Vista versus wirusy

Alisa Shevchenko
Analityk wirus贸w, Kaspersky Lab

Windows Vista, najnowszy system operacyjny firmy Microsoftu, pozycjonowany jest jako produkt zapewniaj膮cy zwi臋kszon膮 ochron臋. Jednak, zanim jeszcze udost臋pniono wersj臋 beta, spo艂eczno艣膰 komputerowa zastanawia艂a si臋, na ile realistyczne s膮 twierdzenia o zwi臋kszonym bezpiecze艅stwie Visty. Czym dok艂adnie wyr贸偶niaj膮 si臋 funkcje, kt贸re maj膮 zapewni膰 u偶ytkownikowi bezpiecze艅stwo? Jak skuteczne oka偶膮 si臋 w rzeczywisto艣ci? Czy to prawda, 偶e po opublikowaniu Visty oprogramowanie antywirusowe nie b臋dzie ju偶 potrzebne? Artyku艂 ten zawiera odpowiedzi na kilka z tych pyta艅.

Cieszymy si臋, 偶e tw贸rca najbardziej rozpowszechnionego systemu operacyjnego dla komputer贸w PC powa偶nie potraktowa艂 kwesti臋 bezpiecze艅stwa u偶ytkownik贸w. Instaluj膮c Vist臋 mo偶emy by膰 przynajmniej pewni, 偶e tw贸rcy produktu podj臋li wsp贸lny wysi艂ek zintegrowania ochrony przed cyberzagro偶eniami oraz, 偶e b臋d膮 kontynuowali to w przysz艂o艣ci. Jednak funkcje bezpiecze艅stwa zaimplementowane obecnie w Vi艣cie nie s膮 tak wszechstronne, aby u偶ytkownicy mogli po偶egna膰 si臋 z innymi programami s艂u偶膮cymi do zapewnienia bezpiecze艅stwa. (Wi臋cej na ten temat napisa艂a Natalya Kaspersky w artykule Bezpiecze艅stwo od Microsoftu - drzwi do nowego wspania艂ego 艣wiata?).

G艂贸wn膮 innowacj膮 pod wzgl臋dem bezpiecze艅stwa w Vi艣cie jest User Account Control (ograniczaj膮cy prawa u偶ytkownika), PatchGuard (system przeznaczony do ochrony j膮dra) oraz funkcje bezpiecze艅stwa przegl膮darki Internet Explorer 7. Inne, mniej istotne, funkcje bezpiecze艅stwa, do kt贸rych nale偶y: Address Space Layer Randomization (ASLR), Network Access Protection, Windows Service Handling oraz ochrona przed przepe艂nieniem bufora, nie zostan膮 om贸wione w tym artykule. Pominiemy r贸wnie偶 dodatkowe komponenty, takie jak Windows Defender, zintegrowane rozwi膮zanie zawieraj膮ce zapor臋 ogniow膮 i narz臋dzie antyspamowe. S膮 to standardowe rozwi膮zania - aby oceni膰 ich u偶yteczno艣膰 w zapewnianiu bezpiecze艅stwa systemu, nale偶y por贸wna膰 je z podobnymi rozwi膮zaniami innych producent贸w.

User Account Control (UAC)

User Account Control, jak wskazuje nazwa, ogranicza prawa u偶ytkownika. Dzia艂a zgodnie z nast臋puj膮cymi zasadami:

  1. Ka偶dy u偶ytkownik loguj膮cy si臋 do systemu (艂膮cznie z administratorem) b臋dzie posiada艂 minimalne prawa, tj. prawa przyznawane "Standardowemu U偶ytkownikowi".
  2. Konto "Standardowego U偶ytkownika" ma nieco wi臋ksze uprawnienia w por贸wnaniu z poprzednimi wersjami systemu Windows.
  3. Je艣li u偶ytkownik lub uruchomiona przez niego aplikacja pr贸buje wykona膰 czynno艣膰 wykraczaj膮c膮 poza uprawnienia dla konta "Standardowego U偶ytkownika", system albo poprosi u偶ytkownika o potwierdzenie tej czynno艣ci (je艣li u偶ytkownik jest zalogowany jako "Administrator") lub o dostarczenie has艂a administratora (je艣li u偶ytkownik jest zalogowany jako "Standardowy").

Do czynno艣ci wykraczaj膮cych poza uprawnienia "Standardowego U偶ytkownika" nale偶y instalacja aplikacji i sterownik贸w, tworzenie plik贸w w folderach systemowych, modyfikowanie konfiguracji systemowej itd.

Ka偶dy, kto zajmuje si臋 tworzeniem aplikacji s艂u偶膮cych do ochrony przed z艂o艣liwym kodem, mia艂 do czynienia z czynno艣ci膮, kt贸ra na pewno jest podejrzana, nie wiadomo jednak, czy szkodliwa. Taka czynno艣膰 mo偶e by膰 szkodliwa w okre艣lonym kontek艣cie, dlatego nale偶y j膮 zablokowa膰 lub powiadomi膰 u偶ytkownika. Jednak w innym kontek艣cie ta sama czynno艣膰 mo偶e by膰 wykonywana przez legaln膮 aplikacj臋. Takie sytuacje wyst臋puj膮 cz臋sto: istnieje do艣膰 spora liczba nieszkodliwych aplikacji wykonuj膮cych czynno艣ci, kt贸re z punktu widzenia bezpiecze艅stwa mo偶na uzna膰 za podejrzane. Gdyby o ka偶dej z tych czynno艣ci trzeba by艂o zawiadamia膰 u偶ytkownika z pro艣b膮 o potwierdzenie lub podanie has艂a, u偶ytkownik dosta艂by nerwicy lub bardzo szybko wy艂膮czy艂by funkcje bezpiecze艅stwa.

Z tego powodu nie mog臋 powa偶nie traktowa膰 User Account Control jako ochrony przed z艂o艣liwymi programami. Istnieje du偶e prawdopodobie艅stwo, 偶e funkcja, kt贸ra dra偶ni u偶ytkownika, zostanie wy艂膮czona. U偶ytkownik kliknie "zezw贸l" lub bez namys艂u wprowadzi has艂o administratora.

Z drugiej strony, User Account Control zapewnia dodatkowy poziom bezpiecze艅stwa u偶ytkownikom z przywilejami "Administratora". Gdy aplikacja nie wymaga du偶ych przywilej贸w, zostanie uruchomiona z minimalnymi przywilejami, nawet z konta "Administratora". Luka w takiej aplikacji b臋dzie mniej krytyczna ni偶 luka w aplikacji dzia艂aj膮cej z du偶ymi przywilejami.

Inn膮 rzecz膮 przemawiaj膮c膮 na korzy艣膰 User Account Control jest to, 偶e istnieje niewielka liczba wirus贸w, kt贸re przechwytuj膮 ostrze偶enia zapory ogniowej lub innego rozwi膮zania s艂u偶膮cego do zapewnienia bezpiecze艅stwa o podejrzanym zachowaniu. Z艂o艣liwe programy tego typu "klikaj膮" odpowiedni przycisk, w wyniku czego rozwi膮zanie zezwala na takie czynno艣ci. Okno wy艣wietlane jest na ekranie tak szybko, 偶e u偶ytkownik nie zd膮偶y go zauwa偶y膰. Microsoft oferuje ochron臋 przed takimi zagro偶eniami w postaci Secure Desktop: okno wymagaj膮ce wi臋kszych uprawnie艅 przyjmuje tylko has艂o wprowadzone przez u偶ytkownika jako potwierdzenie zezwolenia na wykonanie czynno艣ci.

Nie wolno zapomina膰, 偶e ka偶dy rodzaj ochrony mo偶na obej艣膰, dlatego te偶 zalety tej nowej warstwy ochrony zale偶膮 od warunk贸w, i jak pokazuje praktyka, maj膮 charakter tymczasowy. Istnieje kilka oczywistych i do艣膰 niebezpiecznych sposob贸w na obej艣cie User Account Control, kt贸rych z oczywistych wzgl臋d贸w nie b臋dziemy tutaj opisywa膰.

Ochrona j膮dra systemu Vista

1. PatchGuard

J膮dro Visty (tylko dla platform 64-bitowych) jest, jak twierdz膮 tw贸rcy, zabezpieczone przed modyfikacjami. Ma to ogromne znaczenie, bior膮c pod uwag臋 fakt, 偶e rootkity w trybie j膮dra staj膮 si臋 coraz bardziej rozpowszechnione.

Rootkit w trybie j膮dra to z艂o艣liwy program, kt贸ry ukrywa swoj膮 obecno艣膰 w systemie poprzez modyfikowanie danych j膮dra, lub zbi贸r narz臋dzi, kt贸re umo偶liwiaj膮 maskowanie obecno艣ci innego programu.

Funkcja PatchGuard monitoruje modyfikacje tablicy us艂ug i tablicy deskryptora j膮dra. Na pierwszy rzut oka wydaje si臋, 偶e rozwi膮zuje to problem trojan贸w maskuj膮cych swoj膮 obecno艣膰 w systemie. Jednak, w przypadku PatchGuard trudno m贸wi膰 o "powa偶nej" ochronie przed rootkitami. Funkcja ta z samej swej natury zawiera s艂abe punkty, o czym 艣wiadcz膮 udokumentowane metody wy艂膮czenia ochrony. G艂贸wna "s艂abo艣膰" PatchGuard dotyczy architektury: kod, kt贸ry ma zapewnia膰 ochron臋, wykonywany jest na tym samym poziomie co kod, kt贸ry ma by膰 chroniony oraz kod, przed kt贸rym PatchGuard ma chroni膰. Ochrona ta ma te same uprawnienia co potencjalna osoba atakuj膮ca i mo偶na j膮 obej艣膰 lub wy艂膮czy膰. Sposoby wykorzystania lub wy艂膮czenia PatchGuard s膮 ju偶 znane.

Opr贸cz tego, 偶e PatchGuard zapewnia w膮tpliw膮 ochron臋 przed rootkitami modyfikuj膮cymi j膮dro, istniej膮 jeszcze inne rodzaje rootkit贸w, przed kt贸rymi ochrona ta nie oferuje zabezpieczenia. Monitorowanie PatchGuard odnosi si臋 do statycznych struktur j膮dra o znanej zawarto艣ci (SST, IDT oraz GDT), nie mo偶e natomiast chroni膰 struktur dynamicznych, tzn. wszystkiego, co nie znajduje si臋 na poziomie j膮dra. Przyk艂adem rootkita, kt贸ry modyfikuje struktury dynamiczne, jest dobrze znany rootkit FU. Rootkity wykorzystuj膮ce technologi臋 wirtualn膮 b臋d膮 zlokalizowane "g艂臋biej" ni偶 poziom j膮dra, dlatego nie b臋d膮 dost臋pne poprzez j膮dro.

Podstawowa s艂abo艣膰 PatchGuard wynika z faktu, 偶e funkcjonuje on na tym samym poziomie, kt贸ry ma chroni膰. To oznacza, 偶e je艣li z艂o艣liwa aplikacja zdo艂a za艂adowa膰 sw贸j sterownik, b臋dzie mog艂a wy艂膮czy膰 PatchGuard. Naturalnie przy za艂o偶eniu, 偶e znana jest lokalizacja odpowiedniej funkcji monitoruj膮cej.

Zapobieganie modyfikacjom j膮dra jest z pewno艣ci膮 u偶yteczne, poniewa偶 legalne oprogramowanie nie b臋dzie mog艂o modyfikowa膰 j膮dra do w艂asnych cel贸w. B臋dzie to mia艂o pozytywny wp艂yw na stabilno艣膰 i og贸lne bezpiecze艅stwo systemu.

Podj臋te przez Microsoft pr贸by zwi臋kszenia og贸lnej stabilno艣ci systemu powoduj膮 skutki uboczne. Chroni膮c dost臋p do j膮dra przed wszystkimi i wszystkim Microsoft uniemo偶liwi艂 producentom rozwi膮za艅 bezpiecze艅stwa zaimplementowanie pewnych funkcji w ich produktach. W rezultacie, nie mo偶na teraz wykorzysta膰 szeregu r贸偶nych skutecznych narz臋dzi rozwijanych przez producent贸w antywirusowych. Dotyczy to nie tylko technologii s艂u偶膮cych do zwalczania rootkit贸w, ale r贸wnie偶 technologii ochrony proaktywnej wykorzystywanych do wykrywania nieznanych zagro偶e艅, kt贸re zosta艂y zaimplementowane w produktach dla poprzednich wersji systemu operacyjnego. Pod pewnymi wzgl臋dami tw贸rcy wirus贸w znajduj膮 si臋 obecnie w lepszym po艂o偶eniu - PatchGuard mo偶e bez problemu zosta膰 wy艂膮czony przez rootkity.

M贸wi膮c o ochronie j膮dra Visty nale偶y podkre艣li膰, 偶e zar贸wno PatchGuard, jak i podpisywanie sterownik贸w to funkcje dost臋pne tylko w 64-bitowym sprz臋cie. Minie troch臋 czasu, zanim platforma ta stanie si臋 tak powszechna jak platforma 32-bitowa. Vista x86 nie posiada dedykowanej ochrony przed rootkitami.

2. Mandatory Kernel Mode i Driver Signing

Drugim komponentem bezpiecze艅stwa j膮dra systemu Windows Vista dla platform 64-bitowych jest obowi膮zkowy podpis cyfrowy dla ka偶dego modu艂u lub sterownika na poziomie j膮dra.

Istnieje kilka udokumentowanych metod wy艂膮czania sprawdzania podpisu. W艣r贸d nich znajduj膮 si臋 metody stworzone w celu uproszczenia procesu rozwijania i testowania sterownik贸w. Wynika to z faktu, 偶e praktycznie niemo偶liwe jest uzyskiwanie cyfrowego podpisu dla kolejnych wersji sterownika tworzonych w celach testowych jeszcze przed opublikowaniem wersji ostatecznej. Z tego powodu dost臋pne s膮 nast臋puj膮ce metody wy艂膮czenia sprawdzania podpisu:

  1. Pod艂膮czenie debugera systemowego
  2. Wybranie z menu startowego trybu, kt贸ry nie kontroluje/monitoruje sterownik贸w (艂膮cznie z modyfikowaniem boot.ini)
  3. W艂膮czenie w konfiguracji bezpiecze艅stwa obs艂ugi podpis贸w testowych. Microsoft dostarcza narz臋dzie s艂u偶膮ce do tworzenia podpis贸w testowych.

Te trzy udokumentowane sposoby wy艂膮czenia ochrony stwarzaj膮 du偶e pole do eksperymentowania. Opr贸cz tego, poszukuje si臋 odpowiednich luk w zabezpieczeniach. Sze艣膰 miesi臋cy temu Joanna Rutkowska przedstawi艂a w艂asny wariant exploita. W wersji RC2 systemu Vista luka ta zosta艂a usuni臋ta, nie zmienia to jednak faktu, 偶e zosta艂 ustanowiony precedens.

Najprawdopodobniej pojawi si臋 wiele r贸偶nych metod obej艣cia ochrony modu艂u j膮dra poprzez 艂adowanie nieoznaczonych komponent贸w: wykorzystywanie udokumentowanych metod wy艂膮czania ochrony, tworzenie exploit贸w podobnych do tego, o kt贸rym wspominali艣my wy偶ej, zdobywanie przywilej贸w na poziomie j膮dra bez u偶ycia sterownik贸w oraz wykorzystywanie oznaczonego sterownika z legalnego produktu w szkodliwych celach (analogicznie do wykorzystywania przez niekt贸re wirusy komponent贸w legalnych urz膮dze艅 do wyszukiwania hase艂 w celu kradzie偶y poufnych informacji).

Tak wi臋c, wed艂ug nas, funkcja ta chroni system operacyjny przed z艂o艣liwym kodem, ale nie jest tak skuteczna, jak twierdz膮 tw贸rcy systemu.

Funkcje bezpiecze艅stwa IE7

Funkcje bezpiecze艅stwa przegl膮darki IE7 powinny, w teorii, chroni膰 komputer przed exploitami umieszczanymi na stronach www, kt贸re nast臋pnie wykonuj膮 z艂o艣liwy kod lub instaluj膮 trojana w systemie.

  1. W trybie chronionym (Protected Mode) kod przegl膮darki uruchamiany jest z najni偶szymi przywilejami, ograniczonym dost臋pem do systemu plik贸w, rejestru itd.

U偶ytkownik mo偶e w艂膮czy膰 lub wy艂膮czy膰 tryb chroniony dla ka偶dej oddzielnej strefy. Domy艣lnie w艂膮czony jest dla w臋z艂贸w, kt贸re znajduj膮 si臋 na li艣cie Trusted Zone (strefa zaufana). Dodatkowo, Microsoft oferuje zestaw funkcji API do tworzenia narz臋dzi zarz膮dzania, kt贸re s膮 kompatybilne z trybem chronionym. Jest to ca艂kowicie nowa funkcja, kt贸ra nie zosta艂a jeszcze przetestowana, dlatego istnieje du偶e prawdopodobie艅stwo, 偶e posiada wiele s艂abych punkt贸w.

  1. ActiveX Opt-in jest funkcj膮 blokuj膮c膮 wszystkie narz臋dzia zarz膮dzaj膮ce ActiveX opr贸cz tych, na kt贸re wyra藕nie zezwolili u偶ytkownicy.

Trudno powiedzie膰, co jest zalet膮 tej funkcji. W przegl膮darce IE zawsze istnia艂a mo偶liwo艣膰 wy艂膮czenia ActiveX. Jedyna r贸偶nica polega na tym, 偶e w IE7 funkcja ta jest automatycznie w艂膮czona. Dodatkowo, jak pokazuj膮 do艣wiadczenia z poprzednimi wersjami IE, u偶ytkownicy niech臋tnie wy艂膮czaj膮 ActiveX. Dlaczego? Poniewa偶 je艣li to zrobi膮, to albo nie b臋d膮 mogli ogl膮da膰 animacji flashowych na stronach www, albo podczas ka偶dego ogl膮dania takiej animacji system bezpiecze艅stwa b臋dzie wy艣wietla艂 irytuj膮ce okienka wyskakuj膮ce. Na tej podstawie 艂atwo mo偶na doj艣膰 do wniosku, 偶e "ucierpia艂a" na tym u偶yteczno艣膰 przegl膮darki. Je艣li chodzi o wykonywanie nieznanych formant贸w ActiveX - ju偶 wcze艣niej by艂o to dozwolone i nadal b臋dzie.

  1. Funkcja Cross-Domain Scripting Attack Prevention ma zapobiega膰 interakcji skrypt贸w mi臋dzy r贸偶nymi strefami, a przez to chroni膰 przed atakami typu phishing.

Nale偶y podkre艣li膰, 偶e ataki typu phishing, kt贸re wykorzystuj膮 wykonywanie skrypt贸w mi臋dzy r贸偶nymi strefami zabezpiecze艅, stanowi膮 tylko niewielki odsetek znanych nam atak贸w.

Funkcje bezpiecze艅stwa przegl膮darki IE7 nie ograniczaj膮 si臋 tylko do trzech wy偶ej wymienionych. Mo偶na do nich zaliczy膰 r贸wnie偶 Phishing Filter, Security Status Bar i inne.

Niedostatki funkcji bezpiecze艅stwa, takich jak: UAC, PatchGuard oraz IE Protected Mode

We藕my hipotetyczn膮 zapor臋 ogniow膮, kt贸ra stanowi najbardziej oczywisty przyk艂ad ochrony za pomoc膮 barier. Naturalnie, jest to "inteligentny" firewall, kt贸ry nie ogranicza si臋 do wykorzystywania list dozwolonych i blokowanych program贸w, ale uwzgl臋dnia r贸wnie偶 zdarzenia systemowe.

Gdy program pr贸buje przekazywa膰 informacje do sieci, stanowi to zagro偶enie dla bezpiecze艅stwa. Firewall mo偶e zareagowa膰 na jeden z dw贸ch sposob贸w: (1) mo偶e zablokowa膰 dan膮 czynno艣膰 zgodnie z polityk膮 bezpiecze艅stwa (kt贸r膮 m贸g艂 skonfigurowa膰 u偶ytkownik) lub (2) zapyta膰 u偶ytkownika, czy nale偶y zezwoli膰 na tak膮 czynno艣膰. W pierwszym przypadku, nie da si臋 unikn膮膰 sytuacji, gdy zablokowane zostan膮 legalne programy, co mo偶e okaza膰 si臋 nieco uci膮偶liwe. U偶ytkownik b臋dzie musia艂 znale藕膰 odpowied藕 na pytanie, dlaczego program nie dzia艂a i doda膰 go do bia艂ej listy zapory ogniowej. W drugim przypadku, wyskoczy ogromna liczba okienek, na kt贸re u偶ytkownik b臋dzie musia艂 zareagowa膰. Trudno powiedzie膰, co w tej sytuacji jest mniejszym z艂em.

W przypadku firewalla, kt贸ry 艣ledzi aktywno艣膰 aplikacji, mo偶liwe jest zmniejszenie liczby ostrze偶e艅 poprzez stopniowe rozszerzanie bia艂ych list. Jednak z punktu widzenia bezpiecze艅stwa jest to nieefektywne. Zagro偶enia s膮 liczne i nieprzewidywalne, a reakcja na nie powinna by膰 zbyt rygorystyczna, poniewa偶 w ten spos贸b mo偶emy zn贸w znale藕膰 si臋 w punkcie (1). Je艣li jednak reakcja nie b臋dzie rygorystyczna, b臋dzie irytuj膮ca.

Bezpiecze艅stwo oparte na restrykcjach oznacza bezpiecze艅stwo kosztem u偶yteczno艣ci.

Co stanie si臋 z wirusami?

Vista dla platform 64-bitowych to cios wymierzony przede wszystkim w trojany, kt贸re wykorzystuj膮 sterowniki i modyfikuj膮 dane j膮dra. Jednak tylko do czasu, gdy autorzy tych trojan贸w znajd膮 sposoby na omini臋cie tych ogranicze艅. Ta konkretna klasa trojan贸w nie jest bardzo liczna i stanowi prawdopodobnie nieca艂e 5% wszystkich wirus贸w atakuj膮cych system Windows. Vista dla popularniejszej platformy 32-bitowej nie jest wyposa偶ona w tryb ochrony j膮dra, dlatego nie oferuje specjalnej ochrony przed trojanami z tej klasy.

User Account Control jest wbudowany w Vist臋 niezale偶nie od platformy. Do pewnego stopnia funkcja ta powstrzyma znaczny odsetek trojan贸w, kt贸re wymagaj膮 przywilej贸w na poziomie administratora (takich jak tworzenie plik贸w w folderze systemowym, modyfikowanie rejestru, konfigurowanie automatycznego uruchamiania itd.). U偶y艂am wyra偶enia "do pewnego stopnia", po pierwsze dlatego, 偶e wed艂ug mnie User Account Control nie zapewnia powa偶nej ochrony przed wirusami (patrz wy偶ej), po drugie, z艂o艣liwe programy zawsze mog膮 spowodowa膰 pewne szkody, bez wzgl臋du na to, jak restrykcyjne jest 艣rodowisko, w kt贸rym funkcjonuj膮. Na przyk艂ad, robak, kt贸ry rozprzestrzenia si臋 poprzez sieci P2P, nie wykonuje 偶adnych "nielegalnych" czynno艣ci: tworzy jedynie w艂asn膮 kopi臋 w folderach, kt贸re wykorzystywane s膮 do wsp贸艂dzielenia plik贸w. Przyk艂adem prostego, ale niebezpiecznego wirusa jest Virus.Win32.Gpcode, o kt贸rym by艂o g艂o艣no z powodu jego szkodliwej funkcji: wirus ten szyfrowa艂 dokumenty u偶ytkownika, a nast臋pnie 偶膮da艂 okupu w zamian za ich odszyfrowanie.

Trudno przewidzie膰, jaki b臋dzie wp艂yw funkcji bezpiecze艅stwa IE7 na wirusy, kt贸re instaluj膮 si臋 poprzez strony www. Prawdopodobnie 偶aden, szczeg贸lnie gdy we藕miemy pod uwag臋 d艂u偶szy okres czasu oraz fakt, 偶e bardzo niewielu u偶ytkownik贸w b臋dzie chcia艂o korzysta膰 z przegl膮darki, w kt贸rej ka偶da czynno艣膰 jest zabroniona lub blokowana.

Podsumowuj膮c: czy Vista jest bezpieczna?

Czy Vista jest tak bezpieczna jak twierdz膮 reklamy? Bez w膮tpienia Vista jest bezpieczniejsza ni偶 wcze艣niejsze systemy operacyjne Microsoftu. System skonfigurowany w taki spos贸b, aby blokowa艂 wszystko z wyj膮tkiem dost臋pu do okre艣lonych stron, mo偶na uzna膰 za ca艂kowicie bezpieczny.

Jednak wi臋kszo艣膰 u偶ytkownik贸w uzna, 偶e daleko id膮ce ograniczenia na艂o偶one na czynno艣ci - skutecznie sterylizuj膮ce system - s膮 nie do przyj臋cia. Chodzi tu o ci膮g艂e 偶膮dania potwierdzenia lub wprowadzenia has艂a w odniesieniu do czynno艣ci, kt贸r膮 system okre艣la jako "potencjalnie niebezpieczn膮". W efekcie, "prawie ca艂kowicie bezpieczny" system mo偶e sta膰 si臋 "bardziej podatny na ataki".

Nie mo偶emy r贸wnie偶 zapomina膰, 偶e najs艂abszym ogniwem systemu bezpiecze艅stwa jest cz艂owiek. Robaki pocztowe nadal istniej膮 i rozprzestrzeniaj膮 si臋 mimo 偶e specjali艣ci ds. bezpiecze艅stwa nieustannie ostrzegaj膮 przed otwieraniem za艂膮cznik贸w do podejrzanych wiadomo艣ci e-mail. Bior膮c pod uwag臋 fakt, 偶e ich wypowiedzi nie powstrzymuj膮 wi臋kszo艣ci u偶ytkownik贸w przed uruchamianiem za艂膮cznik贸w, czy mo偶emy oczekiwa膰, 偶e 偶膮danie wprowadzenia has艂a administratora tak naprawd臋 co艣 zmieni? Jak ju偶 wspomnia艂am wcze艣niej, cz臋ste okienka wyskakuj膮ce b臋d膮 prawdopodobnie do tego stopnia irytowa艂y u偶ytkownika, 偶e albo wy艂膮czy t臋 funkcj臋, albo po prostu nie b臋dzie traktowa艂 jej powa偶nie.

Poniewa偶 systemy firmy Microsoft s膮 bardzo popularne, cyberprzest臋pcy zawsze b臋d膮 szukali luk w ich zabezpieczeniach. Ani jako艣膰, ani ilo艣膰 barier chroni膮cych przed hakerami nie ma wi臋kszego znaczenia. W rzeczywisto艣ci, jest zupe艂nie na odwr贸t: bariery te stymuluj膮 tylko zainteresowanie okre艣lonej grupy podziemia komputerowego. Nie ma w膮tpliwo艣ci, 偶e hakerzy i tw贸rcy wirus贸w b臋d膮 szuka膰 luk. A je艣li zaczn膮 szuka膰, to na pewno znajd膮.

Wniosek filozoficzny

Bezpiecze艅stwo, oparte na jakiejkolwiek zasadzie z wyj膮tkiem otwarto艣ci, zawsze stanowi bro艅 obosieczn膮. Bezpiecze艅stwo zbudowane wok贸艂 restrykcji zawsze b臋dzie mia艂o negatywn膮 stron臋: b臋d膮 ni膮 same restrykcje, kt贸re mog膮 spowodowa膰, 偶e system oka偶e si臋 bezu偶yteczny.

Pozostaje pytanie, co lepsze - "fundamentalnie bezpieczny" system, kt贸ry nie pozwala u偶ytkownikowi robi膰 tego, co chce, czy posiadaj膮cy s艂abe punkty, ale funkcjonalny system, wyposa偶ony w specyficzne us艂ugi do zwalczania okre艣lonych rodzaj贸w zagro偶e艅?

Wolno艣膰 stwarza zagro偶enia, natomiast restrykcje zmniejszaj膮 wygod臋. Im wi臋cej restrykcji, tym mniej przyjazny dla u偶ytkownika b臋dzie system.

Mo偶na zastosowa膰 tu nast臋puj膮c膮 analogi臋: je艣li jeste艣 zazdrosny o swojego partnera, mo偶esz zabroni膰 mu wychodzi膰 samemu, a nawet zamkn膮膰 go w domu. Oczywi艣cie im wi臋cej restrykcji, tym mniejsze prawdopodobie艅stwo, 偶e do twojego zwi膮zku "wedrze si臋" kto艣 trzeci. Jednak im wi臋cej restrykcji, tym mniej szcz臋艣liwy b臋dzie tw贸j partner. Czy naprawd臋 chcia艂by艣 mie膰 nieszcz臋艣liwego partnera?

Nawet je艣li uda si臋 znale藕膰 idealn膮 r贸wnowag臋 mi臋dzy restrykcyjno艣ci膮 a u偶yteczno艣ci膮, historia bezpiecze艅stwa pokazuje, 偶e je艣li tylko kto艣 chce, ka偶d膮 barier臋 ochronn膮 da si臋 w jaki艣 spos贸b pokona膰 lub obej艣膰.

Przywi膮zywanie zbyt wielkiego znaczenia do roli, jak膮 w systemie bezpiecze艅stwa odgrywaj膮 restrykcje, daje nast臋puj膮cy efekt: cz臋ste b贸le g艂owy i wiele okienek ostrzegawczych w przypadku u偶ytkownik贸w i programist贸w; wiele 艂amig艂贸wek zwi膮zanych ze z艂o艣liwymi programami i stosunkowo mniej cz臋ste b贸le g艂owy w przypadku haker贸w i tw贸rc贸w wirus贸w. Przynajmniej na razie.

Odsy艂acze:

  1. Authentium blog, Microsoft Patchguard
  2. Joanna Rutkowska, "Introducing Stealth Malware Taxonomy"
  3. Joanna Rutkowska, "Subverting Vista Kernel for Fun and Profit"
  4. Windows Vista Security Guide
殴r贸d艂o:
Kaspersky Lab