Система сертификации драйверов от сторонних разработчиков в ОС Microsoft Windows предполагает, что программы проходят тщательные тесты на возможные уязвимости и специальные места, позволяющие получить дистанционный доступ к программе (“закладки”). Разумеется, обойти все защиты этой сертификации можно, но это достаточно сложно. Кроме того, при этом регистрируются данные о фирме, выпустившей драйвер, и, если в дальнейшем становится известно, что данная программа содержит возможность доступа к ней через интернет, то эти сведения сразу же сообщаются правоохранительным органам. Но неизвестным хакерам каким-то образом удалось обхитрить защиту Microsoft.
Процедура проверки драйверов и приложений в операционных системах служит для того, чтобы пользователи могли быть уверены в безопасности устанавливаемых программ. На самом же деле, она ничего не гарантирует, так как проверки делаются только формальные. К тому же процедура стандартная, и хакеры могут адаптировать к ней свои преступные творения.
В фирме Microsoft признают, что через программу подписания драйверов Windows Hardware Compatibility Program (WHCP) успешно прошла программа, позволяющая злоумышленникам использовать данный компьютер для своих целей.
Несколько дней назад Карстен Хан (Исследователь кибербезопасности из фирмы G Data) сделал заявление, что распространяемый среди игроков в Поднебесной сетевой драйвер Netfilter содержит руткит (хакерский инструмент для удаленного управления компьютером). Выдал эту программу — шпион подключения к серверам, находящимся в Китайской Народной Республике и принадлежащим фирме Ningbo Zhuo Zhi Innovation Network Technology.
Драйверу Netfilter удалось получить цифровую подпись WHCP. Он без проблем устанавливался на компьютеры пользователей. В Microsoft расследуют происшедшее. Пока фирма не нашла признаков кражи сертификатов авторами руткита.
Подобные случаи ещё раз доказывают — если у вас на компьютере есть хоть что-то секретное, то систему надо отключать от интернета (выходить в Сеть можно с телефона, планшета или другого компьютера). Это гораздо эффективнее, чем все встроенные в операционные системы механизмы защиты. Дыры есть практически в каждой сложной программе и многими из них активно пользуются злоумышленники.
