Конференцията Black Hat: Откриха пробив в защитата на Windows Vista

---

Хакери и експерти по сигурността, отново се събраха в Лас Вегас, за да присъстват на брифингите, за да докажат техните умения, и да проверят новостите. Тази година се наблюдава намаляване на стандартните тестове за откриване на грешки и пропуски в сигурността. За сметка на това Microsoft решиха да проверят защитата и да тестват за евентуални слабости в кода на Windows Vista.
Интересното е, че докато Microsoft обсъждаха с експерти новия модел за сигурност в дългоочакваната Windows Vista, бяха направени демонстрации как се пробива защитата на операционна система. Йоана Рутковска - полски изследовател, работещ за базираната в Сингапур компания Coseinc, показа, че е възможно да се заобиколят мерките за сигурност във Vista, които трябва да предотвратят изпълнението на неподписан код.
За целите на демонстрацията, Рутковска показа, че могат да се използват възможностите на технологиите за виртуализация, за да се скрие зловредния код, по същия начин, по който работят rootkit инструментите. Беше създадена специална тестова зловредна програма наречена Blue Pill (синя таблетка).
Радостно е, че Microsoft проверява за възможни решения, преди излизане на официалната версия на Windows Vista, за да подобри защитата на операционната си система срещу демонстрираните на изложението атаки. В допълнение от корпорацията работят с техните хардуерни партньори, за да проучат възможностите за предотвратяване на атаки свързани с виртуализацията, използвани от приложения като Blue Pill.
На Black Hat конференцията, Microsoft раздадоха копия на ранна версия на Vista за тестване от всеки желаещ. Софтуерният гигант за момента се опитва да събере всички възможни мнения и да генерира огромен поток обратна връзка с наследника на успешния Windows XP, който по предварителна информация трябва да е достъпен през януари 2007.
Презентацията на Рутковска успя да препълни една от огромните бални зали в Caesars Palace, въпреки че се проведе в края на заключителните дни на годишната Black Hat конференция. Демонстрирана бе употребата на ранна тестова версия на Vista за изпълнение на пробива.
Като една от мерките за подобряване на сигурността във Vista, Microsoft добави механизъм, блокиращ изпълнението на драйвери, които не са цифрово подписани от производителите на съответните устройства за 64-битовата версия на операционната система. Приложението на Рутковска успешно преодоля тази защита и позволи кода на програмата да бъде изпълнен. Според експертите в областта зловредните драйвери са сериозен риск за сигурността, защото работят на ниско ниво в операционната система, и могат да доведат до непоправими щети за данните.
Факта, че този защитен механизъм е преодолян не означава, че Windows Vista е несигурна по подразбиране. По-скоро не е толкова сигурна, колкото е рекламирана. Според Рутковска е много трудно да се постигне 100 процентова сигурност на ниво ядро на операционната система.
За да се проведе успешно демонстрираната атака, Vista трябва да работи в администраторски режим. Това означава, че атаката може да бъде парирана от Microsoft User Account Control, - друг нов механизъм на Vista, при който компютъра работи с по-малко привилегии. UAC е ключов опит на Microsoft да предотврати пораженията от зловреден код, стартирани в администраторски режим - стандартна настройка за Windows XP.
Просто трябва да приемете предложението на UAC, за да активирате действията на зловредния код, както, без да се замислят много потребители правят, когато са затрупани от съобщения засягащи сигурността.
Microsoft се опитват да направят от Vista най-сигурната версия на Windows до момента. Тя е първата клиентска операционна система, която преминава през Security Development Lifecycle (Жизнен цикъл за разработка на сигурни приложения) на компанията - процес за преглеждане на кода и запълване на пропуските преди пускане на самият продукт.
Windows Vista съдържа много нива на защита и разнообразни механизми, включващи защитна стена, стартирана като обикновен потребител, защитена версия на Internet Explorer, поддръжка на /NX и ASLR права, които предотвратяват изпълнението на обикновен код с административни права.
След презентацията за заобикаляне на защитата от неподписани драйвери, Рутковска представи начина, по който е кодирала криещото се зловредно приложение Blue Pill. Програмата използва техническите възможности на Pacifica - сигурна машина за виртуализация на Advanced Micro Devices, за да остане незабелязана. Blue Pill може да действа като задна врата за атакуващите и да изпълнява други програми. Въпреки че е разработена чрез използването на Vista и технологията на AMD, техниката трябва да работи и на други операционни системи и хардуерни платформи.