Экспромт хорош тогда, когда хорошо подготовлен

Журнал PC World спекулирует на тему "как бы Windows 12 могла улучшиться за счёт AI". Статья выглядит как творчество ChatGPT. Или это какая-то пародия?

https://www.pcworld.com/article/1508826/12-ways-ai-could-improve-windows-11-or-windows-12.html

В продолжение темы грамотного собаководства (1, 2, 3, 4, 5, 6, 7, 8, 9).

Сам факт наличия особых, свободных от телеметрии и бэкдоров, редакций десятой винды для правительств (Windows 10 China Government Edition, Windows 10 Enterprise G/GN) и для специальных применений (Azure Stack HCI), реконструированные сборки которых можно скачать, например, в непубличных разделах форума MyDigitalLife, наводит на соображения о том, что ленивым мелкомягким индусским жопам было бы влом поддерживать две совершенно разных винды (одну для лохов, другую для нормальных пацанов), и что отличается нормальная винда от лоховской, в общем-то не сильно, лишь набором компонент, да настройками в реестре.

Изучение разницы между утёкшей в паблик редакцией Windows 10 China Government Edition и обычной китайской редакцией Windows 10 позволило умельцам с форума mydigitallife.info создать скрипты для построения китайской правительственной редакции Windows 10 на основе файлов Windows 10 для обычных китайцев, а применение этих скриптов к обычной редакции Windows 10 Pro порождает редакцию для западных правительств, называемую Windows 10 Enterprise G (или нечто, на неё максимально похожее — достоверно подтвердить нельзя, т.к. утечек официального установочного ISO-файла Windows 10 Enterprise G/GN ещё не было).

Опираясь на эти результаты и продолжая наблюдать за сетевой активностью полученного уродца, другие кулибины (ameliorated.info) предлагают своё решение — изрядно обкусанную десятку, в которой часть компонент вырезана, часть заменена заглушками, а также вся шпионская дрянь, насколько это возможно, отключена настройками в реестре и в Group Policy. Предлагается два варианта на выбор: скачать готовый ISO-шник (для смелых) или набор скриптов для его создания на основе официального установочного ISO-шника Windows 10 Pro из MSDN. Готовые ISO-шники эта команда распространяет торрентами через Телегу, чтобы не подставлять свой домен под удар закона DMCA и юристов из Microsoft.

Мелкомягкие тролли в пабликах разных форумов наподобие HN на говно исходят, ругая Ameliorated-редакцию за отключённость автоматических обновлений, а значит, "сапоги хорошие, надо брать" — подумал я и ради интереса установил Ameliorated-редакцию Windows 10 (версию от 2020-10-31) в виртуальную машину с записью трафика, как описано здесь.

По итогам наблюдения за её сетевой активностью в течении нескольких месяцев, хочу отметить, что она не идеально герметична, но близко к тому (гораздо лучше, чем то, чего можно достичь самостоятельно путём выкусывания "всего ненужного" и путём настройки Group Policy в обычной Windows 10 Pro с помощью NTLite). В сочетании с Henry++ Simplewall, сетевую активность Ameliorated-редакции Windows 10 вполне можно, так сказать, загнать в рамки приличия, сделать эквивалентной сетевой активности Windows 7 — остаются только запросы к time.windows.com, msftncsi.com и CRL/OCSP-запросы наподобие ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab (которые, при желании, можно отключить настройками Group Policy для Crypto API).

Наблюдая за сетевой активностью этой винды с этим файерволлом, я добавил только несколько записей 0.0.0.0 в файл C:\Windows\System32\drivers\etc\hosts: для settings-win.data.microsoft.com, для displaycatalog.mp.microsoft.com и fs.microsoft.com. По сравнению с тысячами доменов обычной десятки — это, как говорится, небо и земля. Посмотрим, что будет дальше.

Эволюция вируса под названием Microsoft Windows продолжается. В новых версиях анонсирована функциональность вируса-шифровальщика (см. ниже).

Как мы знаем, Windows 10 представляет собой пример классического spyware, замаскированного под операционную систему: она пылесосит всевозможные данные с компьютера пользователя (логи запущенных программ, посещённых сайтов, логи клавиатуры, буфера обмена, скриншоты и т.п.). Также в ней содержатся элементы вируса-dropper'а: она умеет скачивать из интернета и запускать на выполнение новый программный код с заранее неизвестной и потенциально нежелательной функциональностью. Про встроенное adware, показывающее неотключаемую рекламу в меню Пуск (в редакциях Windows 10 Home), тоже все давно наслышаны.

Как дальше будет развиваться это вредоносное ПО, какие новые модули и функции в нём появятся со временем? Чем нас будут удивлять? Ответ на этот вопрос дают системные требования к новой версии Windows: Windows 11, а именно обязательная поддержка чипа TPM.

Что такое чип TPM и для чего он используется сейчас, в Windows 10 и более ранних версиях Windows? Он реализует технологию под названием Measured Boot и используется во встроенном в Windows Microsoft'овском ПО для полнодискового шифрования под названием BitLocker, для решения одной частной задачи. А точнее, TPM решает проблему "курицы и яйца".

Эта проблема заключается в том, что для обеспечения возможности ввода пароля пользователем необходимо сначала загрузить полную операционную систему (в том числе драйверы клавиатуры и дисплея, например), но эти драйверы хранятся на системном диске в зашифрованном виде, и для их расшифровки понадобится пароль (точнее, некоторый ключевой материал, вычисленный на основе пароля), который в контексте загрузчика ОС неизвестен. А если бы был известен, тогда этот пароль/ключ можно было бы оттуда извлечь и расшифровать файлы на диске C: вообще без знания пароля, заданного пользователем.

Для решения этой проблемы применяется аппаратная поддержка в виде TPM-чипа: копия ключевого материала для расшифровки системного диска хранится в TPM и предоставляется программному обеспечению только в том случае, если Measured Boot идет как обычно (т.е. если это загрузчик ОС Windows, а не загруженная с USB-накопителя ОС Linux). Далее Windows загружается почти до рабочего стола, спрашивает пароль у пользователя и вычисляет из него ключ шифрования, но не для расшифровки, а просто для сверки с эталоном. Планшеты Microsoft Surface уже сейчас поставляются с по умолчанию зашифрованным системным диском (на неизвестном ключе, копия которого хранится в TPM, и неизвестно где ещё, хехе). Пароль к битлокеру по умолчанию пуст, но его можно изменить.

(На очевидный вопрос о том, почему бы мелкомягким не встроить копию драйвера клавиатуры или, там, тачскрина от сёрфейсов, прямо в загрузчик, как в своё время делал TrueCrypt, и обойтись вообще без TPM, отвечу так: this is a national security matter, не умничайте, товарищу майору виднее, что куда встраивать, а запасной ключ от диска C: в TPM "никому не повредит", особенно если его забэкапить "куда следует" прямо при производстве устройства.)

Гипотеза о том, что TPM в обязательном порядке нужен одиннадцатой винде только лишь для того, чтобы осчастливить всех страждущих забэкдоренным битлокером, как по мне, излишне оптимистична. Вообще говоря, при наличии TPM, диск C: можно зашифровать юзеру и не тем паролем/ключом, который у него в битлокере. Кто сказал, что пароль должен совпадать? (Это пока, до сих пор пароль совпадал в TPM и битлокере. Это же ничего не значит, как известно, правила меняются, до Windows 8.1 включительно и обновления Windows можно было отключать.) Так вот, при наличии TPM, диск C: можно зашифровать юзеру просто всегда, даже когда у того несчастного нет никакого битлокера и в помине. Зачем? Ну, например, для DRM: для того, чтобы чересчур любопытные юзеры не ковырялись в файлах операционной системы (подключив загрузочный носитель к другому компьютеру например, или из-под Linux'а, загруженного с флешки). Если совместить это "шифрование-через-не-хочу" с обязательной установкой ОС из облака (это когда у вас на установочной флешке есть только \sources\boot.wim, но не \sources\install.esd, и все файлы для будущего диска C: по ходу установки винды скачиваются из облака), можно вообще скрыть содержимое диска C: от любопытных глаз исследователей по всему миру. На диске C: может быть любое количество любых файлов с любым содержимым; при этом в интерфейсе ОС можно показывать не все файлы, или не всегда, или с подменой содержимого "на лету"; а извне такой диск C: будет всегда выглядеть как равномерно распределённая случайная последовательность нулей и единиц.

Конечно, в контексте этой технологии речь идёт не только о шифровании файлов ОС. Файлы пользователя тоже можно шифровать: не продлил подписку на Office 365 — годовой отчёт не открывается. Как видите, новые возможности (по зарабатыванию денег Microsoft'ом) поистине безграничны!

Короче, эволюция вируса под названием Microsoft Windows продолжается в предсказуемом направлении: вирус-шифровальщик. Если хорошенько подумать, то очевидно, что других вариантов-то и не было.

После установки обновления KB4592438 к десятой винде ближайший запуск ChkDsk невосстановимо повреждает файловую систему на диске C: (например, если перед этим неаккуратно завершить работу системы). Также непосредственный запуск ChkDsk (например, "chkdsk c: /f" из консоли WinPE) влечёт BSoD: https://borncity.com/win/2020/12/18/windows-10-20h2-chkdsk-damages-file-system-on-ssds-with-update-kb4592438-installed/



Более детальный анализ NTFS-тома показывает повреждение "файла 9" ($Secure, который содержит дескрипторы безопасности для всех файлов на томе), а также повреждение аттрибута BITMAP для Master File Table (это битовая карта, где каждый бит соответствует занятости соответствующего MFT-слота, используется драйвером NTFS для поиска свободных слотов в MFT; каждый слот соответствует одному файлу или каталогу и имеет размер 1 Кб).

В Windows API есть функция для установки кванта времени scheduler'а (планировщика задач ядра) — timeBeginPeriod(). Эквивалент в NT Native API, обеспечивающий субмиллисекундную точность — NtSetTimerResolution().

Когда некий процесс вызывает системную функцию Sleep[Ex](), или WaitForSingleObject[Ex]() с таймаутом, или WaitForMultipleObjects[Ex]() с таймаутом, или GetQueuedCompletionStatus[Ex]() с таймаутом, то параметр-таймаут понимается ядром Windows не как "сделать задержку на заданное количество миллисекунд", а как "сделать задержку на не менее чем заданное количество миллисекунд"; однако точность этой задержки можно повысить, вызывая timeBeginPeriod() с небольшими значениями аргумента. Повышенная точность задержки достигается ценою повышенной частоты срабатывания прерывания системного таймера, и следовательно, ценою повышенного расхода заряда батареи на ноутбуках.

Если несколько процессов вызовут функцию timeBeginPeriod(), тогда побеждает наименьшее значение.

Так было во всех версиях Windows на NT-ядре, от Windows NT 3.5 (которая вышла в 1994 году) до Windows 10 1909 — это график зависимости максимального времени задержки при вызове Sleep(1) от периода срабатывания прерывания системного таймера, все цифры в миллисекундах:


А вот так стало, начиная с Windows 10 2004:



via https://randomascii.wordpress.com/2020/10/04/windows-timer-resolution-the-great-rule-change/

Какой-то хобот завернул свою малварь в самораспаковывающийся архив, созданный с помощью WinRAR, далее информация о детекции этой малвари распространилась между 60+ вендорами антималвари через VirusTotal (из которых добрая половина — китайский ноунейм), а в кульминационный момент этой драмы какой-то овощ из CA (certificate authority: контора, которая выдаёт вендорам софта сертификаты для цифровой подписи кода) отозвал сертификат, которым подписывается WinRAR. То есть включил этот сертификат в CRL (certificate revocation list, список отозванных сертификатов).

В итоге, программа WinRAR последней версии не запускается и не устанавливается нигде, она перестала работать на всех компьютерах в мире. А далее драма переходит в фарс: овощи из CA полностью выпадают на мороз ("пока не решите проблему с VirusTotal, нового сертификата не будет"), в результате чего авторы WinRAR почему-то паникуют, поддаются на вымогательство и быстренько бегут покупать аналогичный сертификат для подписи кода у других подобных скаммерсантов.

https://web.archive.org/web/20200827101709/https://www.rarlab.com/revoked591.html

Хотя наиболее логичным на месте авторов WinRAR было бы послать всех этих CA-шантажистов к хуям собачьим и просто-напросто перестать подписывать свою программу вообще, даже если все сертификаты для подписи кода будут полностью на шару а-ля LetsEncrypt. Пущай юзвери-хомячки дрессируются на прокликивание ворнингов, нефик вендорам софта поощрять это CA-вымогательство.

WinRAR находится на таком уровне, что он сам вправе требовать от этой CA-шпаны оплату на уровне не менее $1000 в месяц за привилегию предоставить ему сертификат для подписи кода, и при этом ещё и ломать комедию и придираться к ерундовым мелочам.

Когда-то была такая программа для прототипирования интерфейсов: Balsamiq Mockups. Она была реализована на базе платформы Adobe AIR (для тех кто в танке, кратко суть: Adobe Flash для обычных приложений, вне браузера), по всей видимости разработчики хотели таким способом избежать сложности поддержки своей софтины для трёх платформ (Windows, Mac и Linux).

В те времена у Balsamiq Mockups был совершенно примитивный механизм защиты от пиратства: валидатор регистрационных ключей на базе асимметричной криптографии. Онлайн-активации не было. Традиционный для таких случаев подход (кряк, который заменяет открытый ключ + кейген на базе нового закрытого ключа) был не нужен. Всё было гораздо проще: прямо в программу был встроен блэклист утёкших в паблик регистрационных ключей (в кодировке base64). А далее просто берём готовый ключ из блэклиста, у которого в конце есть хотя-бы один символ паддинга ("="), и меняем последний символ перед "=" на такой, который сохраняет результат base64-декодирования; ну и разумеется, спокойно проходим активацию. It was like taking candy from a baby. В каком-то смысле, это была самовзламывающаяся программа.

Затем Adobe внезапно прекратила поддержку своей платформы AIR и ребятам из Balsamiq таки пришлось переписать свой продукт с нуля на native API для двух платформ: Windows и Mac. (Поддержка Linux по ходу где-то потерялась.) Теперь он называется Balsamiq Wireframes for Desktop. Не понимаю, почему, но почему-то в случае с Windows они решили, что нативной платформой является .NET. На сей раз с активацией всё по-взрослому: никаких вшитых в программу блэклистов, вместо этого есть обязательная онлайн-активация с привязкой к железу (хотя обещают, что лицензия привязана к юзеру, а не к железу — в общем, врут, гады; может, так пасут утечки, не знаю). С другой стороны, это же дотнет, а значит, в нашем распоряжении есть такой замечательный инструмент как dnSpy.

Прогресс в декомпиляторостроении для дотнетовской платформы, достигнутый в последние годы, меня просто поражает. Если вдруг вы не знали, dnSpy берёт дотнетовские сборки заданного процесса (туеву хучу DLLек, сотню или около того, размером в четвертьгига например) и просто, чёрт возьми, показывает их исходные коды! Можно открывать каждый namespace, каждый класс, каждое поле и каждый метод, читать код, ставить точки останова, step in и step over, изучать состояние локальных переменных, короче говоря, хозяйничать как будто это ваш исходный код! Разумеется, при таких раскладах, отучение нового Бальзамика от жадности заняло два дня, один из которых я потратил на изучение с нуля дотнетовского ассемблера и безрезультатные ковыряния в IDA.

Ну, я-то, бывалый C++ник, всегда подозревал, что Microsoft разработала платформу .NET с настолько богатыми метаданными, чтобы иметь возможность подглядывать в чужие исходники. Но чтобы так нагло? Просто полностью декомпилировать чужой код до последнего байта? (Единственное, что не учли в Microsoft'е, так это возможность разработки другими людьми таких же мощных инструментов для декомпиляции на дотнетовской платформе, хе-хе. И кстати, свою любимую винду они на дотнете переписывать не спешат. Ах, как жаль. Какая досада...)

Microsoft начала показывать анти-Firefox'овскую рекламу в меню Пуск десятой винды:
https://news.ycombinator.com/item?id=22288599
(ИЧСХ, в каментах активно срут мелкомягкие тролли, по-английски это называется astroturfing, их основной риторический приём — whataboutism).

Несколькими днями ранее на платформе Microsoft Azure произошёл сбой, из-за которого часть серверов, обеспечивающих функцию Поиск в Windows 10, временно стала недоступной. Пользователи в удивлении — почему не работает поиск локальных файлов, даже когда у них в реестре отключён поиск через Bing (задан параметр HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\BingSearchEnabled=REG_DWORD:0) и там же отключена Cortana (CortanaConsent=REG_DWORD:0). "Наши поисковые индексы для локальных файлов хранятся в майкрософтовском облаке?" — вопрошают наивные души — конечно, милые мои, а где ж им ещё храниться? Не для того ж вы при установке 10-й винды соглашались с лицензионным соглашением, дающим Microsoft'у права на неограниченную слежку за вами, чтобы эти индексы хранились у вас локально:
https://www.forbes.com/sites/gordonkelly/2020/02/09/windows-10-warning-serious-failure-provokes-questions-and-anger/#7aaadb3234f4
https://news.ycombinator.com/item?id=22272107

Учитывая неотключаемые обновления в десятой винде, то ли ещё будет.

Главный мелкомягкий индус готовится к "великому исходу" винды в облака, а также к её переименованию в Azure Edge (!), и мечтает попутно включить в свою шпионскую сеть десятки миллиардов IoT-устройств:
https://www.theverge.com/2020/1/21/21071108/microsoft-ceo-satya-nadella-iot-windows-ios-android-future
По-моему, они все там поехали крышей от безнаказанности: идея шпионить за всеми и продавать данные налево и направо им очевидно зашла!

Аффилиатные барыги уже потирают руки в предвкушении бабла с большой буквы Б:
https://www.crn.com/news/cloud/disrupt-2020-igel-s-linux-os-is-an-azure-windows-virtual-desktop-game-changer-
(ясен пень, если лох каждый год платит за Office 365, то тут уже можно вволю разгуляться, не давая доступ к его данным, а если при этом ещё и запретить лохам запускать LibreOffice, Chrome и Firefox, ну тогда вообще).

А ещё они недавно очередным апдейтом что-то там сломали в Windows Server 2008 R2, да так сурово, что винда после установки этого апдейта уже даже перестала загружаться. Да, опять. Причём это была попытка исправить какое-то более раннее исправление. "Microsoft is currently not aware of any issues that affect this update", ага.
https://www.theregister.co.uk/2020/02/11/infinite_fix_recursion/

В винде (всех версий, начиная от XP) нашлась локально эксплуатируемая уязвимость, которая позволяет любому процессу повысить свои привилегии в системе до максимальных ("NT AUTHORITY\SYSTEM"):

https://googleprojectzero.blogspot.com/2019/08/down-rabbit-hole.html
https://bugs.chromium.org/p/project-zero/issues/detail?id=1859
https://news.ycombinator.com/item?id=20685951
https://github.com/taviso/ctftool

Уязвимость связана с IME/CTF (переключение раскладки клавиатуры) и её не так-то просто исправить, потому что это не ошибка кодирования, а ошибка проектирования протокола CTF (который связывает специальный серверный процесс ctfmon.exe с каждым GUI-приложением, куда можно что-нибудь ввести, и следовательно, где можно переключить раскладку клавиатуры). В протоколе CTF предусмотрена передача сообщений, которые содержат такие поля как ProcessId, ThreadId и Hwnd, однако какая-либо валидация этих полей в контексте серверного процесса не произодится (можно ссылаться на чужие процессы, потоки и окна). Также в контексте CTF-сервера есть уязвимости типа вызова функции из таблицы указателей по индексу (без проверки границ), множество удобных гаджетов, а протокол маршаллинга CTF-сообщений спроектирован насколько безнадёжно, что предоставляет способ узнать значение стекового указателя в контексте CTF-сервера (!), чем на корню подрывает виндово-десяточный ASLR.

Эксплуатация уязвимости выглядит довольно внушительно: сначала непривилегированный атакующий процесс своими действиями провоцирует поднятие окна подтверждения UAC; далее встроенный в винду системный процесс consent.exe, выполняющийся от имени встроенной учётной записи "NT AUTHORITY\SYSTEM", рисует то самое UAC-окно; а затем, в обход UIPI, consent.exe просто подвергается атаке через дырки в CTF-протоколе, и в контексте этого процесса происходит выполнение произвольного кода; песенка спета.

Это реально жесть. Microsoft'у теперь такое джва года чинить. Скорее всего, вся IME/CTF-подсистема в винде будет выброшена нахрен и переписана с нуля, с соответствующими последствиями для совместимости.

В продолжение темы грамотного собаководства.

Немецкий компьютерный журнал PC Welt недавно опубликовал большую статью на тему телеметрии в Windows 10 и методов её отключения (выпуск #5/2019, стр 38-42).

Журнальная статья ссылается на исследование, которое провела немецкая спецслужба BSI (Федеральное управление по информационной безопасности) по запросу парламентской группы "Die Linke" к федеральному правительству на тему информационной безопасности десятой винды. Исследование называется SiSyPHuS^* Win10 и на него уже успели потратить 1.37 млн евро.

Те, кто силён в немецком, смогут самостоятельно осилить оригинал и разобраться (по приведённой ссылке особенно интересна вторая PDFка), а я здесь кратко-конспективно изложу суть этой публикации.

( Итак, что удалось выяснить )