Технологии Trusted Platform Modules (TPM) и BitLocker, конечно, способны
защитить компьютеры на базе Windows 7 от
опубликованных на прошлой
неделе методов атаки при загрузке, однако проблема заключается в том, что
они недоступны для большинства машин, и оставляют миллионы пользователей
следующей версии Windows беззащитными.
Беззащитными, например, к руткиту VBootkit 2.0, который два эксперта в
области безопасности представили на прошлой неделе в рамках прошедшей в Дубае
конференции Hack In The Box. Продемонстрированный ими рабочий образец атакует
компьютер во время загрузки операционной системы и получает системные права
доступа, после чего может удалять и вновь восстанавливать пароли, снимать защиту
DRM, да и много чего еще проделывать. А поскольку никакое сохраненное на жестком
диске программное обеспечение не изменяется, обнаружить заразу практически
невозможно.
В ответ на демонстрацию руткита один из представителей Microsoft заявил, что
Windows 7 поддерживает TPM (специальные микроконтроллеры, содержащие
зашифрованные ключи и цифровые подписи) и шифрование данных на жестком диске (BitLocker),
делая VBootkit 2.0 бесполезным.
Отчасти это правда, однако оба метода защиты доступны лишь в самых дорогих
версиях операционных систем, которые обычно устанавливаются на корпоративные ПК,
что делает их недоступными для простых пользователей. Например, BitLocker будет
доступен лишь для Windows 7 Enterprise и Windows 7 Ultimate, а в версиях
Professional, Home Premium, Home Basic и Starter этой технологии не будет. И то,
что для работы VBootkit 2.0 требуется физический доступ к компьютеру, здесь
оправданием служить не может.
Предшественник этого руткита, Bootkit, был выпущен с открытыми исходными
кодами, после чего другие люди модернизировали его для проведения удаленных атак
на компьютеры с Windows XP. Ситуация с VBootkit 2.0 – примерно та же самая,
поскольку его можно превратить в вирус для BIOS, в PXE-вирус или в обычный
вирус, активизирующийся при загрузке. Именно поэтому его создатели на этот раз
решили не раскрывать исходные коды руткита. Это обнадеживает, однако опыт
подсказывает, что если способ использования уязвимости однажды был найден одной
группой экспертов, он обязательно будет обнаружен и другими специалистами.