Windows Vista x64 защищается от руткитов

13.08.2007 11:36
Текст: Дмитрий Романенко

64-битные выпуски Windows Vista в последнее время стали подвергаться нападкам, особенно когда разговор идет о снижении уровня безопасности при использовании режима кодировки ядра, который был применен в x64 версиях ОС. И хотя Microsoft показала обязательный драйвер, подписывающийся в 64-битной Vista в качестве свежего веяния в борьбе против руткитов, и решение, не позволяющее неподписанным кодам загружаться в ядро ОС, Скотт Филд (Scott Field), архитектор безопасности Windows, признал, что это свойство не в состоянии улучшить защиту ядра.

Kernel Mode Code Signing (KMCS - подпись режима кодировки ядра) – не такое уж и препятствие в плане безопасности. Существует два основных сценария его обхода. Вредоносный код может быть внедрен в ядро x64 Vista посредством драйвера с законным сертификатом или сертификатом, составленным злоумышленником. Кроме того, ядро ОС может быть «пробито» поврежденными драйверами.

"Подпись режима кодировки ядра – это не преграда злоумышленникам, а, скорее, всего лишь один из глубинных аспектов подхода к понятию «безопасность». KMCS не обеспечивает средств, определяющих "намерение" подписанного кода (хорошего или плохого); наоборот, подписанный код может содержать ошибки, быть плохого качества, или может нести в себе злой умысел просто по своей природе," – комментирует Филд. – "Изначальный плюс KMCS заключается в том, что он предоставляет средства определения автора, составившего часть кода, что поможет обеспечить дальнейшую работу с автором, чтобы разобраться с повреждениями, выявляемыми такими механизмами, как Microsoft Online Crash Analysis (онлайн анализатор повреждений от Microsoft). Определение источника и владельца кода, загруженного ядром – это базовый компонент ОС и вообще всей экосистемы доверия к модели. Более того, это также способствует более высокой прозрачности для пользователя в плане происхождения кода, инсталлированного и запущенного в системе".

И все же, Microsoft готова иметь дело с любыми проблемами, связанными с неподписанными кодами, загруженными в ядро посредством либо ложного, законного или поврежденного драйвера. По этой причине компания составила гибкий список сертификатов подписи драйверов, всегда готовых быть аннулированными. "Список аннулирования ядра проходит проверку тогда, когда код ядра ОС загружает драйвер/модуль ядра. Существует ряд простых причин для сохранения пространства ядра. К ним можно отнести, например, ограничения запуска окружения ядра, а также ограничение атакуемых пространств, связанных с загрузчиком ядра. Есть и другие факторы, например, драйвера ядра, уже загруженные и которых невозможно деактивировать или удалить в безопасном режиме из уже работающей системы", – добавляет Филд.

www.winline.ru

публикации сходной тематики

Комментирование закрыто.

 

При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка обязательна.

Реклама на сайте: