Разработчики снова наносят удар безопасности Windows Vista
4991
По словам аналитиков Symantec, безопасность 64-битных версий Windows Vista может быть поставлена под угрозу бесплатной утилитой, которая загружает в ядро системы неподписанные драйвера.
Среди самых существенных преимуществ 64-битных редакций Vista можно отметить возможность загрузки в ядро лишь подписанного цифровым сертификатом кода. Согласно новым правилам, код, который должен загружаться в ядро - как правило, драйвера - должен сопровождаться цифровым сертификатом, выдаваемым ограниченным количеством организаций. Драйвера без данного сертификата не могут быть загружены в ядро. Данная идея может быть реализована в руткитах, подгружающих в ядро неподписанные драйвера с целью осуществления атаки на компьютер.
Но секьюрити-аналитики из Symantec приводят в пример бесплатную утилиту от австралийской компании LinchpinLabs, с помощью которой можно реализовать вышеописанную методику атаки. По словам Олли Уйатхауза (Ollie Whitehouse), архитектора в команде исследователей Symantec, утилита LinchpinLabs с помощью подписанных драйверов загружает в ядро Vista другой - неподписанный - код.
"Консольная утилита загружает в ядро свой драйвер, который благодрая реализации их PE-загрузчика позволяет загружать другие неподписанные драйвера" - говорит Уйатхауз. "Однако, в документации разработчика сказано о побочном эффекте использования утилиты: Atsiv (так называетя утилита) не добавляет драйвера в PsLoadedModuleslist, поэтому и не виден в стандартном перечне драйверов". А это уже поведение, свойственное руткиту, как считает Уайтхауз.
Один из разработчиков LinchpinLabs, известный под ником "Dan" , пишет на сайте www.rootkit.com, что требование Vista по подписи драйверов "никоим образом не мешает вредоносному ПО, просто оно ограничивает выбор оного". Dan также заявляет, что Microsoft никогда не сможет помешать хакерам получать нужные им сертификаты.
"Подписанный файл однозначно идентифицирует компанию, создавную этот самый файл, но когда компания может создаваться лишь для обеспечения безопасности основателей компании и директоров, вы вправе спросить, что же на самом деле представляет подписанный драйвер?" - пишет Dan. "Несмотря на то, то сертификаты могут отзываться, имея достаточное количество средств, вы сможете практически мгновенно получить новый сертификат. В итоге за новый сертификат будут расплачиваться пользователи".
Уайтхауз согласился, что для Microsoft единственным способом бороться с загрузкой неподписанного кода в ядро остается отзыв сертификата. "Интересно, сколько времени потребуется Microsoft, чтобы сделать это" - интересуется Уайтхауз. "Кроме того, как заметил Dan, никто не мешает зарегистрировать другую компанию, получить новый сертификат и снова заняться созданием руткитов - и так до бесконечности".
Несмотря на то, что обе технологии реализованы в ядре 64-битных редакций Vista, подписывание кода напрямую не связано с технологией PatchGuard, блокирующей внесение изменений в ядро (иначе "kernel patching" или "kernel hooking"). PatchGuard с момента его анонсирования является предметом спора между Microsoft и многими компаниями-разработчиками секьюрити-ПО, включая Symantec, требующими доступ к ядру системы.
Источник:
Перевод: deeper2k
Комментарии
а ещё угрозой для Vista является молоток, чай над клавиатурой, землятресение и метеориты 
Особенно метеориты. Как жахнут, не то что от висты, от дома ничего не останется...
А может быть разработчики Symantec, сами и написали эту самую утилиту, они же так хотели получить доступ к ядру системы. Спрашивается для чего???? Почему-то все думают только о своей выгоде... а о нас - о пользователях кто подумает??? Кто гарантирует, что документация передаваемая сторонним компаниям не попадет в руки хакеров?
Главной угрозой для компа с Вистой является продукция Симантека !
Несмотря на то, то сертификаты могут отзываться, имея достаточное количество средств, вы сможете практически мгновенно получить новый сертификат. В итоге за новый сертификат будут расплачиваться пользователи
...
"Кроме того, как заметил Dan, никто не мешает зарегистрировать другую компанию, получить новый сертификат и снова заняться созданием руткитов - и так до бесконечности".
Зная, какой компании выдан сертификат, кто её директор итп - можно запросто создателей этой компании, пишущей вирус, засадить в тюрьму... пусть оттуда получают новый сертификат.
В общем-то, сертификаты для драйверов (как и сертификаты для сайтов в интернете) для этого и нужны - не чтобы можно было сказать "этот драйвер подписан, значит, безопасен", а чтобы было понятно, кто виноват, если драйвер всё-таки опасен.
ИМХО основными вирусописателями являются большинство фирм производящие антивирусы, особенно каспер.
prohaker - 100% согласен. По крайней мере, истерию на юзверей ушастых наводят именно они. Я их сравниваю постоянно с нечестными попами, запугивающими прихожан бесами для продвижения своих "услуг". Как говорится, страх - это деньги. И это всегда были хорошие деньги. А Касперский - лучший образец предсказателя "цифрового конца света".
А причем тут наивные?? Они используют различные методы чтобы ЗАТРУДНИТЬ взлом, понятно, что рецепта на все случаи жизни не бывает. И что им теперь, не надо было добавлять в систему ни ACL, ни UAC, ни файервол, ни защиту от неподписанных драйверов?? Тогда бы все кричали, ой, в системе напрочь отсутствуют средства безопасности! 
Для сравнения, замки на дверях, а особенно цепочки ( ) не способны остановить профессионального грабителя, но тем не менее, способны несколько усложнить ему задачу. Ведь никто из вас не держит дверь без замков ;)
Я нахожу UAC очень полезной примочкой, несколько раз она мне реально помогала обнаружить проги, которые самовольно пытались чото делать с правами админа. А если учесть, что я под админом не работаю, то для меня диалог UAC - это вообще удобное автоматичесоке предложение запустить программу от имени админа, раньше приходилось юзать RunAs.
Ух ты блин.. симантек ...
еще бы придумали мол:
Устраиваешься работать в майкрософт.. и вместе с ее продуктами свой руткит встравиаешь.
Заметили ... меняешь паспорт... делаешь пластическую опперацию и опять устраиваешься
((-
Продукты симантек меня вообще пугают. Особенно антивирус. Этот загадочный зверек встраивается навернео во все подсистемы винды какие только есть, и зачастую игнорирует указания пользователя как себя вести в случае нахождения вируса. Было такое, что он не давал мне даже сохранить на диск скачанный рекламный тулбар, необходимый для работы обменника megaupload, при этом он, не спрашивая, мгновенно удалял файл, как только закачка доходила до 100 процентов Никакие настройки не помогли
Устраиваешься работать в майкрософт.. и вместе с ее продуктами свой руткит встравиаешь
Вот только в готовый продукт этот руткит не попадёт.
Что они там, в майкрософте, дети малые, что ли, чтобы был какой-то код, написанный одним человеком и никем больше не проверенный?
ха, а откуда куиа ошибок в коде тогда? если есть ошибки, то почему не может быть ещё чего-нибудь?
а симантек и ему подобные меня тоже начали раздражать в последнее время. не потому, что я пользуюсь этим дерьмом, но потому что мне приходится на тех. поддержки решать проблемы, вызванные этим дерьмом. И, как справедливо было замечено, иногда он напрочь игнорирует указания пользователя, видимо разработчики считают, что имеют право думать за всех. И эта тенденция прослеживается во многих последних продуктах крупных американских компаний. Как бы не дошло до того, что всё будет управляться против воли человека, как пишут фантасты.
Да, приходилось сталкиваться. Симантековский фаервол это ужас. Даже пинги не пропускает. Хоть бы ругнулся бы, что его тревожат. А тож иди, выясняй почему сеть не работает... плюс еще все эти концепт-вирусы... Плюс заявления о большой безопасности IE по сравнению с firefox'ом и создание продукта, предназначенного _специально_ для защиты первого... быдлоконторка короче.
Все просто - надежность всей системы защиты виста подобна японским бумажным раздвижным дверям. Юзерам же втусовывают, что защита надежна как скала и этим дурят им мозги. Если знать, что защита никакая, то можно спокойно жить, установив себе файрволл, иногда запуская антивирус, и НИ ЗА ЧТО не использовать IE. Ну разве что на 2-3 проверенных сайтах (windows update & webmoney).
А что вам не нравится, что симантек ломанул хваленую защиту висты? Лучше если это сделает неизвестный вирусописатель и будет очередная большая эпидемия?
Плюс заявления о большой безопасности IE по сравнению с firefox'ом
Только насчет лисы и осла ненадо.
За последнее время резко выросло количество уязвимостей в лисе, и он появляются чуть-ли не чаще чем в осле (лисоводы могут вешаться, но это, факт, сказывается то, что лиса получила некоторое распространение). Даже в недавней ошибке по поводу некоректной, совместной, работе лисы и осла Мозила, официально, признала свою часть ответственности (мечта лисоводов обвинить осла провалилась (что и следовало ожидать))
http://www.headlines.ru/go.php?http://www.winblog.ru/2007/08/01/livsy01080701.html...
Извиняюсь:
2unihorn В отличии ms c корявым IE, ошибки мозиловцы правят гораздо быстрее. Особенно критичные. А то я могу вспомнить IE6 который г о д а м и не обновлялся.
Ошибки в Firefox правятся гораздо быстрее чем в IE. Ошибки стали находить чаще, потому что все больше народу стало использовать firefox. В IE6 о некоторых ошибках просто молчат (точнее не признают), в FF они правятся в течении 1-2 недель (все версии с измененным 4 номером, типа 2.0.0.5->2.0.0.6 - это исправление именно таких ошибок и они выходят именно для исправления ошибок безопасности). Попробуй покажи мне как подцепить вирус через firefox. Это ЗНАЧИТЕЛЬНО сложнее, чем подцепить его через IE, ибо у ff нет ActiveX.
...а если использовать расширения вроде noscript, то подцепить что-то практически невозможно.
ошибки мозиловцы правят гораздо быстрее
И появляются они, ошибки, также быстрее. И тот шквал ошибок для Лисы который наблюдается последнее время, не особенно говорит в пользу большей безопасности ff (скорее наоборот).
ибо у ff нет ActiveX
Зато у него есть плагины, что в смысле опасности абсолютно тоже самое (да и по сути тоже самое (активы, это плагины осла )) Неважно как подключается плагин, через ActiveX, или другой интерфейс, плагины это плагины (то что не ищут дыр в плагинах лисы, это вопрос времени, и еще не известно чьи плагины, с точки зрения безопасности, кривее ).
Хотяя понимаю, что спорить бесполезно 
. Посему замолкаю.
С Уважением.
И тот шквал ошибок для Лисы который наблюдается последнее время, не особенно говорит в пользу большей безопасности ff (скорее наоборот).
Где? Я что-то не заметил. А *.*.*.5 всегда почему-то были не удачными и быстро замещались новым багфикс-релизом.
Зато у него есть плагины, что в смысле опасности абсолютно тоже самое
unihorn, вы вообще понимаете разницу между плагинами, расширениями и ActiveX-приложениями?
Плагины - это библиотеки, благодаря которым у нас работает флеш, джава, проигрываются всевозможные аудио- и видеофайлы. Написаны на C\C++. Расширения - небольшие программки, написанные на XUL'е, расширяющие функционал. Перед тем, как попасть в официальный репозитарий(т.е. сюда ) они тестируются. Так что от туда мы грузим проверенные файлы. Если мы хотим установить расширение с другого сайта, то надо внести этот сайт в "белый лист". После чего нас, как всегда спросят, действительно ли мы хотим его поставить. ActiveX это некое подобие JavaScript, только сильно расширенное. В частности, оно позволяет взаимодействовать с другими приложениями, окромя браузера. Выполняется при загрузке страницы, без спроса пользователя.
Хотяя понимаю, что спорить бесполезно . Посему замолкаю.
Ну конечно, знать не знаете, а лезете. Вот и пытаетесь сделать умную мину при плохой игре.
Про ActiveX - будучи однажды установленными в систему, они потом в нее жестко врастают так сказать. При регистрации выполняют процедуру DllRegisterServer,а в этой процедурке может быть что угодно записано. Например зарегаться в автозапуске и скачать пачку-друзей троянов. Пользователь это просто не заметит. Он поставил какую-нибудь панель инструментов или пакет смайликов и оно работает как надо, а пользователь и рад. Злой же троянчег уже может делать что хочет.
Бинарных расширений штук 10 я знаю: flash, java, поддержка media player, shoсkwave плагин, quicktime. Ха, все.
У расширений набор прав значительно меньше, они не могут творить все что хотят.
По поводу возросшего количества ошибок: а сколько ошибок в IE? Microsoft никогда не говорит, что именно исправлено в патче и сколько ошибок исправлено. И сколько их еще не исправлено и сколько не будет исправлено никогда.
ActiveX это некое подобие JavaScript,
НЕТ. ActiveX - полноценный бинарный исполняемый модуль. Это часть COM-технологии.
Так что от туда мы грузим проверенные файлы. Если мы хотим установить расширение с другого сайта, то надо внести этот сайт в "белый лист".
При регистрации выполняют процедуру DllRegisterServer,а в этой процедурке может быть что угодно записано. Например зарегаться в автозапуске и скачать пачку-друзей троянов.
Это же касается и активов.
Если ты скачал актив с "ненадежного сайта", скачал проигнорировав предупреждение про возможную опасность (те что с "надежных", вы удивитесь, но тоже проверяются)..., то ты идиот, по другому не скажешь , идиот не меньший чем скачавший плагин для лисы с "враждебного сайта" (код плагинов, открыт, впихнеш куда-нибудь (не меняя всего остального) вызов функции для того что-бы "зарегаться в автозапуске и скачать пачку-друзей троянов" и все, и ненадо сооружать что-то "неизвестно-новоявленное": просто береш популярный плагин и дописываешь в код все что тебе угодно )
И сколько их еще не исправлено и сколько не будет исправлено никогда.
Серьезные ошибки, особенно по поводу безопасности исправляются всегда (хотите вы этого или нет, но мелкие, это компания со сложившейся, многолетней, ПОЛОЖИТЕЛЬНОЙ, репутацией, и подмачивать они ее не будут, поэтому когда говорят об откровенной лжи с их стороны люди, говорящие это, "немного" неразбираются в бизнесе и забывают что мелкие это не МММ: ложь они себе позволить не могут, будь они хоть трижды монополистами ).
Microsoft никогда не говорит, что именно исправлено в патче и сколько ошибок исправлено.
Советую почитать описание того что скачиваете с виндоусапдейта. Сильно удивитесь тому факту что мелкие все это пишут. .
Где? Я что-то не заметил.
Последите, внимательно (не время от времени, а именно внимательно, и, главное, беспристрастно) за новостями, и увидите.
Ну конечно, знать не знаете, а лезете. Вот и пытаетесь сделать умную мину при плохой игре.
Все молчу, молчу .
НЕТ. ActiveX - полноценный бинарный исполняемый модуль. Это часть COM-технологии.
Угу. Я имел ввиду принцип его выполнения.
Если ты скачал актив с "ненадежного сайта", скачал проигнорировав предупреждение про возможную опасность (те что с "надежных", вы удивитесь, но тоже проверяются)..., то ты идиот, по другому не скажешь
У IE есть политика автоматической установки ActiveX и изменить эту политику может любая программа, имеющая достаточный доступ в реестр. Мне что перед загрузкой каждой страницы смотреть а не стоит ли галочка автоматической загрузки неподписанных ActiveX?
идиот не меньший чем скачавший плагин для лисы с "враждебного сайта" (код плагинов, открыт, впихнеш куда-нибудь (не меняя всего остального) вызов функции для того что-бы "зарегаться в автозапуске и скачать пачку-друзей троянов"
Если мы говорим об xpcom - то их считанное число и качать их нужно с сайтов adobe, apple и т.д. Не думаю, что они будут выкладывать трояны. Если мы говорим о расширениях - то расширения не являются необходимой вещью для отображения страниц. Расширения я качаю с сайта автора на mozdev. Троянов там быстро прихлопнут.
У IE есть политика автоматической установки ActiveX и изменить эту политику может любая программа, имеющая достаточный доступ в реестр.
Не делай откровенных глупостей (не устанавливай "неподписанные активы" которые устроят тебе такую бяку, скажем), и ничего этого не будет . Не будешь устанавливать, и ничего тебе не будет (никаких влезаний в реестр "с целью обеспечения загрузки новых, неподписанных, плагинов", к примеру)).
За всю, многолетнюю, практику общения с ослом, такой ситуации не у меня, не у знакомых мне людей не возникало .
Если ты установиш "не тот плагин, или расширение, для Лисы" (делающие что-нибудь нито, скажем ), к примеру, то это будет лишь твоя вина, тоже касается и осла , вы ведь, надеюсь, не будете отрицать, что, при желании, сторонней програме, можно влезть не только в реестр, но и в конфиги лисы (технических припятствий для этого нет (в лисьи, имхо, даже проще), более того, вполне реально соорудить "универсальный комбайн" (и "туда и туда"))?
Если мы говорим об xpcom - то их считанное число и качать их нужно с сайтов adobe, apple и т.д. Не думаю, что они будут выкладывать трояны. Если мы говорим о расширениях <..> Расширения я качаю с сайта автора на mozdev. Троянов там быстро прихлопнут
Вот и я о том-же. На "нормальных сайтах", вы будете удивлены, но троянов тоже быстро прихлопнут, а касаемо расширений (хотя в случае осла они тоже являются плагинами (подключаются одинаково через ActiveX)) то "adobe, apple" их, вообще, врядли будут выкладывать.
Посему не факт, что окажется "опаснее": плагины осла, или плагины и расширения лисы (когда за последнии, всерьез, возьмутся (что в нынешней ситуации лишь вопрос времени)).
Хотя понимаю, что с вами спорить бесполезно, и, честно говоря, подумываю над тем чтобы прикратить спор со своей стороны...
По теме
- Windows Vista официально "мертва"
- Завтра прекращается поддержка Windows Vista
- Остался последний месяц поддержки Windows Vista
- 11 апреля Microsoft прекратит поддержку Windows Vista
- Через год прекращается поддержка Windows Vista
- Microsoft открыла исходный код Open XML SDK
- Баллмер: Longhorn/Vista - моя самая серьезная ошибка
- Сегодня заканчивается бесплатная фаза поддержки Windows Vista и Office 2007
- Microsoft продлила срок поддержки Windows Vista и Windows 7
- Практики обеспечения безопасности Microsoft - лучшие в мире