federal 2006 Schedule] (англ.)
  41. [www.microsoft.com/whdc/device/network/ndis/default.mspx Windows Network Driver Interface Specification] (англ.)
  42. [taosecurity.blogspot.com/2006/01/black-hat-federal-2006-wrap-up-part-3.html Black Hat Federal 2006 Wrap-Up, Part 3] (англ.)
  43. [www.it-defense.de/itdefense2006_de/pages/programm.html IT-Defense 2006]
  44. [www.it-defense.de/itdefense2006_de/pages/agenda.html IT-DEFENSE 2006 | AGENDA] (нем.)
  45. [www.it-defense.de/itdefense2006_de/pages/vortraege.html#rutkowska IT-DEFENSE 2006 | VORTRÄGE] (англ.)
  46. [theinvisiblethings.blogspot.com/2006/11/introducing-stealth-malware-taxonomy.html Introducing Stealth Malware Taxonomy] (англ.)
  47. [www.it-observer.com/stealth-malware-interview-with-joanna-rutkowska.html Stealth Malware: Interview with Joanna Rutkowska] (англ.)
  48. 1 2 [theinvisiblethings.blogspot.com/2006/06/introducing-blue-pill.html Introducing Blue Pill] (англ.)
  49. 1 2 3 4 [hack.pl/baza-wiedzy/wywiady/joanna-rutkowska-wywiad-dla-hackpl.html Joanna Rutkowska — wywiad dla HACK.pl] (польск.)
  50. [confidence.org.pl/2006/ CONFidence 2006]
  51. [theinvisiblethings.blogspot.com/2006/05/confidence-2006-trip-report.html CONFidence 2006 — trip report] (англ.)
  52. [confidence.org.pl/2006/materialy.html Materiały zgodnie z programem konferencji] (польск.)
  53. [theinvisiblethings.blogspot.com/2006/07/blue-pill-hype.html The Blue Pill Hype] (англ.)
  54. [www.syscan.org/archive.php?city=sg&yr=2006&pg=speaker About Speaker] (англ.)
  55. [www.syscan.org/archive.php?city=sg&yr=2006&pg=program Archive Program] (англ.)
  56. 1 2 [news.cnet.com/Microsoft-gets-good-reception-at-Black-Hat/2100-7355_3-6102068.html Microsoft gets good reception at Black Hat] (англ.)
  57. [news.cnet.com/Microsoft-to-lift-lid-on-hacker-conference/2100-7349_3-6050985.html Microsoft to lift lid on hacker conference] (англ.)
  58. [news.cnet.com/2100-7349_3-6102458.html Vista hacked at Black Hat] (англ.)
  59. [blogs.msdn.com/b/windowsvistasecurity/archive/2006/08/07/691441.aspx#comments Back From Black Hat] (англ.)
  60. [www.insidepro.com/kk/165/165r.shtml Blue pill/red pill - the matrix has windows longhorn] (рус.)
  61. 1 2 3 4 [bluepillproject.org/ Blue Pill Project] (англ.)
  62. [conference.hackinthebox.org/hitbsecconf2006kl/agenda.htm HITBSecConf2006 — Malaysia: CONFERENCE AGENDA] (англ.)
  63. [www.arnnet.com.au/article/33546/hitb_-_researcher_make_blue_pill_even_harder_detect/?fp=4&fpid=1382389953 HITB — Researcher to make Blue Pill even harder to detect] (англ.)
  64. [www.computerworld.com/s/article/9003548/At_hacker_conference_Microsoft_gets_credit_for_effort?taxonomyId=17&intsrc=kc_feat&taxonomyName=security At hacker conference, Microsoft gets credit for effort] (англ.)
  65. [www.darkreading.com/security/security-management/208804483/index.html Rutkowska Launches Own Startup] (англ.)
  66. [theinvisiblethings.blogspot.com/2010/05/evolution.html Evolution] (англ.)
  67. [www.computerra.ru/think/330110/ Железная леди] (рус.)
  68. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 [www.invisiblethingslab.com/itl/Events.html Events] (англ.)
  69. [www.nluug.nl/events/vj07/tijdschema.html Voorlopig tijdschema] (нид.)
  70. [www.nluug.nl/events/vj07/abstracts/1.html Virtualization — The Other Side of the Coin] (англ.)
  71. [2007.confidence.org.pl/agenda?lp_lang_view=pl CONFidence 2007 — konferencja bezpieczeństwo sytemów, ochrona fizyczna, security.Agenda] (польск.)
  72. [invisiblethings.org/events.html Past events] (англ.)
  73. [2007.confidence.org.pl/prezentacje?lp_lang_view=pl CONFidence 2007 — konferencja bezpieczeństwo sytemów, ochrona fizyczna, security.Prezentacje] (польск.)
  74. [www.infosecurityproject.com/2007/agenda.html The 8th Info-Security Conference 2007. Agenda] (англ.)
  75. [www.infosecurityproject.com/2007/speaker/joanna_rutkowska.html The 8th Info-Security Project. Ms. Joanna Rutkowska] (англ.)
  76. [www.itsec.ru/newstext.php?news_id=37044 Самая известная женщина-хакер выступит в Ростове-на-Дону в рамках CIO Summit Rostov]
  77. [www.blackhat.com/html/bh-usa-07/train-bh-usa-07-index.html Black Hat USA 2007 Training Sessions] (англ.)
  78. [www.blackhat.com/html/bh-usa-07/train-bh-us-07-jrk.html Understanding Stealth Malware] (англ.)
  79. [www.blackhat.com/html/bh-usa-07/bh-usa-07-schedule.html Black Hat Briefings and Training USA 2007. Shedule] (англ.)
  80. [www.blackhat.com/html/bh-usa-07/bh-usa-07-speakers.html#Rutkowska Black Hat USA 2007 Topics and Speakers] (англ.)
  81. [www.itsec.ru/newstext.php?news_id=37805 На Съезде IT-директоров рассказали о безопасности]
  82. [www.blackhat.com/presentations/bh-dc-07/Rutkowska/Presentation/bh-dc-07-Rutkowska-up.pdf Beyond The CPU: Defeating Hardware Based RAM Acquisition Tools]
  83. [www.h-online.com/newsticker/news/item/Xen-virtualisation-swallows-a-Blue-Pill-736839.html Xen virtualisation swallows a «Blue Pill»]
  84. [theinvisiblethings.blogspot.com/2008/04/rsa-absurd.html The RSA Absurd] (англ.)
  85. [2008.confidence.org.pl/speakers/ CONFidence 2008 — konferencja bezpieczeństwo sytemów, security.Speakers] (англ.)
  86. [2008.confidence.org.pl/joanna-rutkowska/?lp_lang_view=en CONFidence 2008 — konferencja bezpieczeństwo sytemów, security. Joanna Rutkowska] (англ.)
  87. [www.youtube.com/watch?v=zjwe5RvVrA0 Black Hat 2008: The Zen of Xen] (англ.)
  88. Joanna Rutkowska and Rafal Wojtczuk. Detecting & Preventing the Xen Hypervisor Subversions. Presented at Black Hat USA, Las Vegas, NV, USA, 2008 (англ.)
  89. Rafal Wojtczuk, Joanna Rutkowska, and Alexander Tereshkin. Xen 0wning Trilogy: code and demos. invisiblethingslab.com/resources/bh08/, 2008. (англ.)
  90. 1 2 3 [www.blackhat.com/presentations/bh-dc-09/Wojtczuk_Rutkowska/BlackHat-DC-09-Rutkowska-Attacking-Intel-TXT.zip Rafal Wojtczuk & Joanna Rutkowska — Attacking Intel Trusted Execution Technology] (англ.)
  91. [www.blackhat.com/html/bh-dc-09/bh-dc-09-main.html Black Hat DC Briefings 2009] (англ.)
  92. [www.blackhat.com/html/bh-dc-09/bh-dc-09-schedule.html Black Hat Briefings DC 2009 Schedule] (англ.)
  93. [www.ninjax.net/?p=22 Black Hat DC 2009 trip report] (англ.)
  94. [2009.confidence.org.pl/prelegenci CONFidence 2009 — konferencja bezpieczeństwo sytemów, security. Speakers] (англ.)
  95. [2009.confidence.org.pl/prelegenci/joanna-rutkowska CONFidence 2009 — konferencja bezpieczeństwo sytemów, security. Joanna Rutkowska] (англ.)
  96. [invisiblethings.org/papers/redpill.html Red Pill… or how to detect VMM using (almost) one CPU instruction] (англ.)
  97. [invisiblethings.org/tools/nushu/readme.txt NUSHU Passive Covert Channel in TCP ISN numbers. Readme] (англ.)
  98. [www.cl.cam.ac.uk/users/sjm217/papers/ih05coverttcp.pdf Embedding Covert Channels into TCP/IP] (англ.)
  99. [doi.ieeecomputersociety.org/10.1109/LCN.2005.92 Network Based Detection of Passive Covert Channels in TCP/IP] (англ.)
  100. 1 2 3 [invisiblethings.org/code.html Tools and proof-of-concept codes] (англ.)
  101. [invisiblethings.org/tools/flister.txt FLISTER — uncovering files hidden by Windows rootkits. Readme]  (англ.)
  102. 1 2 3 [shmalware.blogspot.com/2007/04/modern-arks-illusion-of-detection.html Modern ARKs — illusion of detection?] (англ.)
  103. [invisiblethings.org/tools/modGREPER/readme.txt modGREPER Readme] (англ.)
  104. [invisiblethings.org/tools/modGREPER/changelog.txt modGREPER changelog] (англ.)
  105. [invisiblethings.org/papers/hitb05_virginity_verifier.ppt System Virginity Verifier. Defining the Roadmap for Malware Detection on Windows System] at Hack In The Box Security Conference (англ.)
  106. 1 2 [invisiblethings.org/tools/svv/changelog.txt SVV changelog] (англ.)(в логе опечатка: версии 2.* выходили в 2006 году)
  107. [wireless.computerworld.pl/artykuly/50012_1/Polowanie.na.duchy.html Polowanie na duchy] (польск.)28-11-2005
  108. [invisiblethings.org/papers/rutkowska_bhfederal2006.ppt Rootkit Hunting vs. Compromise Detection] at Black Hat Federal 2006, 25 января 2006 (англ.)
  109. [theinvisiblethings.blogspot.com/2006/05/svv-source-code-made-public.html SVV Source Code Made Public!] (англ.)
  110. [www.eweek.com/c/a/Security/Rutkowska-AntiVirus-Software-Is-Ineffective/1/ Rutkowska: Anti-Virus Software Is Ineffective (page 2)] (англ.)
  111. 1 2 [www.securabit.com/2010/05/20/interview-with-joanna-rutkowska/ Interview with Joanna Rutkowska!] (англ.)
  112. [qubes-os.org/FAQ.html Qubes FAQ] (англ.)
  113. [www.qubes-os.org/trac/wiki/UserFaq Qubes User’s FAQ] (англ.)
  114. [www.qubes-os.org/trac/roadmap Roadmap — Qubes] (англ.)
  115. [habrahabr.ru/post/150927/ Qubes OS 1.0 / Хабрахабр]
  116. [theinvisiblethings.blogspot.com/2012/09/introducing-qubes-10.html The Invisible Things Lab’s blog: Introducing Qubes 1.0!]
  117. [www.eweek.com/article2/0,1895,2078362,00.asp Five Hackers Who Left a Mark on 2006] (англ.), Райан Нараин, eWeek.com
  118. [www.networkworld.com/slideshows/2010/041510-white-hat-hackers.html#slide9 12 «White Hat» hackers you should know] (англ.)
  119. [theinvisiblethings.blogspot.com/2007/05/invisible-things-lab-bitlockertpm.html Invisible Things Lab, Bitlocker/TPM bypassing and some conference thoughts] (англ.)
  120. [www.rec-sec.com/files/zf05.txt Zero For 0wned’s Summer of Hax] (англ.)

Ссылки

Сайты и блоги
  • [invisiblethings.org/ InvisibleThings] (англ.) — персональный сайт
  • [theinvisiblethings.blogspot.com/ InvisibleThings blog] (англ.)
  • [www.invisiblethingslab.com/ Invisible Things Lab] (англ.) — корпоративный сайт
Статьи
  • [www.xakep.ru/magazine/xa/113/080/1.asp Жанна Рутковская] — статья в журнале Хакер
Интервью
  • [www.net-security.org/article.php?id=1018 Interview with Joanna Rutkowska, security researcher] (англ.)
  • [www.osp.ru/cw/2007/27/4270974/ Свобода хакерского слова]
Прочее
  • [archive.is/20120713150917/news.com.com/2100-7349_3-6102458.html CNET news — Vista Hacked at Black Hat] (англ.)
  • [www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9002212&source=rss_topic85 Computerworld Security article] (англ.)
  • [rationalsecurity.typepad.com/blog/invisible_things/ An Open Letter to Joanna Rutkowska] (англ.)

Отрывок, характеризующий Рутковская, Йоанна

В каменном доме, на дворе с остатками разобранного забора, выбитыми частью рамами и стеклами, помещался госпиталь. Несколько перевязанных, бледных и опухших солдат ходили и сидели на дворе на солнушке.
Как только Ростов вошел в двери дома, его обхватил запах гниющего тела и больницы. На лестнице он встретил военного русского доктора с сигарою во рту. За доктором шел русский фельдшер.
– Не могу же я разорваться, – говорил доктор; – приходи вечерком к Макару Алексеевичу, я там буду. – Фельдшер что то еще спросил у него.
– Э! делай как знаешь! Разве не всё равно? – Доктор увидал подымающегося на лестницу Ростова.
– Вы зачем, ваше благородие? – сказал доктор. – Вы зачем? Или пуля вас не брала, так вы тифу набраться хотите? Тут, батюшка, дом прокаженных.
– Отчего? – спросил Ростов.
– Тиф, батюшка. Кто ни взойдет – смерть. Только мы двое с Макеевым (он указал на фельдшера) тут трепемся. Тут уж нашего брата докторов человек пять перемерло. Как поступит новенький, через недельку готов, – с видимым удовольствием сказал доктор. – Прусских докторов вызывали, так не любят союзники то наши.
Ростов объяснил ему, что он желал видеть здесь лежащего гусарского майора Денисова.
– Не знаю, не ведаю, батюшка. Ведь вы подумайте, у меня на одного три госпиталя, 400 больных слишком! Еще хорошо, прусские дамы благодетельницы нам кофе и корпию присылают по два фунта в месяц, а то бы пропали. – Он засмеялся. – 400, батюшка; а мне всё новеньких присылают. Ведь 400 есть? А? – обратился он к фельдшеру.
Фельдшер имел измученный вид. Он, видимо, с досадой дожидался, скоро ли уйдет заболтавшийся доктор.
– Майор Денисов, – повторил Ростов; – он под Молитеном ранен был.
– Кажется, умер. А, Макеев? – равнодушно спросил доктор у фельдшера.
Фельдшер однако не подтвердил слов доктора.
– Что он такой длинный, рыжеватый? – спросил доктор.
Ростов описал наружность Денисова.
– Был, был такой, – как бы радостно проговорил доктор, – этот должно быть умер, а впрочем я справлюсь, у меня списки были. Есть у тебя, Макеев?
– Списки у Макара Алексеича, – сказал фельдшер. – А пожалуйте в офицерские палаты, там сами увидите, – прибавил он, обращаясь к Ростову.
– Эх, лучше не ходить, батюшка, – сказал доктор: – а то как бы сами тут не остались. – Но Ростов откланялся доктору и попросил фельдшера проводить его.
– Не пенять же чур на меня, – прокричал доктор из под лестницы.
Ростов с фельдшером вошли в коридор. Больничный запах был так силен в этом темном коридоре, что Ростов схватился зa нос и должен был остановиться, чтобы собраться с силами и итти дальше. Направо отворилась дверь, и оттуда высунулся на костылях худой, желтый человек, босой и в одном белье.
Он, опершись о притолку, блестящими, завистливыми глазами поглядел на проходящих. Заглянув в дверь, Ростов увидал, что больные и раненые лежали там на полу, на соломе и шинелях.
– А можно войти посмотреть? – спросил Ростов.
– Что же смотреть? – сказал фельдшер. Но именно потому что фельдшер очевидно не желал впустить туда, Ростов вошел в солдатские палаты. Запах, к которому он уже успел придышаться в коридоре, здесь был еще сильнее. Запах этот здесь несколько изменился; он был резче, и чувствительно было, что отсюда то именно он и происходил.
В длинной комнате, ярко освещенной солнцем в большие окна, в два ряда, головами к стенам и оставляя проход по середине, лежали больные и раненые. Большая часть из них были в забытьи и не обратили вниманья на вошедших. Те, которые были в памяти, все приподнялись или подняли свои худые, желтые лица, и все с одним и тем же выражением надежды на помощь, упрека и зависти к чужому здоровью, не спуская глаз, смотрели на Ростова. Ростов вышел на середину комнаты, заглянул в соседние двери комнат с растворенными дверями, и с обеих сторон увидал то же самое. Он остановился, молча оглядываясь вокруг себя. Он никак не ожидал видеть это. Перед самым им лежал почти поперек середняго прохода, на голом полу, больной, вероятно казак, потому что волосы его были обстрижены в скобку. Казак этот лежал навзничь, раскинув огромные руки и ноги. Лицо его было багрово красно, глаза совершенно закачены, так что видны были одни белки, и на босых ногах его и на руках, еще красных, жилы напружились как веревки. Он стукнулся затылком о пол и что то хрипло проговорил и стал повторять это слово. Ростов прислушался к тому, что он говорил, и разобрал повторяемое им слово. Слово это было: испить – пить – испить! Ростов оглянулся, отыскивая того, кто бы мог уложить на место этого больного и дать ему воды.
– Кто тут ходит за больными? – спросил он фельдшера. В это время из соседней комнаты вышел фурштадский солдат, больничный служитель, и отбивая шаг вытянулся перед Ростовым.
– Здравия желаю, ваше высокоблагородие! – прокричал этот солдат, выкатывая глаза на Ростова и, очевидно, принимая его за больничное начальство.
– Убери же его, дай ему воды, – сказал Ростов, указывая на казака.
– Слушаю, ваше высокоблагородие, – с удовольствием проговорил солдат, еще старательнее выкатывая глаза и вытягиваясь, но не трогаясь с места.
– Нет, тут ничего не сделаешь, – подумал Ростов, опустив глаза, и хотел уже выходить, но с правой стороны он чувствовал устремленный на себя значительный взгляд и оглянулся на него. Почти в самом углу на шинели сидел с желтым, как скелет, худым, строгим лицом и небритой седой бородой, старый солдат и упорно смотрел на Ростова. С одной стороны, сосед старого солдата что то шептал ему, указывая на Ростова. Ростов понял, что старик намерен о чем то просить его. Он подошел ближе и увидал, что у старика была согнута только одна нога, а другой совсем не было выше колена. Другой сосед старика, неподвижно лежавший с закинутой головой, довольно далеко от него, был молодой солдат с восковой бледностью на курносом, покрытом еще веснушками, лице и с закаченными под веки глазами. Ростов поглядел на курносого солдата, и мороз пробежал по его спине.
– Да ведь этот, кажется… – обратился он к фельдшеру.
– Уж как просили, ваше благородие, – сказал старый солдат с дрожанием нижней челюсти. – Еще утром кончился. Ведь тоже люди, а не собаки…
– Сейчас пришлю, уберут, уберут, – поспешно сказал фельдшер. – Пожалуйте, ваше благородие.
– Пойдем, пойдем, – поспешно сказал Ростов, и опустив глаза, и сжавшись, стараясь пройти незамеченным сквозь строй этих укоризненных и завистливых глаз, устремленных на него, он вышел из комнаты.


Пройдя коридор, фельдшер ввел Ростова в офицерские палаты, состоявшие из трех, с растворенными дверями, комнат. В комнатах этих были кровати; раненые и больные офицеры лежали и сидели на них. Некоторые в больничных халатах ходили по комнатам. Первое лицо, встретившееся Ростову в офицерских палатах, был маленький, худой человечек без руки, в колпаке и больничном халате с закушенной трубочкой, ходивший в первой комнате. Ростов, вглядываясь в него, старался вспомнить, где он его видел.
– Вот где Бог привел свидеться, – сказал маленький человек. – Тушин, Тушин, помните довез вас под Шенграбеном? А мне кусочек отрезали, вот… – сказал он, улыбаясь, показывая на пустой рукав халата. – Василья Дмитриевича Денисова ищете? – сожитель! – сказал он, узнав, кого нужно было Ростову. – Здесь, здесь и Тушин повел его в другую комнату, из которой слышался хохот нескольких голосов.
«И как они могут не только хохотать, но жить тут»? думал Ростов, всё слыша еще этот запах мертвого тела, которого он набрался еще в солдатском госпитале, и всё еще видя вокруг себя эти завистливые взгляды, провожавшие его с обеих сторон, и лицо этого молодого солдата с закаченными глазами.
Денисов, закрывшись с головой одеялом, спал не постели, несмотря на то, что был 12 й час дня.
– А, Г'остов? 3до'ово, здо'ово, – закричал он всё тем же голосом, как бывало и в полку; но Ростов с грустью заметил, как за этой привычной развязностью и оживленностью какое то новое дурное, затаенное чувство проглядывало в выражении лица, в интонациях и словах Денисова.
Рана его, несмотря на свою ничтожность, все еще не заживала, хотя уже прошло шесть недель, как он был ранен. В лице его была та же бледная опухлость, которая была на всех гошпитальных лицах. Но не это поразило Ростова; его поразило то, что Денисов как будто не рад был ему и неестественно ему улыбался. Денисов не расспрашивал ни про полк, ни про общий ход дела. Когда Ростов говорил про это, Денисов не слушал.
Ростов заметил даже, что Денисову неприятно было, когда ему напоминали о полке и вообще о той, другой, вольной жизни, которая шла вне госпиталя. Он, казалось, старался забыть ту прежнюю жизнь и интересовался только своим делом с провиантскими чиновниками. На вопрос Ростова, в каком положении было дело, он тотчас достал из под подушки бумагу, полученную из комиссии, и свой черновой ответ на нее. Он оживился, начав читать свою бумагу и особенно давал заметить Ростову колкости, которые он в этой бумаге говорил своим врагам. Госпитальные товарищи Денисова, окружившие было Ростова – вновь прибывшее из вольного света лицо, – стали понемногу расходиться, как только Денисов стал читать свою бумагу. По их лицам Ростов понял, что все эти господа уже не раз слышали всю эту успевшую им надоесть историю. Только сосед на кровати, толстый улан, сидел на своей койке, мрачно нахмурившись и куря трубку, и маленький Тушин без руки продолжал слушать, неодобрительно покачивая головой. В середине чтения улан перебил Денисова.
– А по мне, – сказал он, обращаясь к Ростову, – надо просто просить государя о помиловании. Теперь, говорят, награды будут большие, и верно простят…
– Мне просить государя! – сказал Денисов голосом, которому он хотел придать прежнюю энергию и горячность, но который звучал бесполезной раздражительностью. – О чем? Ежели бы я был разбойник, я бы просил милости, а то я сужусь за то, что вывожу на чистую воду разбойников. Пускай судят, я никого не боюсь: я честно служил царю, отечеству и не крал! И меня разжаловать, и… Слушай, я так прямо и пишу им, вот я пишу: «ежели бы я был казнокрад…
– Ловко написано, что и говорить, – сказал Тушин. Да не в том дело, Василий Дмитрич, – он тоже обратился к Ростову, – покориться надо, а вот Василий Дмитрич не хочет. Ведь аудитор говорил вам, что дело ваше плохо.
– Ну пускай будет плохо, – сказал Денисов. – Вам написал аудитор просьбу, – продолжал Тушин, – и надо подписать, да вот с ними и отправить. У них верно (он указал на Ростова) и рука в штабе есть. Уже лучше случая не найдете.
– Да ведь я сказал, что подличать не стану, – перебил Денисов и опять продолжал чтение своей бумаги.
Ростов не смел уговаривать Денисова, хотя он инстинктом чувствовал, что путь, предлагаемый Тушиным и другими офицерами, был самый верный, и хотя он считал бы себя счастливым, ежели бы мог оказать помощь Денисову: он знал непреклонность воли Денисова и его правдивую горячность.
Когда кончилось чтение ядовитых бумаг Денисова, продолжавшееся более часа, Ростов ничего не сказал, и в самом грустном расположении духа, в обществе опять собравшихся около него госпитальных товарищей Денисова, провел остальную часть дня, рассказывая про то, что он знал, и слушая рассказы других. Денисов мрачно молчал в продолжение всего вечера.
Поздно вечером Ростов собрался уезжать и спросил Денисова, не будет ли каких поручений?
– Да, постой, – сказал Денисов, оглянулся на офицеров и, достав из под подушки свои бумаги, пошел к окну, на котором у него стояла чернильница, и сел писать.
– Видно плетью обуха не пег'ешибешь, – сказал он, отходя от окна и подавая Ростову большой конверт. – Это была просьба на имя государя, составленная аудитором, в которой Денисов, ничего не упоминая о винах провиантского ведомства, просил только о помиловании.
– Передай, видно… – Он не договорил и улыбнулся болезненно фальшивой улыбкой.


Вернувшись в полк и передав командиру, в каком положении находилось дело Денисова, Ростов с письмом к государю поехал в Тильзит.
13 го июня, французский и русский императоры съехались в Тильзите. Борис Друбецкой просил важное лицо, при котором он состоял, о том, чтобы быть причислену к свите, назначенной состоять в Тильзите.
– Je voudrais voir le grand homme, [Я желал бы видеть великого человека,] – сказал он, говоря про Наполеона, которого он до сих пор всегда, как и все, называл Буонапарте.
– Vous parlez de Buonaparte? [Вы говорите про Буонапарта?] – сказал ему улыбаясь генерал.
Борис вопросительно посмотрел на своего генерала и тотчас же понял, что это было шуточное испытание.
– Mon prince, je parle de l'empereur Napoleon, [Князь, я говорю об императоре Наполеоне,] – отвечал он. Генерал с улыбкой потрепал его по плечу.
– Ты далеко пойдешь, – сказал он ему и взял с собою.
Борис в числе немногих был на Немане в день свидания императоров; он видел плоты с вензелями, проезд Наполеона по тому берегу мимо французской гвардии, видел задумчивое лицо императора Александра, в то время как он молча сидел в корчме на берегу Немана, ожидая прибытия Наполеона; видел, как оба императора сели в лодки и как Наполеон, приставши прежде к плоту, быстрыми шагами пошел вперед и, встречая Александра, подал ему руку, и как оба скрылись в павильоне. Со времени своего вступления в высшие миры, Борис сделал себе привычку внимательно наблюдать то, что происходило вокруг него и записывать. Во время свидания в Тильзите он расспрашивал об именах тех лиц, которые приехали с Наполеоном, о мундирах, которые были на них надеты, и внимательно прислушивался к словам, которые были сказаны важными лицами. В то самое время, как императоры вошли в павильон, он посмотрел на часы и не забыл посмотреть опять в то время, когда Александр вышел из павильона. Свидание продолжалось час и пятьдесят три минуты: он так и записал это в тот вечер в числе других фактов, которые, он полагал, имели историческое значение. Так как свита императора была очень небольшая, то для человека, дорожащего успехом по службе, находиться в Тильзите во время свидания императоров было делом очень важным, и Борис, попав в Тильзит, чувствовал, что с этого времени положение его совершенно утвердилось. Его не только знали, но к нему пригляделись и привыкли. Два раза он исполнял поручения к самому государю, так что государь знал его в лицо, и все приближенные не только не дичились его, как прежде, считая за новое лицо, но удивились бы, ежели бы его не было.
Борис жил с другим адъютантом, польским графом Жилинским. Жилинский, воспитанный в Париже поляк, был богат, страстно любил французов, и почти каждый день во время пребывания в Тильзите, к Жилинскому и Борису собирались на обеды и завтраки французские офицеры из гвардии и главного французского штаба.
24 го июня вечером, граф Жилинский, сожитель Бориса, устроил для своих знакомых французов ужин. На ужине этом был почетный гость, один адъютант Наполеона, несколько офицеров французской гвардии и молодой мальчик старой аристократической французской фамилии, паж Наполеона. В этот самый день Ростов, пользуясь темнотой, чтобы не быть узнанным, в статском платье, приехал в Тильзит и вошел в квартиру Жилинского и Бориса.
В Ростове, также как и во всей армии, из которой он приехал, еще далеко не совершился в отношении Наполеона и французов, из врагов сделавшихся друзьями, тот переворот, который произошел в главной квартире и в Борисе. Все еще продолжали в армии испытывать прежнее смешанное чувство злобы, презрения и страха к Бонапарте и французам. Еще недавно Ростов, разговаривая с Платовским казачьим офицером, спорил о том, что ежели бы Наполеон был взят в плен, с ним обратились бы не как с государем, а как с преступником. Еще недавно на дороге, встретившись с французским раненым полковником, Ростов разгорячился, доказывая ему, что не может быть мира между законным государем и преступником Бонапарте. Поэтому Ростова странно поразил в квартире Бориса вид французских офицеров в тех самых мундирах, на которые он привык совсем иначе смотреть из фланкерской цепи. Как только он увидал высунувшегося из двери французского офицера, это чувство войны, враждебности, которое он всегда испытывал при виде неприятеля, вдруг обхватило его. Он остановился на пороге и по русски спросил, тут ли живет Друбецкой. Борис, заслышав чужой голос в передней, вышел к нему навстречу. Лицо его в первую минуту, когда он узнал Ростова, выразило досаду.
– Ах это ты, очень рад, очень рад тебя видеть, – сказал он однако, улыбаясь и подвигаясь к нему. Но Ростов заметил первое его движение.
– Я не во время кажется, – сказал он, – я бы не приехал, но мне дело есть, – сказал он холодно…
– Нет, я только удивляюсь, как ты из полка приехал. – «Dans un moment je suis a vous», [Сию минуту я к твоим услугам,] – обратился он на голос звавшего его.
– Я вижу, что я не во время, – повторил Ростов.
Выражение досады уже исчезло на лице Бориса; видимо обдумав и решив, что ему делать, он с особенным спокойствием взял его за обе руки и повел в соседнюю комнату. Глаза Бориса, спокойно и твердо глядевшие на Ростова, были как будто застланы чем то, как будто какая то заслонка – синие очки общежития – были надеты на них. Так казалось Ростову.
– Ах полно, пожалуйста, можешь ли ты быть не во время, – сказал Борис. – Борис ввел его в комнату, где был накрыт ужин, познакомил с гостями, назвав его и объяснив, что он был не статский, но гусарский офицер, его старый приятель. – Граф Жилинский, le comte N.N., le capitaine S.S., [граф Н.Н., капитан С.С.] – называл он гостей. Ростов нахмуренно глядел на французов, неохотно раскланивался и молчал.
Жилинский, видимо, не радостно принял это новое русское лицо в свой кружок и ничего не сказал Ростову. Борис, казалось, не замечал происшедшего стеснения от нового лица и с тем же приятным спокойствием и застланностью в глазах, с которыми он встретил Ростова, старался оживить разговор. Один из французов обратился с обыкновенной французской учтивостью к упорно молчавшему Ростову и сказал ему, что вероятно для того, чтобы увидать императора, он приехал в Тильзит.
– Нет, у меня есть дело, – коротко ответил Ростов.
Ростов сделался не в духе тотчас же после того, как он заметил неудовольствие на лице Бориса, и, как всегда бывает с людьми, которые не в духе, ему казалось, что все неприязненно смотрят на него и что всем он мешает. И действительно он мешал всем и один оставался вне вновь завязавшегося общего разговора. «И зачем он сидит тут?» говорили взгляды, которые бросали на него гости. Он встал и подошел к Борису.
– Однако я тебя стесняю, – сказал он ему тихо, – пойдем, поговорим о деле, и я уйду.
– Да нет, нисколько, сказал Борис. А ежели ты устал, пойдем в мою комнатку и ложись отдохни.
– И в самом деле…
Они вошли в маленькую комнатку, где спал Борис. Ростов, не садясь, тотчас же с раздраженьем – как будто Борис был в чем нибудь виноват перед ним – начал ему рассказывать дело Денисова, спрашивая, хочет ли и может ли он просить о Денисове через своего генерала у государя и через него передать письмо. Когда они остались вдвоем, Ростов в первый раз убедился, что ему неловко было смотреть в глаза Борису. Борис заложив ногу на ногу и поглаживая левой рукой тонкие пальцы правой руки, слушал Ростова, как слушает генерал доклад подчиненного, то глядя в сторону, то с тою же застланностию во взгляде прямо глядя в глаза Ростову. Ростову всякий раз при этом становилось неловко и он опускал глаза.
– Я слыхал про такого рода дела и знаю, что Государь очень строг в этих случаях. Я думаю, надо бы не доводить до Его Величества. По моему, лучше бы прямо просить корпусного командира… Но вообще я думаю…
– Так ты ничего не хочешь сделать, так и скажи! – закричал почти Ростов, не глядя в глаза Борису.
Борис улыбнулся: – Напротив, я сделаю, что могу, только я думал…
В это время в двери послышался голос Жилинского, звавший Бориса.
– Ну иди, иди, иди… – сказал Ростов и отказавшись от ужина, и оставшись один в маленькой комнатке, он долго ходил в ней взад и вперед, и слушал веселый французский говор из соседней комнаты.


Ростов приехал в Тильзит в день, менее всего удобный для ходатайства за Денисова. Самому ему нельзя было итти к дежурному генералу, так как он был во фраке и без разрешения начальства приехал в Тильзит, а Борис, ежели даже и хотел, не мог сделать этого на другой день после приезда Ростова. В этот день, 27 го июня, были подписаны первые условия мира. Императоры поменялись орденами: Александр получил Почетного легиона, а Наполеон Андрея 1 й степени, и в этот день был назначен обед Преображенскому батальону, который давал ему батальон французской гвардии. Государи должны были присутствовать на этом банкете.
Ростову было так неловко и неприятно с Борисом, что, когда после ужина Борис заглянул к нему, он притворился спящим и на другой день рано утром, стараясь не видеть его, ушел из дома. Во фраке и круглой шляпе Николай бродил по городу, разглядывая французов и их мундиры, разглядывая улицы и дома, где жили русский и французский императоры. На площади он видел расставляемые столы и приготовления к обеду, на улицах видел перекинутые драпировки с знаменами русских и французских цветов и огромные вензеля А. и N. В окнах домов были тоже знамена и вензеля.
«Борис не хочет помочь мне, да и я не хочу обращаться к нему. Это дело решенное – думал Николай – между нами всё кончено, но я не уеду отсюда, не сделав всё, что могу для Денисова и главное не передав письма государю. Государю?!… Он тут!» думал Ростов, подходя невольно опять к дому, занимаемому Александром.
У дома этого стояли верховые лошади и съезжалась свита, видимо приготовляясь к выезду государя.
«Всякую минуту я могу увидать его, – думал Ростов. Если бы только я мог прямо передать ему письмо и сказать всё, неужели меня бы арестовали за фрак? Не может быть! Он бы понял, на чьей стороне справедливость. Он всё понимает, всё знает. Кто же может быть справедливее и великодушнее его? Ну, да ежели бы меня и арестовали бы за то, что я здесь, что ж за беда?» думал он, глядя на офицера, всходившего в дом, занимаемый государем. «Ведь вот всходят же. – Э! всё вздор. Пойду и подам сам письмо государю: тем хуже будет для Друбецкого, который довел меня до этого». И вдруг, с решительностью, которой он сам не ждал от себя, Ростов, ощупав письмо в кармане, пошел прямо к дому, занимаемому государем.
«Нет, теперь уже не упущу случая, как после Аустерлица, думал он, ожидая всякую секунду встретить государя и чувствуя прилив крови к сердцу при этой мысли. Упаду в ноги и буду просить его. Он поднимет, выслушает и еще поблагодарит меня». «Я счастлив, когда могу сделать добро, но исправить несправедливость есть величайшее счастье», воображал Ростов слова, которые скажет ему государь. И он пошел мимо любопытно смотревших на него, на крыльцо занимаемого государем дома.
С крыльца широкая лестница вела прямо наверх; направо видна была затворенная дверь. Внизу под лестницей была дверь в нижний этаж.
– Кого вам? – спросил кто то.
– Подать письмо, просьбу его величеству, – сказал Николай с дрожанием голоса.
– Просьба – к дежурному, пожалуйте сюда (ему указали на дверь внизу). Только не примут.
Услыхав этот равнодушный голос, Ростов испугался того, что он делал; мысль встретить всякую минуту государя так соблазнительна и оттого так страшна была для него, что он готов был бежать, но камер фурьер, встретивший его, отворил ему дверь в дежурную и Ростов вошел.
Невысокий полный человек лет 30, в белых панталонах, ботфортах и в одной, видно только что надетой, батистовой рубашке, стоял в этой комнате; камердинер застегивал ему сзади шитые шелком прекрасные новые помочи, которые почему то заметил Ростов. Человек этот разговаривал с кем то бывшим в другой комнате.
– Bien faite et la beaute du diable, [Хорошо сложена и красота молодости,] – говорил этот человек и увидав Ростова перестал говорить и нахмурился.
– Что вам угодно? Просьба?…
– Qu'est ce que c'est? [Что это?] – спросил кто то из другой комнаты.
– Encore un petitionnaire, [Еще один проситель,] – отвечал человек в помочах.
– Скажите ему, что после. Сейчас выйдет, надо ехать.
– После, после, завтра. Поздно…
Ростов повернулся и хотел выйти, но человек в помочах остановил его.
– От кого? Вы кто?
– От майора Денисова, – отвечал Ростов.
– Вы кто? офицер?
– Поручик, граф Ростов.
– Какая смелость! По команде подайте. А сами идите, идите… – И он стал надевать подаваемый камердинером мундир.
Ростов вышел опять в сени и заметил, что на крыльце было уже много офицеров и генералов в полной парадной форме, мимо которых ему надо было пройти.
Проклиная свою смелость, замирая от мысли, что всякую минуту он может встретить государя и при нем быть осрамлен и выслан под арест, понимая вполне всю неприличность своего поступка и раскаиваясь в нем, Ростов, опустив глаза, пробирался вон из дома, окруженного толпой блестящей свиты, когда чей то знакомый голос окликнул его и чья то рука остановила его.
– Вы, батюшка, что тут делаете во фраке? – спросил его басистый голос.
Это был кавалерийский генерал, в эту кампанию заслуживший особенную милость государя, бывший начальник дивизии, в которой служил Ростов.
Ростов испуганно начал оправдываться, но увидав добродушно шутливое лицо генерала, отойдя к стороне, взволнованным голосом передал ему всё дело, прося заступиться за известного генералу Денисова. Генерал выслушав Ростова серьезно покачал головой.
– Жалко, жалко молодца; давай письмо.
Едва Ростов успел передать письмо и рассказать всё дело Денисова, как с лестницы застучали быстрые шаги со шпорами и генерал, отойдя от него, подвинулся к крыльцу. Господа свиты государя сбежали с лестницы и пошли к лошадям. Берейтор Эне, тот самый, который был в Аустерлице, подвел лошадь государя, и на лестнице послышался легкий скрип шагов, которые сейчас узнал Ростов. Забыв опасность быть узнанным, Ростов подвинулся с несколькими любопытными из жителей к самому крыльцу и опять, после двух лет, он увидал те же обожаемые им черты, то же лицо, тот же взгляд, ту же походку, то же соединение величия и кротости… И чувство восторга и любви к государю с прежнею силою воскресло в душе Ростова. Государь в Преображенском мундире, в белых лосинах и высоких ботфортах, с звездой, которую не знал Ростов (это была legion d'honneur) [звезда почетного легиона] вышел на крыльцо, держа шляпу под рукой и надевая перчатку. Он остановился, оглядываясь и всё освещая вокруг себя своим взглядом. Кое кому из генералов он сказал несколько слов. Он узнал тоже бывшего начальника дивизии Ростова, улыбнулся ему и подозвал его к себе.
Вся свита отступила, и Ростов видел, как генерал этот что то довольно долго говорил государю.
Государь сказал ему несколько слов и сделал шаг, чтобы подойти к лошади. Опять толпа свиты и толпа улицы, в которой был Ростов, придвинулись к государю. Остановившись у лошади и взявшись рукою за седло, государь обратился к кавалерийскому генералу и сказал громко, очевидно с желанием, чтобы все слышали его.
– Не могу, генерал, и потому не могу, что закон сильнее меня, – сказал государь и занес ногу в стремя. Генерал почтительно наклонил голову, государь сел и поехал галопом по улице. Ростов, не помня себя от восторга, с толпою побежал за ним.


На площади куда поехал государь, стояли лицом к лицу справа батальон преображенцев, слева батальон французской гвардии в медвежьих шапках.
В то время как государь подъезжал к одному флангу баталионов, сделавших на караул, к противоположному флангу подскакивала другая толпа всадников и впереди их Ростов узнал Наполеона. Это не мог быть никто другой. Он ехал галопом в маленькой шляпе, с Андреевской лентой через плечо, в раскрытом над белым камзолом синем мундире, на необыкновенно породистой арабской серой лошади, на малиновом, золотом шитом, чепраке. Подъехав к Александру, он приподнял шляпу и при этом движении кавалерийский глаз Ростова не мог не заметить, что Наполеон дурно и не твердо сидел на лошади. Батальоны закричали: Ура и Vive l'Empereur! [Да здравствует Император!] Наполеон что то сказал Александру. Оба императора слезли с лошадей и взяли друг друга за руки. На лице Наполеона была неприятно притворная улыбка. Александр с ласковым выражением что то говорил ему.
Ростов не спуская глаз, несмотря на топтание лошадьми французских жандармов, осаживавших толпу, следил за каждым движением императора Александра и Бонапарте. Его, как неожиданность, поразило то, что Александр держал себя как равный с Бонапарте, и что Бонапарте совершенно свободно, как будто эта близость с государем естественна и привычна ему, как равный, обращался с русским царем.
Александр и Наполеон с длинным хвостом свиты подошли к правому флангу Преображенского батальона, прямо на толпу, которая стояла тут. Толпа очутилась неожиданно так близко к императорам, что Ростову, стоявшему в передних рядах ее, стало страшно, как бы его не узнали.
– Sire, je vous demande la permission de donner la legion d'honneur au plus brave de vos soldats, [Государь, я прошу у вас позволенья дать орден Почетного легиона храбрейшему из ваших солдат,] – сказал резкий, точный голос, договаривающий каждую букву. Это говорил малый ростом Бонапарте, снизу прямо глядя в глаза Александру. Александр внимательно слушал то, что ему говорили, и наклонив голову, приятно улыбнулся.
– A celui qui s'est le plus vaillament conduit dans cette derieniere guerre, [Тому, кто храбрее всех показал себя во время войны,] – прибавил Наполеон, отчеканивая каждый слог, с возмутительным для Ростова спокойствием и уверенностью оглядывая ряды русских, вытянувшихся перед ним солдат, всё держащих на караул и неподвижно глядящих в лицо своего императора.
– Votre majeste me permettra t elle de demander l'avis du colonel? [Ваше Величество позволит ли мне спросить мнение полковника?] – сказал Александр и сделал несколько поспешных шагов к князю Козловскому, командиру батальона. Бонапарте стал между тем снимать перчатку с белой, маленькой руки и разорвав ее, бросил. Адъютант, сзади торопливо бросившись вперед, поднял ее.
– Кому дать? – не громко, по русски спросил император Александр у Козловского.
– Кому прикажете, ваше величество? – Государь недовольно поморщился и, оглянувшись, сказал:
– Да ведь надобно же отвечать ему.
Козловский с решительным видом оглянулся на ряды и в этом взгляде захватил и Ростова.
«Уж не меня ли?» подумал Ростов.
– Лазарев! – нахмурившись прокомандовал полковник; и первый по ранжиру солдат, Лазарев, бойко вышел вперед.
– Куда же ты? Тут стой! – зашептали голоса на Лазарева, не знавшего куда ему итти. Лазарев остановился, испуганно покосившись на полковника, и лицо его дрогнуло, как это бывает с солдатами, вызываемыми перед фронт.
Наполеон чуть поворотил голову назад и отвел назад свою маленькую пухлую ручку, как будто желая взять что то. Лица его свиты, догадавшись в ту же секунду в чем дело, засуетились, зашептались, передавая что то один другому, и паж, тот самый, которого вчера видел Ростов у Бориса, выбежал вперед и почтительно наклонившись над протянутой рукой и не заставив ее дожидаться ни одной секунды, вложил в нее орден на красной ленте. Наполеон, не глядя, сжал два пальца. Орден очутился между ними. Наполеон подошел к Лазареву, который, выкатывая глаза, упорно продолжал смотреть только на своего государя, и оглянулся на императора Александра, показывая этим, что то, что он делал теперь, он делал для своего союзника. Маленькая белая рука с орденом дотронулась до пуговицы солдата Лазарева. Как будто Наполеон знал, что для того, чтобы навсегда этот солдат был счастлив, награжден и отличен от всех в мире, нужно было только, чтобы его, Наполеонова рука, удостоила дотронуться до груди солдата. Наполеон только прило жил крест к груди Лазарева и, пустив руку, обратился к Александру, как будто он знал, что крест должен прилипнуть к груди Лазарева. Крест действительно прилип.
Русские и французские услужливые руки, мгновенно подхватив крест, прицепили его к мундиру. Лазарев мрачно взглянул на маленького человечка, с белыми руками, который что то сделал над ним, и продолжая неподвижно держать на караул, опять прямо стал глядеть в глаза Александру, как будто он спрашивал Александра: всё ли еще ему стоять, или не прикажут ли ему пройтись теперь, или может быть еще что нибудь сделать? Но ему ничего не приказывали, и он довольно долго оставался в этом неподвижном состоянии.
Государи сели верхами и уехали. Преображенцы, расстроивая ряды, перемешались с французскими гвардейцами и сели за столы, приготовленные для них.
Лазарев сидел на почетном месте; его обнимали, поздравляли и жали ему руки русские и французские офицеры. Толпы офицеров и народа подходили, чтобы только посмотреть на Лазарева. Гул говора русского французского и хохота стоял на площади вокруг столов. Два офицера с раскрасневшимися лицами, веселые и счастливые прошли мимо Ростова.
– Каково, брат, угощенье? Всё на серебре, – сказал один. – Лазарева видел?
– Видел.
– Завтра, говорят, преображенцы их угащивать будут.
– Нет, Лазареву то какое счастье! 10 франков пожизненного пенсиона.
– Вот так шапка, ребята! – кричал преображенец, надевая мохнатую шапку француза.
– Чудо как хорошо, прелесть!
– Ты слышал отзыв? – сказал гвардейский офицер другому. Третьего дня было Napoleon, France, bravoure; [Наполеон, Франция, храбрость;] вчера Alexandre, Russie, grandeur; [Александр, Россия, величие;] один день наш государь дает отзыв, а другой день Наполеон. Завтра государь пошлет Георгия самому храброму из французских гвардейцев. Нельзя же! Должен ответить тем же.
Борис с своим товарищем Жилинским тоже пришел посмотреть на банкет преображенцев. Возвращаясь назад, Борис заметил Ростова, который стоял у угла дома.
– Ростов! здравствуй; мы и не видались, – сказал он ему, и не мог удержаться, чтобы не спросить у него, что с ним сделалось: так странно мрачно и расстроено было лицо Ростова.
– Ничего, ничего, – отвечал Ростов.
– Ты зайдешь?
– Да, зайду.
Ростов долго стоял у угла, издалека глядя на пирующих. В уме его происходила мучительная работа, которую он никак не мог довести до конца. В душе поднимались страшные сомнения. То ему вспоминался Денисов с своим изменившимся выражением, с своей покорностью и весь госпиталь с этими оторванными руками и ногами, с этой грязью и болезнями. Ему так живо казалось, что он теперь чувствует этот больничный запах мертвого тела, что он оглядывался, чтобы понять, откуда мог происходить этот запах. То ему вспоминался этот самодовольный Бонапарте с своей белой ручкой, который был теперь император, которого любит и уважает император Александр. Для чего же оторванные руки, ноги, убитые люди? То вспоминался ему награжденный Лазарев и Денисов, наказанный и непрощенный. Он заставал себя на таких странных мыслях, что пугался их.
Запах еды преображенцев и голод вызвали его из этого состояния: надо было поесть что нибудь, прежде чем уехать. Он пошел к гостинице, которую видел утром. В гостинице он застал так много народу, офицеров, так же как и он приехавших в статских платьях, что он насилу добился обеда. Два офицера одной с ним дивизии присоединились к нему. Разговор естественно зашел о мире. Офицеры, товарищи Ростова, как и большая часть армии, были недовольны миром, заключенным после Фридланда. Говорили, что еще бы подержаться, Наполеон бы пропал, что у него в войсках ни сухарей, ни зарядов уж не было. Николай молча ел и преимущественно пил. Он выпил один две бутылки вина. Внутренняя поднявшаяся в нем работа, не разрешаясь, всё также томила его. Он боялся предаваться своим мыслям и не мог отстать от них. Вдруг на слова одного из офицеров, что обидно смотреть на французов, Ростов начал кричать с горячностью, ничем не оправданною, и потому очень удивившею офицеров.
– И как вы можете судить, что было бы лучше! – закричал он с лицом, вдруг налившимся кровью. – Как вы можете судить о поступках государя, какое мы имеем право рассуждать?! Мы не можем понять ни цели, ни поступков государя!
– Да я ни слова не говорил о государе, – оправдывался офицер, не могший иначе как тем, что Ростов пьян, объяснить себе его вспыльчивости.
Но Ростов не слушал.
– Мы не чиновники дипломатические, а мы солдаты и больше ничего, – продолжал он. – Умирать велят нам – так умирать. А коли наказывают, так значит – виноват; не нам судить. Угодно государю императору признать Бонапарте императором и заключить с ним союз – значит так надо. А то, коли бы мы стали обо всем судить да рассуждать, так этак ничего святого не останется. Этак мы скажем, что ни Бога нет, ничего нет, – ударяя по столу кричал Николай, весьма некстати, по понятиям своих собеседников, но весьма последовательно по ходу своих мыслей.
– Наше дело исполнять свой долг, рубиться и не думать, вот и всё, – заключил он.
– И пить, – сказал один из офицеров, не желавший ссориться.
– Да, и пить, – подхватил Николай. – Эй ты! Еще бутылку! – крикнул он.



В 1808 году император Александр ездил в Эрфурт для нового свидания с императором Наполеоном, и в высшем Петербургском обществе много говорили о величии этого торжественного свидания.
В 1809 году близость двух властелинов мира, как называли Наполеона и Александра, дошла до того, что, когда Наполеон объявил в этом году войну Австрии, то русский корпус выступил за границу для содействия своему прежнему врагу Бонапарте против прежнего союзника, австрийского императора; до того, что в высшем свете говорили о возможности брака между Наполеоном и одной из сестер императора Александра. Но, кроме внешних политических соображений, в это время внимание русского общества с особенной живостью обращено было на внутренние преобразования, которые были производимы в это время во всех частях государственного управления.
Жизнь между тем, настоящая жизнь людей с своими существенными интересами здоровья, болезни, труда, отдыха, с своими интересами мысли, науки, поэзии, музыки, любви, дружбы, ненависти, страстей, шла как и всегда независимо и вне политической близости или вражды с Наполеоном Бонапарте, и вне всех возможных преобразований.
Князь Андрей безвыездно прожил два года в деревне. Все те предприятия по именьям, которые затеял у себя Пьер и не довел ни до какого результата, беспрестанно переходя от одного дела к другому, все эти предприятия, без выказыванья их кому бы то ни было и без заметного труда, были исполнены князем Андреем.
Он имел в высшей степени ту недостававшую Пьеру практическую цепкость, которая без размахов и усилий с его стороны давала движение делу.
Одно именье его в триста душ крестьян было перечислено в вольные хлебопашцы (это был один из первых примеров в России), в других барщина заменена оброком. В Богучарово была выписана на его счет ученая бабка для помощи родильницам, и священник за жалованье обучал детей крестьянских и дворовых грамоте.
Одну половину времени князь Андрей проводил в Лысых Горах с отцом и сыном, который был еще у нянек; другую половину времени в богучаровской обители, как называл отец его деревню. Несмотря на выказанное им Пьеру равнодушие ко всем внешним событиям мира, он усердно следил за ними, получал много книг, и к удивлению своему замечал, когда к нему или к отцу его приезжали люди свежие из Петербурга, из самого водоворота жизни, что эти люди, в знании всего совершающегося во внешней и внутренней политике, далеко отстали от него, сидящего безвыездно в деревне.
Кроме занятий по именьям, кроме общих занятий чтением самых разнообразных книг, князь Андрей занимался в это время критическим разбором наших двух последних несчастных кампаний и составлением проекта об изменении наших военных уставов и постановлений.
Весною 1809 года, князь Андрей поехал в рязанские именья своего сына, которого он был опекуном.
Пригреваемый весенним солнцем, он сидел в коляске, поглядывая на первую траву, первые листья березы и первые клубы белых весенних облаков, разбегавшихся по яркой синеве неба. Он ни о чем не думал, а весело и бессмысленно смотрел по сторонам.
Проехали перевоз, на котором он год тому назад говорил с Пьером. Проехали грязную деревню, гумны, зеленя, спуск, с оставшимся снегом у моста, подъём по размытой глине, полосы жнивья и зеленеющего кое где кустарника и въехали в березовый лес по обеим сторонам дороги. В лесу было почти жарко, ветру не слышно было. Береза вся обсеянная зелеными клейкими листьями, не шевелилась и из под прошлогодних листьев, поднимая их, вылезала зеленея первая трава и лиловые цветы. Рассыпанные кое где по березнику мелкие ели своей грубой вечной зеленью неприятно напоминали о зиме. Лошади зафыркали, въехав в лес и виднее запотели.
Лакей Петр что то сказал кучеру, кучер утвердительно ответил. Но видно Петру мало было сочувствования кучера: он повернулся на козлах к барину.
– Ваше сиятельство, лёгко как! – сказал он, почтительно улыбаясь.
– Что!
– Лёгко, ваше сиятельство.
«Что он говорит?» подумал князь Андрей. «Да, об весне верно, подумал он, оглядываясь по сторонам. И то зелено всё уже… как скоро! И береза, и черемуха, и ольха уж начинает… А дуб и не заметно. Да, вот он, дуб».
На краю дороги стоял дуб. Вероятно в десять раз старше берез, составлявших лес, он был в десять раз толще и в два раза выше каждой березы. Это был огромный в два обхвата дуб с обломанными, давно видно, суками и с обломанной корой, заросшей старыми болячками. С огромными своими неуклюжими, несимметрично растопыренными, корявыми руками и пальцами, он старым, сердитым и презрительным уродом стоял между улыбающимися березами. Только он один не хотел подчиняться обаянию весны и не хотел видеть ни весны, ни солнца.
«Весна, и любовь, и счастие!» – как будто говорил этот дуб, – «и как не надоест вам всё один и тот же глупый и бессмысленный обман. Всё одно и то же, и всё обман! Нет ни весны, ни солнца, ни счастия. Вон смотрите, сидят задавленные мертвые ели, всегда одинакие, и вон и я растопырил свои обломанные, ободранные пальцы, где ни выросли они – из спины, из боков; как выросли – так и стою, и не верю вашим надеждам и обманам».
Князь Андрей несколько раз оглянулся на этот дуб, проезжая по лесу, как будто он чего то ждал от него. Цветы и трава были и под дубом, но он всё так же, хмурясь, неподвижно, уродливо и упорно, стоял посреди их.
«Да, он прав, тысячу раз прав этот дуб, думал князь Андрей, пускай другие, молодые, вновь поддаются на этот обман, а мы знаем жизнь, – наша жизнь кончена!» Целый новый ряд мыслей безнадежных, но грустно приятных в связи с этим дубом, возник в душе князя Андрея. Во время этого путешествия он как будто вновь обдумал всю свою жизнь, и пришел к тому же прежнему успокоительному и безнадежному заключению, что ему начинать ничего было не надо, что он должен доживать свою жизнь, не делая зла, не тревожась и ничего не желая.


По опекунским делам рязанского именья, князю Андрею надо было видеться с уездным предводителем. Предводителем был граф Илья Андреич Ростов, и князь Андрей в середине мая поехал к нему.
Был уже жаркий период весны. Лес уже весь оделся, была пыль и было так жарко, что проезжая мимо воды, хотелось купаться.
Князь Андрей, невеселый и озабоченный соображениями о том, что и что ему нужно о делах спросить у предводителя, подъезжал по аллее сада к отрадненскому дому Ростовых. Вправо из за деревьев он услыхал женский, веселый крик, и увидал бегущую на перерез его коляски толпу девушек. Впереди других ближе, подбегала к коляске черноволосая, очень тоненькая, странно тоненькая, черноглазая девушка в желтом ситцевом платье, повязанная белым носовым платком, из под которого выбивались пряди расчесавшихся волос. Девушка что то кричала, но узнав чужого, не взглянув на него, со смехом побежала назад.
Князю Андрею вдруг стало от чего то больно. День был так хорош, солнце так ярко, кругом всё так весело; а эта тоненькая и хорошенькая девушка не знала и не хотела знать про его существование и была довольна, и счастлива какой то своей отдельной, – верно глупой – но веселой и счастливой жизнию. «Чему она так рада? о чем она думает! Не об уставе военном, не об устройстве рязанских оброчных. О чем она думает? И чем она счастлива?» невольно с любопытством спрашивал себя князь Андрей.
Граф Илья Андреич в 1809 м году жил в Отрадном всё так же как и прежде, то есть принимая почти всю губернию, с охотами, театрами, обедами и музыкантами. Он, как всякому новому гостю, был рад князю Андрею, и почти насильно оставил его ночевать.
В продолжение скучного дня, во время которого князя Андрея занимали старшие хозяева и почетнейшие из гостей, которыми по случаю приближающихся именин был полон дом старого графа, Болконский несколько раз взглядывая на Наташу чему то смеявшуюся и веселившуюся между другой молодой половиной общества, всё спрашивал себя: «о чем она думает? Чему она так рада!».
Вечером оставшись один на новом месте, он долго не мог заснуть. Он читал, потом потушил свечу и опять зажег ее. В комнате с закрытыми изнутри ставнями было жарко. Он досадовал на этого глупого старика (так он называл Ростова), который задержал его, уверяя, что нужные бумаги в городе, не доставлены еще, досадовал на себя за то, что остался.
Князь Андрей встал и подошел к окну, чтобы отворить его. Как только он открыл ставни, лунный свет, как будто он настороже у окна давно ждал этого, ворвался в комнату. Он отворил окно. Ночь была свежая и неподвижно светлая. Перед самым окном был ряд подстриженных дерев, черных с одной и серебристо освещенных с другой стороны. Под деревами была какая то сочная, мокрая, кудрявая растительность с серебристыми кое где листьями и стеблями. Далее за черными деревами была какая то блестящая росой крыша, правее большое кудрявое дерево, с ярко белым стволом и сучьями, и выше его почти полная луна на светлом, почти беззвездном, весеннем небе. Князь Андрей облокотился на окно и глаза его остановились на этом небе.
Комната князя Андрея была в среднем этаже; в комнатах над ним тоже жили и не спали. Он услыхал сверху женский говор.
– Только еще один раз, – сказал сверху женский голос, который сейчас узнал князь Андрей.
– Да когда же ты спать будешь? – отвечал другой голос.
– Я не буду, я не могу спать, что ж мне делать! Ну, последний раз…
Два женские голоса запели какую то музыкальную фразу, составлявшую конец чего то.
– Ах какая прелесть! Ну теперь спать, и конец.
– Ты спи, а я не могу, – отвечал первый голос, приблизившийся к окну. Она видимо совсем высунулась в окно, потому что слышно было шуршанье ее платья и даже дыханье. Всё затихло и окаменело, как и луна и ее свет и тени. Князь Андрей тоже боялся пошевелиться, чтобы не выдать своего невольного присутствия.
– Соня! Соня! – послышался опять первый голос. – Ну как можно спать! Да ты посмотри, что за прелесть! Ах, какая прелесть! Да проснись же, Соня, – сказала она почти со слезами в голосе. – Ведь этакой прелестной ночи никогда, никогда не бывало.
Соня неохотно что то отвечала.
– Нет, ты посмотри, что за луна!… Ах, какая прелесть! Ты поди сюда. Душенька, голубушка, поди сюда. Ну, видишь? Так бы вот села на корточки, вот так, подхватила бы себя под коленки, – туже, как можно туже – натужиться надо. Вот так!
– Полно, ты упадешь.
Послышалась борьба и недовольный голос Сони: «Ведь второй час».
– Ах, ты только всё портишь мне. Ну, иди, иди.
Опять всё замолкло, но князь Андрей знал, что она всё еще сидит тут, он слышал иногда тихое шевеленье, иногда вздохи.
– Ах… Боже мой! Боже мой! что ж это такое! – вдруг вскрикнула она. – Спать так спать! – и захлопнула окно.
«И дела нет до моего существования!» подумал князь Андрей в то время, как он прислушивался к ее говору, почему то ожидая и боясь, что она скажет что нибудь про него. – «И опять она! И как нарочно!» думал он. В душе его вдруг поднялась такая неожиданная путаница молодых мыслей и надежд, противоречащих всей его жизни, что он, чувствуя себя не в силах уяснить себе свое состояние, тотчас же заснул.


На другой день простившись только с одним графом, не дождавшись выхода дам, князь Андрей поехал домой.
Уже было начало июня, когда князь Андрей, возвращаясь домой, въехал опять в ту березовую рощу, в которой этот старый, корявый дуб так странно и памятно поразил его. Бубенчики еще глуше звенели в лесу, чем полтора месяца тому назад; всё было полно, тенисто и густо; и молодые ели, рассыпанные по лесу, не нарушали общей красоты и, подделываясь под общий характер, нежно зеленели пушистыми молодыми побегами.
Целый день был жаркий, где то собиралась гроза, но только небольшая тучка брызнула на пыль дороги и на сочные листья. Левая сторона леса была темна, в тени; правая мокрая, глянцовитая блестела на солнце, чуть колыхаясь от ветра. Всё было в цвету; соловьи трещали и перекатывались то близко, то далеко.
«Да, здесь, в этом лесу был этот дуб, с которым мы были согласны», подумал князь Андрей. «Да где он», подумал опять князь Андрей, глядя на левую сторону дороги и сам того не зная, не узнавая его, любовался тем дубом, которого он искал. Старый дуб, весь преображенный, раскинувшись шатром сочной, темной зелени, млел, чуть колыхаясь в лучах вечернего солнца. Ни корявых пальцев, ни болячек, ни старого недоверия и горя, – ничего не было видно. Сквозь жесткую, столетнюю кору пробились без сучков сочные, молодые листья, так что верить нельзя было, что этот старик произвел их. «Да, это тот самый дуб», подумал князь Андрей, и на него вдруг нашло беспричинное, весеннее чувство радости и обновления. Все лучшие минуты его жизни вдруг в одно и то же время вспомнились ему. И Аустерлиц с высоким небом, и мертвое, укоризненное лицо жены, и Пьер на пароме, и девочка, взволнованная красотою ночи, и эта ночь, и луна, – и всё это вдруг вспомнилось ему.
«Нет, жизнь не кончена в 31 год, вдруг окончательно, беспеременно решил князь Андрей. Мало того, что я знаю всё то, что есть во мне, надо, чтобы и все знали это: и Пьер, и эта девочка, которая хотела улететь в небо, надо, чтобы все знали меня, чтобы не для одного меня шла моя жизнь, чтоб не жили они так независимо от моей жизни, чтоб на всех она отражалась и чтобы все они жили со мною вместе!»

Возвратившись из своей поездки, князь Андрей решился осенью ехать в Петербург и придумал разные причины этого решенья. Целый ряд разумных, логических доводов, почему ему необходимо ехать в Петербург и даже служить, ежеминутно был готов к его услугам. Он даже теперь не понимал, как мог он когда нибудь сомневаться в необходимости принять деятельное участие в жизни, точно так же как месяц тому назад он не понимал, как могла бы ему притти мысль уехать из деревни. Ему казалось ясно, что все его опыты жизни должны были пропасть даром и быть бессмыслицей, ежели бы он не приложил их к делу и не принял опять деятельного участия в жизни. Он даже не понимал того, как на основании таких же бедных разумных доводов прежде очевидно было, что он бы унизился, ежели бы теперь после своих уроков жизни опять бы поверил в возможность приносить пользу и в возможность счастия и любви. Теперь разум подсказывал совсем другое. После этой поездки князь Андрей стал скучать в деревне, прежние занятия не интересовали его, и часто, сидя один в своем кабинете, он вставал, подходил к зеркалу и долго смотрел на свое лицо. Потом он отворачивался и смотрел на портрет покойницы Лизы, которая с взбитыми a la grecque [по гречески] буклями нежно и весело смотрела на него из золотой рамки. Она уже не говорила мужу прежних страшных слов, она просто и весело с любопытством смотрела на него. И князь Андрей, заложив назад руки, долго ходил по комнате, то хмурясь, то улыбаясь, передумывая те неразумные, невыразимые словом, тайные как преступление мысли, связанные с Пьером, с славой, с девушкой на окне, с дубом, с женской красотой и любовью, которые изменили всю его жизнь. И в эти то минуты, когда кто входил к нему, он бывал особенно сух, строго решителен и в особенности неприятно логичен.
– Mon cher, [Дорогой мой,] – бывало скажет входя в такую минуту княжна Марья, – Николушке нельзя нынче гулять: очень холодно.
– Ежели бы было тепло, – в такие минуты особенно сухо отвечал князь Андрей своей сестре, – то он бы пошел в одной рубашке, а так как холодно, надо надеть на него теплую одежду, которая для этого и выдумана. Вот что следует из того, что холодно, а не то чтобы оставаться дома, когда ребенку нужен воздух, – говорил он с особенной логичностью, как бы наказывая кого то за всю эту тайную, нелогичную, происходившую в нем, внутреннюю работу. Княжна Марья думала в этих случаях о том, как сушит мужчин эта умственная работа.


Князь Андрей приехал в Петербург в августе 1809 года. Это было время апогея славы молодого Сперанского и энергии совершаемых им переворотов. В этом самом августе, государь, ехав в коляске, был вывален, повредил себе ногу, и оставался в Петергофе три недели, видаясь ежедневно и исключительно со Сперанским. В это время готовились не только два столь знаменитые и встревожившие общество указа об уничтожении придворных чинов и об экзаменах на чины коллежских асессоров и статских советников, но и целая государственная конституция, долженствовавшая изменить существующий судебный, административный и финансовый порядок управления России от государственного совета до волостного правления. Теперь осуществлялись и воплощались те неясные, либеральные мечтания, с которыми вступил на престол император Александр, и которые он стремился осуществить с помощью своих помощников Чарторижского, Новосильцева, Кочубея и Строгонова, которых он сам шутя называл comite du salut publique. [комитет общественного спасения.]
Теперь всех вместе заменил Сперанский по гражданской части и Аракчеев по военной. Князь Андрей вскоре после приезда своего, как камергер, явился ко двору и на выход. Государь два раза, встретив его, не удостоил его ни одним словом. Князю Андрею всегда еще прежде казалось, что он антипатичен государю, что государю неприятно его лицо и всё существо его. В сухом, отдаляющем взгляде, которым посмотрел на него государь, князь Андрей еще более чем прежде нашел подтверждение этому предположению. Придворные объяснили князю Андрею невнимание к нему государя тем, что Его Величество был недоволен тем, что Болконский не служил с 1805 года.
«Я сам знаю, как мы не властны в своих симпатиях и антипатиях, думал князь Андрей, и потому нечего думать о том, чтобы представить лично мою записку о военном уставе государю, но дело будет говорить само за себя». Он передал о своей записке старому фельдмаршалу, другу отца. Фельдмаршал, назначив ему час, ласково принял его и обещался доложить государю. Через несколько дней было объявлено князю Андрею, что он имеет явиться к военному министру, графу Аракчееву.
В девять часов утра, в назначенный день, князь Андрей явился в приемную к графу Аракчееву.
Лично князь Андрей не знал Аракчеева и никогда не видал его, но всё, что он знал о нем, мало внушало ему уважения к этому человеку.
«Он – военный министр, доверенное лицо государя императора; никому не должно быть дела до его личных свойств; ему поручено рассмотреть мою записку, следовательно он один и может дать ход ей», думал князь Андрей, дожидаясь в числе многих важных и неважных лиц в приемной графа Аракчеева.
Князь Андрей во время своей, большей частью адъютантской, службы много видел приемных важных лиц и различные характеры этих приемных были для него очень ясны. У графа Аракчеева был совершенно особенный характер приемной. На неважных лицах, ожидающих очереди аудиенции в приемной графа Аракчеева, написано было чувство пристыженности и покорности; на более чиновных лицах выражалось одно общее чувство неловкости, скрытое под личиной развязности и насмешки над собою, над своим положением и над ожидаемым лицом. Иные задумчиво ходили взад и вперед, иные шепчась смеялись, и князь Андрей слышал sobriquet [насмешливое прозвище] Силы Андреича и слова: «дядя задаст», относившиеся к графу Аракчееву. Один генерал (важное лицо) видимо оскорбленный тем, что должен был так долго ждать, сидел перекладывая ноги и презрительно сам с собой улыбаясь.
Но как только растворялась дверь, на всех лицах выражалось мгновенно только одно – страх. Князь Андрей попросил дежурного другой раз доложить о себе, но на него посмотрели с насмешкой и сказали, что его черед придет в свое время. После нескольких лиц, введенных и выведенных адъютантом из кабинета министра, в страшную дверь был впущен офицер, поразивший князя Андрея своим униженным и испуганным видом. Аудиенция офицера продолжалась долго. Вдруг послышались из за двери раскаты неприятного голоса, и бледный офицер, с трясущимися губами, вышел оттуда, и схватив себя за голову, прошел через приемную.
Вслед за тем князь Андрей был подведен к двери, и дежурный шопотом сказал: «направо, к окну».
Князь Андрей вошел в небогатый опрятный кабинет и у стола увидал cорокалетнего человека с длинной талией, с длинной, коротко обстриженной головой и толстыми морщинами, с нахмуренными бровями над каре зелеными тупыми глазами и висячим красным носом. Аракчеев поворотил к нему голову, не глядя на него.
– Вы чего просите? – спросил Аракчеев.
– Я ничего не… прошу, ваше сиятельство, – тихо проговорил князь Андрей. Глаза Аракчеева обратились на него.
– Садитесь, – сказал Аракчеев, – князь Болконский?
– Я ничего не прошу, а государь император изволил переслать к вашему сиятельству поданную мною записку…
– Изволите видеть, мой любезнейший, записку я вашу читал, – перебил Аракчеев, только первые слова сказав ласково, опять не глядя ему в лицо и впадая всё более и более в ворчливо презрительный тон. – Новые законы военные предлагаете? Законов много, исполнять некому старых. Нынче все законы пишут, писать легче, чем делать.
– Я приехал по воле государя императора узнать у вашего сиятельства, какой ход вы полагаете дать поданной записке? – сказал учтиво князь Андрей.
– На записку вашу мной положена резолюция и переслана в комитет. Я не одобряю, – сказал Аракчеев, вставая и доставая с письменного стола бумагу. – Вот! – он подал князю Андрею.
На бумаге поперег ее, карандашом, без заглавных букв, без орфографии, без знаков препинания, было написано: «неосновательно составлено понеже как подражание списано с французского военного устава и от воинского артикула без нужды отступающего».
– В какой же комитет передана записка? – спросил князь Андрей.
– В комитет о воинском уставе, и мною представлено о зачислении вашего благородия в члены. Только без жалованья.
Князь Андрей улыбнулся.
– Я и не желаю.
– Без жалованья членом, – повторил Аракчеев. – Имею честь. Эй, зови! Кто еще? – крикнул он, кланяясь князю Андрею.


Ожидая уведомления о зачислении его в члены комитета, князь Андрей возобновил старые знакомства особенно с теми лицами, которые, он знал, были в силе и могли быть нужны ему. Он испытывал теперь в Петербурге чувство, подобное тому, какое он испытывал накануне сражения, когда его томило беспокойное любопытство и непреодолимо тянуло в высшие сферы, туда, где готовилось будущее, от которого зависели судьбы миллионов. Он чувствовал по озлоблению стариков, по любопытству непосвященных, по сдержанности посвященных, по торопливости, озабоченности всех, по бесчисленному количеству комитетов, комиссий, о существовании которых он вновь узнавал каждый день, что теперь, в 1809 м году, готовилось здесь, в Петербурге, какое то огромное гражданское сражение, которого главнокомандующим было неизвестное ему, таинственное и представлявшееся ему гениальным, лицо – Сперанский. И самое ему смутно известное дело преобразования, и Сперанский – главный деятель, начинали так страстно интересовать его, что дело воинского устава очень скоро стало переходить в сознании его на второстепенное место.
Князь Андрей находился в одном из самых выгодных положений для того, чтобы быть хорошо принятым во все самые разнообразные и высшие круги тогдашнего петербургского общества. Партия преобразователей радушно принимала и заманивала его, во первых потому, что он имел репутацию ума и большой начитанности, во вторых потому, что он своим отпущением крестьян на волю сделал уже себе репутацию либерала. Партия стариков недовольных, прямо как к сыну своего отца, обращалась к нему за сочувствием, осуждая преобразования. Женское общество, свет , радушно принимали его, потому что он был жених, богатый и знатный, и почти новое лицо с ореолом романической истории о его мнимой смерти и трагической кончине жены. Кроме того, общий голос о нем всех, которые знали его прежде, был тот, что он много переменился к лучшему в эти пять лет, смягчился и возмужал, что не было в нем прежнего притворства, гордости и насмешливости, и было то спокойствие, которое приобретается годами. О нем заговорили, им интересовались и все желали его видеть.
На другой день после посещения графа Аракчеева князь Андрей был вечером у графа Кочубея. Он рассказал графу свое свидание с Силой Андреичем (Кочубей так называл Аракчеева с той же неопределенной над чем то насмешкой, которую заметил князь Андрей в приемной военного министра).
– Mon cher, [Дорогой мой,] даже в этом деле вы не минуете Михаил Михайловича. C'est le grand faiseur. [Всё делается им.] Я скажу ему. Он обещался приехать вечером…
– Какое же дело Сперанскому до военных уставов? – спросил князь Андрей.
Кочубей, улыбнувшись, покачал головой, как бы удивляясь наивности Болконского.
– Мы с ним говорили про вас на днях, – продолжал Кочубей, – о ваших вольных хлебопашцах…
– Да, это вы, князь, отпустили своих мужиков? – сказал Екатерининский старик, презрительно обернувшись на Болконского.
– Маленькое именье ничего не приносило дохода, – отвечал Болконский, чтобы напрасно не раздражать старика, стараясь смягчить перед ним свой поступок.
– Vous craignez d'etre en retard, [Боитесь опоздать,] – сказал старик, глядя на Кочубея.
– Я одного не понимаю, – продолжал старик – кто будет землю пахать, коли им волю дать? Легко законы писать, а управлять трудно. Всё равно как теперь, я вас спрашиваю, граф, кто будет начальником палат, когда всем экзамены держать?
– Те, кто выдержат экзамены, я думаю, – отвечал Кочубей, закидывая ногу на ногу и оглядываясь.
– Вот у меня служит Пряничников, славный человек, золото человек, а ему 60 лет, разве он пойдет на экзамены?…
– Да, это затруднительно, понеже образование весьма мало распространено, но… – Граф Кочубей не договорил, он поднялся и, взяв за руку князя Андрея, пошел навстречу входящему высокому, лысому, белокурому человеку, лет сорока, с большим открытым лбом и необычайной, странной белизной продолговатого лица. На вошедшем был синий фрак, крест на шее и звезда на левой стороне груди. Это был Сперанский. Князь Андрей тотчас узнал его и в душе его что то дрогнуло, как это бывает в важные минуты жизни. Было ли это уважение, зависть, ожидание – он не знал. Вся фигура Сперанского имела особенный тип, по которому сейчас можно было узнать его. Ни у кого из того общества, в котором жил князь Андрей, он не видал этого спокойствия и самоуверенности неловких и тупых движений, ни у кого он не видал такого твердого и вместе мягкого взгляда полузакрытых и несколько влажных глаз, не видал такой твердости ничего незначащей улыбки, такого тонкого, ровного, тихого голоса, и, главное, такой нежной белизны лица и особенно рук, несколько широких, но необыкновенно пухлых, нежных и белых. Такую белизну и нежность лица князь Андрей видал только у солдат, долго пробывших в госпитале. Это был Сперанский, государственный секретарь, докладчик государя и спутник его в Эрфурте, где он не раз виделся и говорил с Наполеоном.
Сперанский не перебегал глазами с одного лица на другое, как это невольно делается при входе в большое общество, и не торопился говорить. Он говорил тихо, с уверенностью, что будут слушать его, и смотрел только на то лицо, с которым говорил.
Князь Андрей особенно внимательно следил за каждым словом и движением Сперанского. Как это бывает с людьми, особенно с теми, которые строго судят своих ближних, князь Андрей, встречаясь с новым лицом, особенно с таким, как Сперанский, которого он знал по репутации, всегда ждал найти в нем полное совершенство человеческих достоинств.
Сперанский сказал Кочубею, что жалеет о том, что не мог приехать раньше, потому что его задержали во дворце. Он не сказал, что его задержал государь. И эту аффектацию скромности заметил князь Андрей. Когда Кочубей назвал ему князя Андрея, Сперанский медленно перевел свои глаза на Болконского с той же улыбкой и молча стал смотреть на него.
– Я очень рад с вами познакомиться, я слышал о вас, как и все, – сказал он.
Кочубей сказал несколько слов о приеме, сделанном Болконскому Аракчеевым. Сперанский больше улыбнулся.
– Директором комиссии военных уставов мой хороший приятель – господин Магницкий, – сказал он, договаривая каждый слог и каждое слово, – и ежели вы того пожелаете, я могу свести вас с ним. (Он помолчал на точке.) Я надеюсь, что вы найдете в нем сочувствие и желание содействовать всему разумному.
Около Сперанского тотчас же составился кружок и тот старик, который говорил о своем чиновнике, Пряничникове, тоже с вопросом обратился к Сперанскому.


Источник — «http://wiki-org.ru/wiki/index.php?title=Рутковская,_Йоанна&oldid=79629460»