Защита "окон"

Автор: Берд Киви | Раздел: Колумнисты | Дата: 01 июня 2009 года

Чем ближе финальный релиз Windows 7, тем больше появляется информации о разнообразных аспектах защиты этой ОС. К сожалению, значительная часть новостей свидетельствует скорее о переносе старых проблем на свежую почву, нежели о каких-то интересных и многообещающих усовершенствованиях. Наглядный тому пример - майский пресс-релиз Microsoft, извещающий о том, что в новой операционной системе непременно сохранится фирменная антипиратская технология, которая ещё со времен Windows XP известна как Windows Genuine Advantage (WGA), только теперь она будет называться Windows Activation Technologies.

Хоть Microsoft и заверяет, что под новой личиной скрывается совершенно иная технология, суть её та же, что и прежде - отвадить юзеров от работы с пиратскими "окнами".

Безусловно, компании имеют право оберегать свои продукты от пиратов. Да вот беда - любая защита, которую хакеры рано или поздно всё равно обойдут, создает массу проблем законопослушным пользователям. Однако несмотря ни на что в Microsoft явно сохранили приверженность идеям WGA, сменив лишь название и ряд внешних признаков программы. Как и прежде, если пользователь решит не активировать свою копию Windows 7 при установке, то он сразу станет получать напоминания. Только теперь увещевания в необходимости официально зарегистрировать продукт будут не столь назойливыми. Но как бы то ни было, суть WGA никуда не денется. Более того, корпорация подчёркивает, что и впредь намерена идти в этом направлении: "Всегда можно сделать больше - поэтому мы и дальше будем работать над долгосрочными антипиратскими инициативами".

Пользователям, конечно, хотелось бы услышать совсем другое: например, что сделано в новой ОС для усиления защиты от злоумышленников, со всеми их червями, троянами и руткитами. Однако новости свидетельствуют скорее о том, что радикальных изменений в этой области не произошло. Подтверждением тому может служить инициатива индийских братьев-хакеров Кумаров, сделавших достоянием общественности свой загрузочный руткит для Windows 7 - в надежде, что доступность их вредоносного кода подтолкнет специалистов к своевременной разработке антидота.

Вообще-то Випин и Нитин Кумары (Vipin, Nitin Kumar) продемонстрировали работу своего шпионского инструментария Vbootkit 2.0 ещё в апреле на хакерской конференции Hack In The Box в ОАЭ. Поначалу братья-умельцы намеревались сохранить разработку в тайне, ограничившись лишь демонстрацией её возможностей, однако в последующие недели что-то заставило их изменить планы и опубликовать исходный код руткита.

Хотя мотивы такого шага неизвестны, кое-какие подсказки дает официальная реакция Редмонда на эту работу и предыстория непростых взаимоотношений индийцев с софтверной корпорацией. В комментарии представителя Microsoft относительно Vbootkit, в частности, подчёркивается, что эта атака может быть блокирована с помощью средств безопасности, предусмотренных для продвинутых версий Windows 7: криптопрограммы BitLocker и аппаратного модуля защиты Trusted Platform Module (TPM 1.2).

По этому поводу уместно напомнить историю, произошедшую летом 2007 года на хакерской конференции Black Hat USA в Лас-Вегасе. В заблаговременно опубликованной программе форума была заявлена презентация разработанного всё теми же братьями Кумарами инструментария TPMkit, позволявшего обходить защиту, которую обеспечивала программно-аппаратная связка BitLocker и TPM.

А в начале того же 2007-го, но только в Амстердаме, на Black Hat Europe, Кумары демонстрировали способ незаметно встраивать вредоносный программный код в ядро Vista таким образом, что ни одна из имевшихся в системе мер предупреждения атак не срабатывала. Из заявки на участие в американской конференции было очевидно, что братья продвинулись в своих изысканиях ещё дальше, научившись обходить и защиту самого неприступного бастиона - чипа TPM. Но как это удалось сделать, осталось тайной - за месяц до начала мероприятия анонс презентации TPMkit был удален без каких-либо объяснений.

В кратком комментарии Випин Кумар сказал лишь следующее: "Мы больше не будем демонстрировать ничего относящегося к TPM/BitLocker и в обозримом будущем не намерены говорить на эту тему".

Что именно заткнуло рот братьям, догадаться не так уж трудно. В тот период на известных хакерских конференциях практически не было сообщений о взломе Висты, поскольку Microsoft заранее пригласила хакеров поучаствовать в исследовании её системы. Разумеется, эта работа вознаграждалась, но только при условии, что результаты не получат широкую огласку. Попросту говоря, богатая корпорация предпочла купить молчание о компрометирующих её продукт слабостях.

В нынешних же кризисных условиях о подобных инициативах что-то не слышно. А потому вполне возможно, что Кумары, так и не дождавшись заманчивых предложений для себя лично, решили помочь обществу бескорыстно.