входим в нору

КРИС КАСПЕРСКИ

Спецвыпуск: Хакер, номер #072, стр. 072-054-6

Логика Microsoft такова: не будет сертификата — не будет и подписи, а раз не будет подписи, хакер не сможет загрузить зловредный драйвер, модифицирующий ядро и устанавливающий rootkit, скрывающий малварь от глаз администратора. На самом деле, борьба с малварью никогда не поднималась на такой высокий уровень, да и процедура сертификации носит чисто формальный характер, порочность которого уже была продемонстрирована компонентами ActiveX – «Вы доверяете фирме «John Doe» из местечка хухры-мухры»?

Просто Microsoft хочет укрепить свои позиции на рынке, вытесняя сторонних разработчиков и позиционируя свою платформу как идеальное средство для просмотра premium media content'а следующего поколения. Фактически, все изменения в висте крутятся вокруг DRM — Digital Rights Management — Управления Цифровыми Правами. Microsoft гарантирует, что зашифрованный цифровой медиа-поток данных нигде не будет перехвачен злостными пиратами. Ерунда, конечно. Сграбить его — плевое дело (и такие утилиты уже написаны), а вот у легальных пользователей системы появляются огромные проблемы. Даже если они не смотрят фильмы, и не слушают музыку, все равно они вынуждены мириться с многочисленными ограничениями, налагаемыми этими технологиями.

Виста — это первая система, в который администратор не бог, а, образно говоря, заключенный. Пускай, даже самый старший среди всех заключенных. Что это меняет? Свобода в обмен на... эй, кто там сказал «безопасность»?! Отсутствие рычагов управления делает администратора безвластным и неспособным обнаружить присутствие чего-то постороннего, тем более что и обнаруживать-то его нечем. Все защитные средства (антивирусы, брандмауэры) вынуждены работать на высоком уровне через скудный набор API-функций, и зловредному вирусу ничего не стоит «поднырнуть» под них и как следует замаскироваться. Ничего не напоминает? Ты (администратор) видишь сурка? Вот и я (антивирус) не вижу. А он есть!

Пробиться на уровень ядра можно и без цифровой подписи, что наглядно продемонстрировала на американской конференции Black Hat Жанна Рутковская, воспользовавшись тем, что файл подкачки доступен на секторном уровне через устройство «\\.\C:», предварительно запустив программу, «скушавшую» всю доступную память и заставившую операционную систему вытеснять код драйверов на диск: www.invisiblethings.org/papers/joanna%20rutkowska%20-%20subverting%20vista%20kernel.ppt.

И хотя реакция Microsoft была на удивление спокойной (подумаешь, подломали бету!), хакеры уже потирают руки и сворачивают штопором хвост в предвкушении новой серии атак, а производители железа и разработчики драйверов пьют горькую, матерясь всеми словами, которые только знают (а заодно изобретают много новых слов), прикидывая, во что им обойдется перенос и сертификация уже отлаженного кода на новую систему. Многие системные программисты окажутся выдавлеными с рынка. Пользователям придется обновить железо, а вместе с ним и значительную часть своих любимых программ, многие из которых уже давно заброшены и не поддерживаются.