Использование цифровых подписей драйверов является ошибкой Windows Vista

Подтверждая свой тезис о том, что Windows Vista является "самой безопасной версией Windows за все время", Microsoft требует от разработчиков использования цифровых сигнатур на всех 64-разрядных драйверах для Windows Vista.

Это требование, которое довольно далеко от создания новой более безопасной операционной системы, может помочь лишь немного приостановить хакеров, но оно еще и несет ответственность за нехватку драйверов, которые необходимы пользователям Windows Vista.


Почему цифровые подписи должны касаться вас?

Чтобы создать драйвер для 64-разрядной версии Windows Vista, программный разработчик сначала получает программно-издательский сертификат третьего класса от одобренной Microsoft организации, занимающейся выдачей сертификатов (типа VeriSign). Этот сертификат будет использоваться разработчиком в цифровой "подписи" (идентификационный код) к программе. Система проверки сертификатов требует идентификации и проводит необходимое исследование, чтобы удостовериться, что драйвер был сделан законным владельцем сертификата.

Драйверы зачастую должны работать на уровне привилегий, называемом уровнем ядра. Привилегированный характер работы ядра означает, что ему требуется особая защита. Любой компромисс в работе с ядром может означать потенциальный сбой всей системы. Потому Microsoft и стремится защитить ядро, тем более, что "руткиты" могут использовать драйверы и программное обеспечение, работающее на уровне ядра, чтобы скрыться от операционной системы.

Есть и другая причина, по которой Microsoft стремится гарантировать защиту этой ключевой части Windows Vista. Компания занимается продвижением Управления Цифровыми правами (DRM), которое используется владельцами авторских прав для ограничения использования контента. Поскольку Microsoft хочет позиционировать Windows Vista как платформу, которая является безопасной для защищенного контента, ей требуется, чтобы ее операционная система останавливала хакерский код, идущий из медиапотоков. К примеру, программное обеспечение могло бы переадресовывать музыку со звуковой платы ПК, вместо этого посылая ее на жесткий диск.


Как работает цифровая подпись?

Цифровая подпись стремится проявить источник, из которого поступило программное обеспечение, работающее в режиме ядра. Если 64-битная версия Vista решит, что 64-разрядный драйвер не имеет сигнатуру от принятых авторизованных источников, операционная система остановит его загрузку.

Но, конечно, если сертификат уже выдан, то он теперь находится уже не в руках тех, кто обладает сертифицированными правами. Программный продавец с действующим сертификатом все еще может производить ошибочный или злонамеренный код с использованием этого самого сертификата, или же он может продать сертификат еще кому-либо, кто также может сделать что-нибудь подобное. Велика вероятность того, что проданное свидетельство может быть опубликовано в сети и использоваться хакерами для производства своей собственной марки malware.

В теории, как только такие действия будут обнаружены, Microsoft может отменить сертификаты (что в случае с аппаратными драйверами отключило бы все продукты от держателя такого сертификата). Это может быть сделано через Windows Update, которая сообщит Windows Vista, что нужно блокировать соответствующую сигнатуру.


Новые правила для всех драйверов x64 Windows Vista

Microsoft долгое время поощряла использование цифровых подписей для программного обеспечения. Это делалось для того, чтобы позволить пользователям знать источник скаченной программы. Также пользователи могли определить, стоит ли доверять ресурсу, из которого получена эта программа. Использование цифровых подписей также позволяет Microsoft определить разработчика программы, которая перестала работать, конечно это только в том случае, если пользователь не отключал опции отправки в Microsoft сообщений об ошибках.

В Windows Vista Microsoft пошла дальше в развитии технологии кодирования, сделав цифровые подписи в некоторых случаях обязательным требованием. Вот некоторые новые требования из правил для цифровых подписей драйверов для Vista:

• Только администраторы могут устанавливать неподписанное программное обеспечение, работающее в режиме ядра;
• Программное обеспечение, работающее в режиме ядра, должно иметь цифровую подпись, чтобы оно могло работать на 64-битных версиях Vista. Даже администраторы не могут загружать неподписанные драйверы в этих версиях ОС.
• Драйвер, который загружается при загрузке системы, должен иметь цифровую сигнатуру;
• Программное обеспечение, участвующее в работе с защищенным контентом, также должно иметь цифровую сигнатуру;
• Аппаратные драйверы должны иметь цифровые сигнатуры, чтобы участвовать в программе Microsoft Windows Logo.

В различных случаях могут потребоваться различные виды сигнатур. К примеру, в дополнение к подписи для режима ядра (KMCS), те разработчики, которые хотят увидеть на своих изделиях логотип Microsoft Windows, должны подвергнуть свои изделия тестированию в Аппаратной лаборатории Windows (WHQL) для того, чтобы получить цифровую сигнатуру WHQL.


Использование цифровых подписей не делает ничего для того, чтобы остановить хакеров.

К сожалению, использование цифровых подписей в том виде, в котором его в настоящее время практикует Microsoft, создает гораздо больше препятствий для разработчиков, чем для хакеров. Еще до того, как вышла финальная beta-версия Windows Vista, на хакерской конференции Black Hat Briefings было продемонстрировано, как легко можно обойти защиты подписей драйверов.

Vista Release Candidate не стала в этом отношении намного лучше. Исследователи из NV Labs из Индии смогли изобрести программу под именем Vbootkit, которая обходит защиту подписанных драйверов в RC1 и RC2.

В довершение всему, эксперты из группы Security Response Advanced Threat Research из Symantec в недавно анонсированном PDF-отчете сообщили, что смогли отключить новые ограничения в 64-битной версии Vista всего после одной недели испытаний.


Какие трудности есть у разработчиков в использовании цифровых подписей.

И если использование цифровых подписей драйверов не стало проблемой для хакеров, то для легальных разработчиков драйверов для Windows Vista оно стало серьезным препятствием. Получение необходимого сертификата для цифровых подписей по сообщением составляет $500 в год (эта сумма меньше при подписании многолетнего соглашения). После того, как сертификат был получен, он должен строго охраняться, так как украденный и опубликованный сертификат может легко использоваться кем угодно для подписей драйвера.

У тех, кто нуждается в исполнении требований цифровой подписи WHQL, есть дополнительные технические сложности. В недавно проведенном анализе схем защиты контента Windows Питер Гутман (Peter Gutmann), исследователь из университета при Оклендском Департаменте информатики, написал, что "огромное количество драйверов, работающих сегодня на ПК, не имеют цифровых подписей, не столько из-за того, что разработчики не заботятся об этом, а потому что процесс создания цифровых подписей WHQL проходит очень медленно, так что когда драйверы будут одобрены Microsoft, они уже устареют".


Microsoft может сделать для защиты нечто большее.

Microsoft не может ждать широкого распространения своей новой операционной системы, если ее пользователи не смогут устанавливать годные драйверы для наиболее актуальных на сегодняшний день аппаратных средств. И поэтому ее клиенты не будут чувствовать себя защищенными с Windows Vista, когда эксперты будут продолжать сообщать о том, что очень просто найти новые дыры в обороне новой системы от Microsoft. Пользователи должны требовать от Microsoft просто лучше выполнять свою работу по подготовке релиза новой операционной системы, обеспечивать более сильную защиту против хакеров, не создавая при этом дополнительных сложностей разработчикам.


Источник: http://windowssecrets.com
Перевод: Dazila