Подпись драйверов, еще одно сомнительное, но существенное изменение от Microsoft, требующее наличие цифровой подписи у всех kernel-mode драйверов; к сожалению, это также слабо помогает в противоборстве с изощренным вредоносным ПО. Проблема заключается в том, что доверенный и сертифицированный разработчик, переметнувшийся на темную сторону (или недовольный или уволенный сотрудник, обладающий цифровым сертификатом, выданным на имя его компании), может самостоятельно подписать драйвер своей персональной подписью и выпустить вредоносную программу. Драйвер сможет беспрепятственно загружаться на системах пользователей и работать на 64-битных версиях windows. Служба сертификации или Microsoft (как, например, в недавнем примере) могут, конечно, отозвать сертификат и таким образом запретить работу драйвера, но это требует некоторого времени и пользователи все равно подвергаются риску, пока драйвер работает.
Другая слабая сторона этого подхода заключается в том, что простой параметр командной строки может запретить вообще все подписи в windows 64 – довольно несложная операция для вредоносной программы. |
