Безопасность Windows Vista через 90 дней: как идут дела?

Компании, занимающиеся безопасностью, говорят, что это зависит от того как, по вашему мнению, надо оценивать результаты Microsoft - то чего они достигли, или чего им осталось достигнуть.

Windows Vista, которая когда-нибудь станет превалирующей у бизнес-пользователей, исполнилось три месяца, и пришло время ответить на вопрос выполнила ли Microsoft свои обещания о безопасности данной ОС. Ответ зависит от того, какие обещания вы помните, и как именно нужно оценивать результаты - учитывая, что уже достигнуто, или чего осталось достигнуть.

Ответ прост - Windows Vista серьёзное усовершенствование предшествующих поколений ОС. И это общее мнение исследователей в области безопасности сторонних продавцов, которые надеются (и даже конкурируют) на эту ОС и менеджеров по безопасности в компаниях.

Меньшее количество выпускаемых для Windows Vista патчей, было одной из целей компании, «но давайте признаем, что в Windows Vista будут найдены уязвимости, и вот именно поэтому мы приняли стратегию глубокой защиты» - сказал Стефан Тулуз, главный менеджер по разработке в Microsoft Trustworthy Computing Group. Забыв свои старые заявления о том как Windows Vista улучшит безопасность компании, Microsoft справедливо признаёт, что сейчас безопасность - это нечто большее чем хорошо написанная ОС, с некоторыми функциями безопасности. Тулуз ясно дал понять, что Microsoft никогда не обещала, что с выходом Windows Vista прекратится выпуск ежемесячных обновлений, так как создать правильный на все 100% код просто невозможно.

С Windows Vista компания также рекламирует свои новые функции безопасности типа BitLocker, для полного шифрования диска, User Access Control и антишпион Windows Defender - ПО которое поставляется с каждой копией операционной системы. На конференциях по безопасности типа Black Hat, Microsoft рассказывала о новом, более безопасном процессе разработки во время создания Windows Vista. Сюда входило приглашение исследователей по безопасности для диалога с программистами Microsoft в Рэдмондском офисе компании в рамках программы Blue Hat.


UAC: Наиболее видимое изменение в безопасности Windows

Ни одна из особенностей безопасности новой ОС не вызвала среди исследователей безопасности, разработчиков ПО и пользователей таких кривотолков как User Access Control. UAC создавался с двойной целью - во первых, чтобы заставить Windows пользователей работать в ограниченной среде, и, во вторых, не позволить получать запущенным на ПК программам привилегированный доступ к ОС, что могло бы им позволить установить драйвер, или внести какие-либо другие изменения в ПК, без разрешения на то системного администратора. По-умолчанию, все предыдущие версии Windows создавали большинство учётных записей как членов группы локальных администраторов, гарантируя пользователю возможности необходимые для установки, обновления и запуска большинства приложений.

В Windows Vista, если пользователь захочет установить программу, ОС сначала проверит, имеет ли он достаточный уровень для этого, если нет - ему будет предложено ввести пароль администратора. Это также значит, что вредоносное ПО, включая руткиты, не сможет автоматически установиться на ваш компьютер.

«Предоставление обычным пользователям непривилегированного доступа к операционной системе - самое лучшее предотвращение установки приложений ведома пользователя» - заявил Тулуз.

Компания PayPal, занимающаяся онлайн платежами, в данный момент исследует Windows Vista для возможного развёртывания данной ОС в ближайшее время, начальник отдела информационной безопасности Майкл Барретт одобряет идею UAC: «Фактически, всё шло к этому, а особенно в плане предотвращения установки ПО без ведома пользователя» - соглашается Барретт. Чаще всего такое вредоносное ПО загружается, когда кибермошенники создают фишинг сайты, с которых пользователю, когда он их посещает, без его ведома, устанавливается вредоносное ПО. «С UAC приложения не смогут запускаться в фоновом режиме. Приложение не сможет быть установлено на ПК, так, чтобы пользователь об этом не узнал» - заявляет Барретт.

Также по заявлению Microsoft представленная в x64-битной версии ОС функция по защите ядра ОС, получившая название PatchGuard, будет распознавать любое приложение, созданное компаниями по разработке продуктов для обеспечения безопасности перед их интеграцией в систему. Конечно, у Microsoft есть конкурентные причины, чтобы не предоставлять, теперь соперничающим, компаниям по разработке программ для безопасности типа Symantec или McAfee, универсальный доступ к ядру Windows, но компания пошла на этот шаг, чтобы оградить авторов вредоносного ПО от эксплуатации тех же интерфейсов, что и сторонние разработчики. После большого количества возмущений со стороны вышеупомянутых компаний, Microsoft планирует к концу года предоставить этим компаниям новый API, который будет доступен в рамках Service Pack 1.

«PatchGuard в Windows Vista может быть отключён, и удалён» - заявил Оливер Фридрихс, директор Symantec Security Response, отдела компании по исследованиям безопасности. Правда, он также признал, что все компании работают над улучшением безопасности своих продуктов, тогда как хакеры придумывают всё новые способы взлома. «Это гонка вооружений» - заявил Фридрихс.

Microsoft попыталась решить некоторые из проблем с безопасностью мучивших IT-компании в последние десять лет, особенно это касается переполнения буфера, что позволяло атакующему получить удалённый доступ над системой. В Windows Vista была представлена технология получившая название Address Space Layout Randomization, которая в случайном порядке размещает приложение в адресном пространстве памяти компьютера, так что атакующему необходимо больше времени на создание переполнения буфера, что может позволить отключить атакующего раньше его успеха. «Это самое существенное усовершенствование» - заявил Фридрихс.

Однако, в Symantec не считают, что в Windows Vista будет много угроз для безопасности, в основном, потому что сейчас атакующие всё больше внимания уделяют приложениям запущенным в верхнем уровне ОС. Особенно это касается веб приложений, которые печально известны своей слабой безопасностью. «Атакующие сегодня чаще используют веб-основанные атаки, так как 78% ошибок в программах наблюдаются именно в данном секторе», заявил Фридрихс.

Тулуз заявил, что он не удивляется, когда другие компании разработчики смотрят на функции безопасности Windows Vista и говорят: «Мы можем их усовершенствовать». Фактически, добавил Тулуз, Microsoft просила совета на эту тему во время разработки Windows Vista. Одно из самых крупных изменений в Microsoft за последние несколько лет - готовность более внимательно слушать мнение окружающего мира, и Тулуз пообещал, что Microsoft будет продолжать учитывать поднятые проблемы безопасности в Windows Vista экспертами по безопасности.


Защита своего «Wow»-имиджа

Но это не значит, что Microsoft будет спокойно принимать всю критику, произносимую в её сторону, наоборот, компания подвергает сомнению методики тестирования её продуктов компаниями по исследованию безопасности. После выпуска Windows Vista, австралийская компания Enex Test Labs опубликовала исследование, по результатами которого Windows Defender блокировал всего 46.6% шпионского ПО, и обнаружил 53.4% при полном сканировании ПК. Тем временем, компания Webroot, занимающаяся антишпионским ПО опубликовала свой отчёт, по результатам которого во время двухнедельного тестирования программы Windows Defender, он пропускал 84% из 25 образцов шпионского и вредоносного кода. Тулуз поинтересовался, используют ли Enex и Webroot ту же методику классификации шпионского ПО, что и в Microsoft, а также отметил, что точность работы антишпионского ПО в большей степени зависит от образцов шпионского ПО, включённого в тест.

Настоящий тест Windows Vista на крепость пройдёт только со временем, когда эта ОС начнёт проникать в корпоративный сектор, будет установлена на пользовательские ПК и станет истинной целью для хакеров. «Многие из наших клиентов заявляют, что не планируют разворачивать у себя Windows Vista еще в течение 6 – 12 месяцев» - сказал Дон Леатам, директор по решениям и стратегиям в PatchLink, компании поставщика ПО для менеджмента патчей и уязвимостей. «Очень много компаний будут ждать выхода SP 1 перед обновлением на новую ОС. Хакеры в этом бизнесе ради денег, и им платят деньги за установку руткитов и шпионского ПО на как можно большее количество ПК».

Некоторые исследователи безопасности, включая Джоанну Рутковскую, исследователя безопасности для сингапурской компании по IT безопасности Coseinc, и Марка Шавлика, президента, исполнительного директора и куратора патчей Windows в Shavlik Technologies, заметили, что Microsoft забыла некоторые из своих обещаний о том как Windows Vista улучшит безопасность компаний. «Это был релиз направленный на безопасность, который должен был изменить мир» - говорит Шавлик, который работал в Microsoft как разработчик Windows NT c конца 80-х, до начала 90-х. Шавлик не так уверен что Windows Vista изменит мир.

Пока что, самый большой враг для Windows Vista - это компании, которые не смогут правильно её использовать. Чтобы UAC был эффективен, администраторы должны удостовериться, что они не раздали свои коды авторизации, что позволило бы пользователям без разбора скачивать и устанавливать программы. Для того, чтобы BitLocker шифровал данные, пользователи должны убедиться, что он запущен, а компании инвестировать деньги в ПК в которых будет установлен Trusted Platform Module чип, который хранит защищённую информацию, типа ключей шифрования.


Источник: http://www.informationweek.com
Перевод: prymara