Автор вредоносного ПО (назовем его Мел) не может просто скопировать ключи из существующего загрузчика; он должен подписать свой двоичный файл закрытым ключом, который хранится в Microsoft. Тем не менее, Microsoft подписывает двоичные файлы для третьих сторон - разработчиков ОС (Red Hat, Canonical и т.д.) И даже отдельные лица получают двоичные файлы с подписью. Для этого вам необходимо предоставить документы и заплатить Verisign плату в размере 99 долларов. После этого Microsoft подпишет предоставленные вами двоичные файлы. Я понятия не имею, делают ли они какое-либо сканирование на вирусы на них, хотя; если это так, вполне возможно, что некоторые вредоносные программы будут обнаружены до того, как они смогут распространяться.
Предположим, однако, что Мел получает двоичный файл вредоносного ПО и начинает его распространение. В конце концов, он будет обнаружен исследователями безопасности или обнаружен пользователями, и кто-то заметит, что он подписан ключом Microsoft. В этот момент Microsoft получит уведомление и выпустит обновление Windows, которое добавит этот конкретный двоичный файл в черный список, чтобы он больше не загружался ни на одном компьютере, на котором регулярно обновляются обновления безопасности. Microsoft также узнает, что Мел является автором, так как они, вероятно, будут хранить копию всего, что они подпишут в случае возникновения таких проблем. Там будет бумажный след, включающий такие вещи, как номер кредитной карты, которая использовалась для оплаты услуг, и почтовый адрес, используемый для переписки. Предположительно, Microsoft передаст все это властям, и в конечном итоге Мел посетит полиция.
Конечно, можно представить сценарии, в которых достаточно мотивированный человек или преступная организация могли бы избежать таких последствий - они могли использовать украденную кредитную карту для оплаты Verisign, использовать временный адрес, который им нелегко отследить, и т.д. Гражданин США Шпионское агентство, такое как АНБ или ЦРУ, также может вмешаться, чтобы получить шпионское или саботажное программное обеспечение, такое как Flame, подписанное. Я ожидаю, что мы увидим, как обе эти вещи произойдут в нужный момент.
Суть в том, что Secure Boot создает препятствия для преодоления авторами вредоносного ПО, но это не непреодолимое препятствие. Это всего лишь один шаг в давней игре между авторами вредоносных программ и поставщиками ОС (прежде всего, Microsoft). У этого есть потенциал, чтобы улучшить безопасность, но еще неизвестно, насколько хорошо это будет работать.
