Радикально? Нет. Эти граничные случаи — как раз то, на что может целиться атакующий. Если в повседневной жизни они не возникают, то тут возникнуть вполне могут.
...
Масштаб проблемы серьезный, сама проблема носит принципиальный характер, поэтому и пишу, что "не работает".
Основной задачей для процедуры КЦ модуля доверенной загрузки является проверка системных файлов ОС (на их неизменность) и проверка на неизменность системных каталогов ОС (ну и проведение симметричных операций для реестра Windows, если идет речь об этой ОС). Списки каталогов/файлов (ключей/значений реестра) составляются либо администратором, либо получаются автоматически по некоторой фиксированной логике, либо вообще приходят извне (от лабораторий/регуляторов). Сам процесс КЦ неплохо проверяется на многих версиях и сборках ОС, т.е. правильность функционирования КЦ подтверждается практикой. Ну просто невозможно согласиться с радикальным “не работает” и все.
Согласен с тем, что очень сложно поддержать все граничные случаи, но для большинства практических сценариев этого более чем достаточно.
По сути смысл всего этого объемного комментария в том, что разница в реализации может быть фатальной в определенных (краевых) случаях. Более того, даже следование какому бы то ни было “бумажному” стандарту не спасает ситуацию, т.к. фактически надо учитывать специфику реального стандарта, который может иметь отступления от “бумажного” стандарта или иметь проблемы реализации, которые сами по себе со временем могут становиться расширением стандарта.
Все это верно, но делать после этого вывод о том, что предзагрузочный контроль целостности именно поэтому не работает – очень радикально. На краевых случаях – возможны проблемы, но они выявляются и решаются.
Отключаете режим "fast startup"? Поздравляю, его элемент — запись данных реестра только в журнал транзакций — можно активировать путем изменения одной переменной ядра.
Журнал транзакций той же NTFS в ViPNet SafeBoot контролируется на непустоту – скорее всего, приведенный сценарий не пройдет (хотя он описан очень поверхностно). Да и непонятно, с чем именно поздравляете :).
P. S. А можно еще вернуться во времена, когда ставился "бряк" на 0x0000:0x7C00, чтобы вместо загрузчика операционной системы подставить загрузчик того самого "Аккорд-АМДЗ". У них в старых моделях вообще парсинг всего сделан — достойно, но неэффективно.
А вот здесь противоречие всему написанному выше – “Все животные равны, но некоторые равнее других”? :)
Основной задачей для процедуры КЦ модуля доверенной загрузки является проверка системных файлов ОС (на их неизменность) и проверка на неизменность системных каталогов ОС (ну и проведение симметричных операций для реестра Windows, если идет речь об этой ОС). Списки каталогов/файлов (ключей/значений реестра) составляются либо администратором, либо получаются автоматически по некоторой фиксированной логике, либо вообще приходят извне (от лабораторий/регуляторов). Сам процесс КЦ неплохо проверяется на многих версиях и сборках ОС, т.е. правильность функционирования КЦ подтверждается практикой. Ну просто невозможно согласиться с радикальным “не работает” и все.
Согласен с тем, что очень сложно поддержать все граничные случаи, но для большинства практических сценариев этого более чем достаточно.
По сути смысл всего этого объемного комментария в том, что разница в реализации может быть фатальной в определенных (краевых) случаях. Более того, даже следование какому бы то ни было “бумажному” стандарту не спасает ситуацию, т.к. фактически надо учитывать специфику реального стандарта, который может иметь отступления от “бумажного” стандарта или иметь проблемы реализации, которые сами по себе со временем могут становиться расширением стандарта.
Все это верно, но делать после этого вывод о том, что предзагрузочный контроль целостности именно поэтому не работает – очень радикально. На краевых случаях – возможны проблемы, но они выявляются и решаются.
Журнал транзакций той же NTFS в ViPNet SafeBoot контролируется на непустоту – скорее всего, приведенный сценарий не пройдет (хотя он описан очень поверхностно). Да и непонятно, с чем именно поздравляете :).
А вот здесь противоречие всему написанному выше – “Все животные равны, но некоторые равнее других”? :)