Может ли руткит получить сертификацию для Windows Vista?
Забудьте, что Microsoft говорила о том, что Windows Vista будет самой безопасной ОС, более того, попробуем узнать, что думают об этом хакеры?
Если говорить в двух словах, они считают, что Windows Vista - эволюционное развитие Windows, но, в конце концов, как и всё остальное при внимательном исследовании взламываема.
"Windows Vista обнаруживает не все ошибки" - отметил знаменитый хакер Мур - "Посмотрите, как хакеры получают доступ к драйверам, и возможности их установки: сейчас я работаю с автоматизированной системой Microsoft, чтобы получить сертификат Microsoft, и стоит это всего 500 долларов".
Мур является основателем
Мур был одним из приглашённых white-hat хакеров, которые были на докладе представленном Дэвидом Таном, соучредителем и главным технологом в CHIPS Computer Consulting о безопасности Windows Vista "Vista: насколько мы в безопасности?", на прошедшем 14 марта Ziff Davis Enterprise's 2007 Security Summit.
Кроме Мура присутствовали такие не менее знаменитые хакеры как Джоанна Рутковска, исследователь безопасности в COSEINC, и Джон "Johnny Cache" Эллч, автор "Взлом незащищённых беспроводных сетей".
Сама Рутковска уверенно заявила, что да, один из способов проникновения в Windows Vista - это сертифицированный руткит, но, если вы хотите скомпрометированную систему, вам даже нет необходимости тратить время и деньги на сертификацию: "Это может быть видеокарта с дурацкой ошибкой в драйвере" - заявила Рутковска, - "Вы ничего не сможете с этим поделать. Вы не сможете подать в суд на производителя, за неисправленную ошибку. Вы не сможете доказать, что это было сделано намеренно".
До тех пор, пока Microsoft, или компании занимающиеся безопасностью, не создадут чёрный список уязвимых драйверов, Windows Vista будет уязвима, добавила Рутковска. Конечно, ошибки могут быть обнаружены и в памяти, правильно? Несколько недель назад на Black Hat Рутковска продемонстрировала эксплойт, который вносил изменения в память, чтобы его невозможно было обнаружить.
До того как хакеры, и сам Тан, указали на слабые места в системе безопасности Windows Vista, Тан выделил усовершенствования в функциях обеспечения безопасности в новой ОС. Он похвалил созданную Microsoft инициативу Trustworthy Computing и изменённый цикл разработки за "феноменальные усилия", что позволило выпустить такие продукты как SQL Server 2005 - версию базы данных, в которой до сих пор не было найдено ни одной серьёзной уязвимости. "За это Microsoft заслуживает аплодисментов" - заявил Тан.
В соответствии с увеличенным вниманием к безопасности, Microsoft добавила в Windows Vista множество функций, в тех двух областях, которые вызывают основное беспокойство в клиентской ОС, заявил Тан, а именно - защита данных и защита системы.
Одна из функций - UAC (User Access Control), которая заставляет пользователя работать с учётной записью с ограниченными правами, а не администратора, как это было в предыдущих версиях Windows. По умолчанию UAC включен для всех учётных записей, хотя данная функция и может быть выключена.
UAC очень много критиковался из-за его раздражающих разноцветных предупреждений (оранжево-красный - обычное предупреждение, сине-зелёный - безопасность), и переспрашиваний пользователя, действительно ли он хочет продолжить данное действие. Рутковска критиковала UAC в
Замечания Рутковски были дополнены научным сотрудником Symantec Олли Вайтхаусом, который 20 февраля опубликовал доклад "Пример того, почему запросам UAC в Windows Vista не всегда можно доверять", в котором описал, как легко с помощью социальной инженерии можно обмануть пользователя для незаконного повышения прав учётной записи в системе.
Во время презентации Тан выразил беспокойство, что частые появления диалоговых окон UAC будут восприниматься пользователями, как "кликни сюда, чтобы закончить действие". Частое "появление диалоговых окон UAC - заставит ли пользователя это выключить данную функцию?" - вопросил Тан - "В конечном счете, пользователя это будет злить, если данная функция будет мешать его ежедневной работе".
Однако Рутковска заявила, что она удивлена частыми высказываниями о надоедливости окон UAC. "Я пользуюсь Windows Vista уже два месяца" - заявила Рутковска, и в течение нескольких дней после установки у нее редко появлялось окно UAC. "Я думаю, что с технической точки зрения UAC очень хорошая вещь" - заявила она - "Для обычных пользователей это очень хороший механизм обеспечения безопасности".
Но, по словам Рутковски, ей не понравилась одна вещь - политика Microsoft. После того как критика в сторону UAC начала увеличиваться, Microsoft начала подчёркивать, что UAC не является серьёзным способом обеспечения безопасности, типа брандмауэра, это скорее информационный инструмент.
К сожалению, такая политика Microsoft будет означать, что потенциальные направления для атак не будут считаться ошибками, подчеркнула Рутковска. "Незаконное повышение пользовательских прав не будет считаться ошибкой в безопасности" - заявила Рутковска - "Хотя такое повышение прав является хорошим признаком того, что безопасность компьютера находится под угрозой".
Еще одной функцией призванной обеспечить безопасность компьютера является Windows Defender, ранее доступный для загрузки. Defender обнаруживает и удаляет нежелательные приложения, проводя активный мониторинг защищённых областей данных. Данная функция интегрирована в групповые политики, что обеспечивает ей слаженную работу с Active Directory.
Также, одной из новых функций обеспечивающих безопасность системы является новый Windows Firewall, функциональность которого была существенно расширена, по сравнению с таковым в Windows XP SP2. Но улучшение касается только двусторонней защиты - предыдущая версия не сканировала исходящий трафик - упущение, которое значило, что заражённая машина будет распространять вирус вне сети.
И, наконец, последняя функция для защиты системы - Windows Security Center, который проверяет и отображает статус брандмауэра, автоматических обновлений, защиты от вредоносного ПО (Windows Defender), и других настроек безопасности, включая стороннее ПО, такого как антивирусы.
Тан, также, раскритиковал систему распознавания устанавливаемых программ в Windows Vista, которая проверяет базы данных совместимости, эвристику, и приложенный к программе файл-манифест, который представляет ОС, что это за программа. Потенциальная уязвимость Windows Vista - в методе обработки инсталляторов, заявил Тан, так как все инсталляторы запускаются с правами администратора, с полным доступом к файловой системе и реестру, и способностью к установке драйверов в ядро ОС.
"Как только вы нажимаете ОК, приложение получает возможности администратора, включая скачивание и установку руткитов" - сказал Тан.
Также Тан раскритиковал защищённый режим Internet Explorer 7 в Windows Vista. В этом режиме браузер запускается в режиме песочницы - то есть с ограниченным доступом к чтению системных компонентов, и невозможностью скачивания троянов и шпионского ПО с вредоносных сайтов.
Что касается защиты данных, то новая ОС поставляется с BitLocker Drive Encryption - функцией, которая шифрует весь раздел с Windows, защищая данные от кражи, когда компьютер украден, или потерян. Единственная критика Тана состояла в том, что данная функция доступна только в корпоративной и Ultimate редакциях, и её очень не хватает в Business версии.
Остальные функции по защите данных в Windows Vista включают в себя: EFS (Encrypting File System), используемой для шифрования файлов и папок, службу управления правами, призванной постоянно шифровать файлы, так что их невозможно будет отправить по электронной почте куда-либо вне организации, без разрешения на то сервера, и контроль периферийных устройств, который позволяет проще управлять plug-and-play устройствами, типа USB-дисков.
Также Тан коснулся темы PatchGuard, который полностью блокирует ядро, причём также блокирует доступ к ядру программам типа антивируса. Не считая ярости, которую вызвал данный факт у производителей продуктов для обеспечения безопасности, PatchGuard был взломан вскоре после выхода Windows Vista.
Другие неудавшиеся решения для безопасности в Windows Vista - низко производительный Windows Defender, который блокировал не более 47% шпионского ПО в режиме быстрого сканирования, во время проведённого теста антивирусов, и OneCare, который также провалился в проведённом Virus Bulletin тесте VB100, и полностью провалился в тесте AV-Comparative.
"Таким образом, у Microsoft есть еще над чем поработать в данных областях" - добавил Тан. Кроме всего прочего 9 января была найдена критическая уязвимость, позволяющая удалённое исполнение кода в Windows Vista Vector Markup Language. В тестировании Windows Vista к наследственным эксплойтам, было установлено, что в каждой категории, кроме руткитов, есть эксплойты которые могут работать и в Windows Vista. Ключевые изменения в безопасности Windows Vista доступны только на 64-х битной платформе. И вам понадобится новая аппаратная платформа, полностью поддерживающая Windows Vista" - заключил Тан.
"В общем - звучит так, что всё плохо" - сказал Тан, но сам Тан, и хакеры согласились - в организации защиты Windows Vista были сделаны существенные изменения. "Это эволюция защиты, не революция" - сказал Тан - "Vista не решение по обеспечению безопасности, это более безопасная Windows".
Источник:
Перевод: prymara
Комментарии
Приятно что есть умные люди
Таких бы в Microsoft .... но в этот клаповник не один специалист в здравом уме не пойдёт работать
Почему это не пойдёт? за хорошие деньги в такую крупную компанию только дурак и не может пойти. И почему клоповник? Контора, как большинство других, со своими минусами и плюсами Или дело в принципе - Б.Гейтс сволочь и еврей, а я юзаю МАС, поэтому и не пойду? Нонсенс....
По теме
- Windows Vista официально "мертва"
- Завтра прекращается поддержка Windows Vista
- Остался последний месяц поддержки Windows Vista
- 11 апреля Microsoft прекратит поддержку Windows Vista
- Через год прекращается поддержка Windows Vista
- Microsoft открыла исходный код Open XML SDK
- Баллмер: Longhorn/Vista - моя самая серьезная ошибка
- Сегодня заканчивается бесплатная фаза поддержки Windows Vista и Office 2007
- Microsoft продлила срок поддержки Windows Vista и Windows 7
- Практики обеспечения безопасности Microsoft - лучшие в мире