![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Windows 11
2021-07-03 05:20 pmЭволюция вируса под названием Microsoft Windows продолжается. В новых версиях анонсирована функциональность вируса-шифровальщика (см. ниже).
Как мы знаем, Windows 10 представляет собой пример классического spyware, замаскированного под операционную систему: она пылесосит всевозможные данные с компьютера пользователя (логи запущенных программ, посещённых сайтов, логи клавиатуры, буфера обмена, скриншоты и т.п.). Также в ней содержатся элементы вируса-dropper'а: она умеет скачивать из интернета и запускать на выполнение новый программный код с заранее неизвестной и потенциально нежелательной функциональностью. Про встроенное adware, показывающее неотключаемую рекламу в меню Пуск (в редакциях Windows 10 Home), тоже все давно наслышаны.
Как дальше будет развиваться это вредоносное ПО, какие новые модули и функции в нём появятся со временем? Чем нас будут удивлять? Ответ на этот вопрос дают системные требования к новой версии Windows: Windows 11, а именно обязательная поддержка чипа TPM.
Что такое чип TPM и для чего он используется сейчас, в Windows 10 и более ранних версиях Windows? Он реализует технологию под названием Measured Boot и используется во встроенном в Windows Microsoft'овском ПО для полнодискового шифрования под названием BitLocker, для решения одной частной задачи. А точнее, TPM решает проблему "курицы и яйца".
Эта проблема заключается в том, что для обеспечения возможности ввода пароля пользователем необходимо сначала загрузить полную операционную систему (в том числе драйверы клавиатуры и дисплея, например), но эти драйверы хранятся на системном диске в зашифрованном виде, и для их расшифровки понадобится пароль (точнее, некоторый ключевой материал, вычисленный на основе пароля), который в контексте загрузчика ОС неизвестен. А если бы был известен, тогда этот пароль/ключ можно было бы оттуда извлечь и расшифровать файлы на диске C: вообще без знания пароля, заданного пользователем.
Для решения этой проблемы применяется аппаратная поддержка в виде TPM-чипа: копия ключевого материала для расшифровки системного диска хранится в TPM и предоставляется программному обеспечению только в том случае, если Measured Boot идет как обычно (т.е. если это загрузчик ОС Windows, а не загруженная с USB-накопителя ОС Linux). Далее Windows загружается почти до рабочего стола, спрашивает пароль у пользователя и вычисляет из него ключ шифрования, но не для расшифровки, а просто для сверки с эталоном. Планшеты Microsoft Surface уже сейчас поставляются с по умолчанию зашифрованным системным диском (на неизвестном ключе, копия которого хранится в TPM, и неизвестно где ещё, хехе). Пароль к битлокеру по умолчанию пуст, но его можно изменить.
(На очевидный вопрос о том, почему бы мелкомягким не встроить копию драйвера клавиатуры или, там, тачскрина от сёрфейсов, прямо в загрузчик, как в своё время делал TrueCrypt, и обойтись вообще без TPM, отвечу так: this is a national security matter, не умничайте, товарищу майору виднее, что куда встраивать, а запасной ключ от диска C: в TPM "никому не повредит", особенно если его забэкапить "куда следует" прямо при производстве устройства.)
Гипотеза о том, что TPM в обязательном порядке нужен одиннадцатой винде только лишь для того, чтобы осчастливить всех страждущих забэкдоренным битлокером, как по мне, излишне оптимистична. Вообще говоря, при наличии TPM, диск C: можно зашифровать юзеру и не тем паролем/ключом, который у него в битлокере. Кто сказал, что пароль должен совпадать? (Это пока, до сих пор пароль совпадал в TPM и битлокере. Это же ничего не значит, как известно, правила меняются, до Windows 8.1 включительно и обновления Windows можно было отключать.) Так вот, при наличии TPM, диск C: можно зашифровать юзеру просто всегда, даже когда у того несчастного нет никакого битлокера и в помине. Зачем? Ну, например, для DRM: для того, чтобы чересчур любопытные юзеры не ковырялись в файлах операционной системы (подключив загрузочный носитель к другому компьютеру например, или из-под Linux'а, загруженного с флешки). Если совместить это "шифрование-через-не-хочу" с обязательной установкой ОС из облака (это когда у вас на установочной флешке есть только \sources\boot.wim, но не \sources\install.esd, и все файлы для будущего диска C: по ходу установки винды скачиваются из облака), можно вообще скрыть содержимое диска C: от любопытных глаз исследователей по всему миру. На диске C: может быть любое количество любых файлов с любым содержимым; при этом в интерфейсе ОС можно показывать не все файлы, или не всегда, или с подменой содержимого "на лету"; а извне такой диск C: будет всегда выглядеть как равномерно распределённая случайная последовательность нулей и единиц.
Конечно, в контексте этой технологии речь идёт не только о шифровании файлов ОС. Файлы пользователя тоже можно шифровать: не продлил подписку на Office 365 — годовой отчёт не открывается. Как видите, новые возможности (по зарабатыванию денег Microsoft'ом) поистине безграничны!
Короче, эволюция вируса под названием Microsoft Windows продолжается в предсказуемом направлении: вирус-шифровальщик. Если хорошенько подумать, то очевидно, что других вариантов-то и не было.
Как мы знаем, Windows 10 представляет собой пример классического spyware, замаскированного под операционную систему: она пылесосит всевозможные данные с компьютера пользователя (логи запущенных программ, посещённых сайтов, логи клавиатуры, буфера обмена, скриншоты и т.п.). Также в ней содержатся элементы вируса-dropper'а: она умеет скачивать из интернета и запускать на выполнение новый программный код с заранее неизвестной и потенциально нежелательной функциональностью. Про встроенное adware, показывающее неотключаемую рекламу в меню Пуск (в редакциях Windows 10 Home), тоже все давно наслышаны.
Как дальше будет развиваться это вредоносное ПО, какие новые модули и функции в нём появятся со временем? Чем нас будут удивлять? Ответ на этот вопрос дают системные требования к новой версии Windows: Windows 11, а именно обязательная поддержка чипа TPM.
Что такое чип TPM и для чего он используется сейчас, в Windows 10 и более ранних версиях Windows? Он реализует технологию под названием Measured Boot и используется во встроенном в Windows Microsoft'овском ПО для полнодискового шифрования под названием BitLocker, для решения одной частной задачи. А точнее, TPM решает проблему "курицы и яйца".
Эта проблема заключается в том, что для обеспечения возможности ввода пароля пользователем необходимо сначала загрузить полную операционную систему (в том числе драйверы клавиатуры и дисплея, например), но эти драйверы хранятся на системном диске в зашифрованном виде, и для их расшифровки понадобится пароль (точнее, некоторый ключевой материал, вычисленный на основе пароля), который в контексте загрузчика ОС неизвестен. А если бы был известен, тогда этот пароль/ключ можно было бы оттуда извлечь и расшифровать файлы на диске C: вообще без знания пароля, заданного пользователем.
Для решения этой проблемы применяется аппаратная поддержка в виде TPM-чипа: копия ключевого материала для расшифровки системного диска хранится в TPM и предоставляется программному обеспечению только в том случае, если Measured Boot идет как обычно (т.е. если это загрузчик ОС Windows, а не загруженная с USB-накопителя ОС Linux). Далее Windows загружается почти до рабочего стола, спрашивает пароль у пользователя и вычисляет из него ключ шифрования, но не для расшифровки, а просто для сверки с эталоном. Планшеты Microsoft Surface уже сейчас поставляются с по умолчанию зашифрованным системным диском (на неизвестном ключе, копия которого хранится в TPM, и неизвестно где ещё, хехе). Пароль к битлокеру по умолчанию пуст, но его можно изменить.
(На очевидный вопрос о том, почему бы мелкомягким не встроить копию драйвера клавиатуры или, там, тачскрина от сёрфейсов, прямо в загрузчик, как в своё время делал TrueCrypt, и обойтись вообще без TPM, отвечу так: this is a national security matter, не умничайте, товарищу майору виднее, что куда встраивать, а запасной ключ от диска C: в TPM "никому не повредит", особенно если его забэкапить "куда следует" прямо при производстве устройства.)
Гипотеза о том, что TPM в обязательном порядке нужен одиннадцатой винде только лишь для того, чтобы осчастливить всех страждущих забэкдоренным битлокером, как по мне, излишне оптимистична. Вообще говоря, при наличии TPM, диск C: можно зашифровать юзеру и не тем паролем/ключом, который у него в битлокере. Кто сказал, что пароль должен совпадать? (Это пока, до сих пор пароль совпадал в TPM и битлокере. Это же ничего не значит, как известно, правила меняются, до Windows 8.1 включительно и обновления Windows можно было отключать.) Так вот, при наличии TPM, диск C: можно зашифровать юзеру просто всегда, даже когда у того несчастного нет никакого битлокера и в помине. Зачем? Ну, например, для DRM: для того, чтобы чересчур любопытные юзеры не ковырялись в файлах операционной системы (подключив загрузочный носитель к другому компьютеру например, или из-под Linux'а, загруженного с флешки). Если совместить это "шифрование-через-не-хочу" с обязательной установкой ОС из облака (это когда у вас на установочной флешке есть только \sources\boot.wim, но не \sources\install.esd, и все файлы для будущего диска C: по ходу установки винды скачиваются из облака), можно вообще скрыть содержимое диска C: от любопытных глаз исследователей по всему миру. На диске C: может быть любое количество любых файлов с любым содержимым; при этом в интерфейсе ОС можно показывать не все файлы, или не всегда, или с подменой содержимого "на лету"; а извне такой диск C: будет всегда выглядеть как равномерно распределённая случайная последовательность нулей и единиц.
Конечно, в контексте этой технологии речь идёт не только о шифровании файлов ОС. Файлы пользователя тоже можно шифровать: не продлил подписку на Office 365 — годовой отчёт не открывается. Как видите, новые возможности (по зарабатыванию денег Microsoft'ом) поистине безграничны!
Короче, эволюция вируса под названием Microsoft Windows продолжается в предсказуемом направлении: вирус-шифровальщик. Если хорошенько подумать, то очевидно, что других вариантов-то и не было.
