Просмотров: 12235

Галимая безопасность будущей Windows


Смотрите, как интересно получается: с какого заголовка начинается новость на CNews: Разрабатывается Windows, которую нельзя взломать.

Заканчивается же статья таким утверждением:

Microsoft пока не проявила интерес к проекту и не участвует в нем. В компании Morphisec не исключают, что интерес может появиться после того, как они выпустят финальную версию системы.

О, как. Микрософт пока не в курсе, но некто уже почти получил 1.5 ляма на рандомизацию памяти Windows (на рандомизацию, Карл!). Постоянные читатели вероятно утомлены моей частой критикой в сторону Майкрософт (см. например, Былинный отказ: ядовитые мысли о Microsoft), но я вынужден продолжать.

Дальше будет только хуже

Раскручивая тему безопасности, хочу обильно процитировать очередной пост, который саморезюмируется в конце так: «Я сильно разочарован в Microsoft. Microsoft становится все больше и больше похожим на убогий Google»:

Microsoft, начиная с Windows 10, сделал очень гадкую вещь, а именно — любые kernel drivers должны быть подписаны EV сертификатом.

Во-первых, это проблемы для всех, кому это надо делать. Потому что придется покупать EV-сертификат (который стоит дороже). Но это не самое главное.

Во-вторых, EV-сертификат предполагает участие hardware key и ввода PIN в процессе подписывания (привет автоматизация — расскажете о создании билд-сервера для релизных сборок без test-signing?).

В-третьих, тот странный человек, которому пришла эта замечательная идея в голову, вероятно, хотел «повысить безопасность» Windows 10, вынудив всех разработчиков драйверов перейти с обычных сертификатов на EV-сертификаты, с «уровнем безопасности» как у UEFI. Только вот этот странный человек не очень понял, что безопасность, когда это нужно «одной тысячи компаний в мире» — это не то же самое, что безопасность, когда это нужно «одному миллиону компаний в мире». Т.е. странный человек, «повышая» безопасность до уровня UEFI, в реальности ее снизил, т.к. теперь это надо каждому мало-чего-понимающему monkey-разработчику, чтобы подписать свой мини-драйверок бесполезный.

Ну, и дополнительно, создали геморрой для всех.

Нужно быть полным идиотом, чтобы не понимать, что выведение подписывания драйверов в такую область приведет к тому, что будут совершаться атаки на этот Dashboard. И будут воровать не доступ к сертификатам, а доступ к этой панели + искать возможности обойти/обмануть Hardware/PIN, как это делают с банками. И результатом этого будет не только то, что как подписывали краденными подписями левые драйверы, так и будут подписывать, но и то, что автоматически при любой одной такой краже (исходно направленной на обычные драйверы) появится возможность сделать UEFI-модули. Т.к. раньше таких людей была условно 1000, а теперь будут — миллионы. (См. выше объяснения). Автор «безопасной» идеи — идиот, который не может подумать на два шага вперед. И малварщики, конечно же, еще будут таскать старые чужие драйверы для Kernel Mode эксплоитинга, для подгрузки своего кода в ядро. Без всяких подписей.

Ах да, я забыл «в-четвертых». Теперь подписывание драйверов возможно только через полное слитие их [бинарного] кода в Microsoft. Другого легального пути подписать драйверы (так, чтобы они работали на Windows 10, с timestamp от даты выхода) — нет. Т.е. прощай любые закрытые разработки официальным путем. Microsoft должен иметь все копии всех ваших драйверов, если хотите, чтобы они где-то работали.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , ,
Эта запись опубликована: Воскресенье, 9 августа 2015 в рубрике ЛитдыбрНовости.

2 комментария

Следите за комментариями по RSS
  1. Не совсем ясно, в чём именно галимость безопасности

    Да и речь только про kernel drivers, а не все драйверз - кернел

    p.s. ошибку нашёл

    Только вот этот странный человек не очень понял, что безопасность, когда это нужно «одной тысячЕ компаний в мире»

    Тысяче, Карл ;)

  2. Насчет ошибки - понимаю, согласен, спасибо, но цитаты никогда не редактирую, на то они и цитаты

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз