Команда WGA Windows: отчет о OEM BIOS-атаках

Я знаю, что многие из вас уже слышали информацию о попытке хакеров взломать OEM BIOS активацию. Мы знаем об этом способе взлома, и я хотел бы занять немного вашего времени, чтобы объяснить как он работает и как мы собираемся ответить на это.


Во-первых, что такое OEM BIOS активация?

Далее будет представлено немного информации о том, как OEM BIOS активация работает. Эта форма активации продукта также известна как OEM Activation или OA. Последнее обозначение и используется Microsoft, и я далее в этой статье буду его придерживаться.

Возвращаясь назад к Windows XP, когда Microsoft представила Windows Product Activation, мы пришли к выводу, что, помимо того, что она столь же проста, как и активация конечного пользователя, та активация являлась дополнительным шагом. Стремясь уменьшить влияние, оказываемое этим дополнительным шагом при активации, но при этом полностью сохранить эффективность системы активации изделия, Microsoft начала работы совместно с OEM-производителями, чтобы разработать систему, которая бы работала максимально удобно для них и для их клиентов, оставив при этом главной ее целью активацию продукта. Поскольку мы следили за разработкой такого решения, нам важно было гарантировать, что технология активации программы могла предоставлять приемлемый уровень защиты, при этом уменьшив потребность в дополнительных действиях со стороны конечного пользователя. Совокупность этих факторов и привела к появлению OA 1.0, которая была поставлена на Windows XP.

Крупные OEM-производители выпускают большое количество ПК с предустановленной Windows. У них также есть возможность в течение процесса производства идентифицировать системы, которые будут поставляться с предустановленной Windows.

К тому же, вследствие тесной связи Microsoft с такими OEM-производителями, компания может быть уверена, что подлинные COA будут прикреплены к каждому ПК, к тому же она будет с точностью знать, какое количество устройств будет отправлено на продажу с предустановленной Microsoft Windows.

Все это приводит к тому, что Microsoft и ведущие OEM-поставщики устанавливают метки в BIOS материнской платы производителя, чтобы идентифицировать OEM-системы, на которые должна была быть предустановлена лицензионная копия Windows XP. Такая метка, которая находится в определенном месте в BIOS материнской платы, предоставляет возможность Windows XP искать в BIOS соответствующее значение и, когда оно найдено, подтверждать, что она (ОС) загрузилась с ПК, который был продан определенным OEM-поставщиком и лицензирован для загрузки Windows.


Не в первый раз

За эти годы мы уже видели многие редакторы BIOS, которые, после некоторых манипуляции, позволяли пользователям отредактировать BIOS так, чтобы он казался OEM BIOS. В Windows XP такой вид редактирования BIOS не был столь труден, как в Windows Vista, и, вследствие того, что имелись более легкие пути для получения пиратской Windows XP, я не думаю, что ему уделялось большое внимание. Однако, вследствие того, что Windows Vista не может быть взломана также легко, как Windows XP, возможно, что многочисленные попытки сделать это приведут к увеличению усилий, направленных на взлом работы OEM Activation 2.0.


Взлом Windows Vista OEM

Кажется, на сегодня имеются два распространенных первоначальных варианта взлома OA 2.0. Первый подобен тому, который я упоминал выше, рассказывая о XP. Он заключается в том, чтобы с помощью редактирования BIOS материнской платы, заставить ее отображаться как OEM. Это довольно трудоемкий и весьма опасный процесс. Если вы неправильно измените BIOS какой-либо материнской платы, то вы можете легко сделать ее неработоспособной. Так что в том виде, в котором существует этот метод сегодня, он является потенциально опасным и может не подойти ко многим системам, что делает их более безопасными.

Второй метод не вносит никаких изменений в BIOS, а только использует программный подход для введения в заблуждение ОС во время ее попыток узнать, работает ли она на аппаратных средствах с действующей OA 2.0. При этом, хотя такой подход более прост для осуществления конечным пользователем, его также и легче обнаружить и обезвредить, чем способ, связанный с непосредственным внесением изменений в BIOS материнской платы.

Теперь я хочу немного поговорить о том, как мы планируем ответить на все это. Как я уже говорил, мы сосредоточены на атаках, которые представляют угрозу для наших клиентов, партнеров и программ. Стоит также отметить, что мы распределяем наши ответные действия по приоритетам, так как не всем попыткам взлома нужно уделять одинаковое внимание. У нас нет цели останавливать каждого "безумного ученого", который выполняет миссию по взлому Windows. Наша первоначальная цель состоит в том, чтобы разрушить деловую модель организованных торговцев контрафактной продукции и не дать пользователям стать их жертвой. Это означает, что мы собираемся сосредоточиться на предотвращении атак, которые являются легко масштабируемыми и могут быть использованы в коммерческих целях, делая при этом своими жертвами вполне добропорядочных пользователей.


Источник: http://blogs.msdn.com/wga
Перевод: Dazila