DKWSLabs

Grigoriy

http://www.hpc.ru/pda/board/index.php?t=113888

den

HPC.ru lite - Все форумы
Форум: [OFF] Оффтопики не про КПК
Тема: Windows Vista. Цена безопасности.
Страницы: [1] 2

[Ответить]
Михаил-iver [16.01.2007 23:07] Windows Vista. Цена безопасности.:
Нашёл тут статью...

Система защиты, встроенная в Висту, возможно, представляет из себя самую длинную предсмертную записку, известную в человеческой истории.

Виста сильно меняет ключевые элементы Операционной системы для обеспечения "защиты" так называемых "материалов класса люкс " (premium content, в другом смысле - платного контента), т.е. данных с Blu-Ray или HD-DVD дисков. Реализация этих защитных мер вызовет значительные затраты и ухудшение системных показателей, стабильности системы, технических затрат на поддержку и трат на железо и программы. Эти пункты затронут не только пользователей Висты, но и поразят всю компьютерную индустрию, поскольку эффекты распространятся на все устройства и программы, которые когда-либо могли бы войти в контакт с Вистой, даже когда они не используются прямо в этой ОС (например, железо в Макинтоше или Линукс-сервере). Этот документ проводит анализ затрат и "сопутствующих разрушений" (collateral damage), которые это вызовет в компьютерной индустрии.

Вступление

(......) Нехарактерно для технической спецификации - язык документа Microsoft призывает производителей "добровольно" применять еще более строгие механизмы, чем предписаны документом.

Отключение функциональности

Механизм защиты материалов пропускает материалы лишь через те интерфейсы, в которые также встроены механизмы защиты. Сегодня чаще всего употребляемый интерфейс для вывода звука - S/PDIF (Sony/Philips Digital Interface Format). Большинство новых аудиокарт имеют TOSlink - оптический цифровой вывод высококачественного звука, и даже последнее поколение материнских плат включают в себя как минимум коаксиальный (а часто и оптический) выход. Поскольку S/PDIF не имеет встроенных защит, Виста требует, чтобы интерфейс был отключен, если проигрываются защищенные материалы. Другими словами, если вы вложили кучу денег в аудио, которое берет сигнал из цифрового потока, вы не сможете его использовать с защищенными материалами.

Подобным же образом видео (YPbPr) окажется отключенным механизмами защиты Висты.

Непрямое отключение функциональности

Например, голосовые коммуникации через PC зависят от автоматического уничтожения эха (AEC). AEC для работы требует подмешивания сигнала через обратную связь в поток основного сигнала, но защиты Висты этого не дозволяют, поскольку в механизме есть опасность (неавторизованного) доступа к материалам класса люкс. Виста позволяет лишь обратную связь сильно разрушенного, ухудшенного сигнала, которая, возможно, как-то будет полезна для минимального исполнения функции уничтожения эха.

Требование отключить видео и аудио приводит к хаосу в стандартных системных операциях, т.к. использованная политика безопасности оказывается политикой "по высшей метке": общий уровень чувствительности выставляется по уровню самой охраняемой информации в вашей системе. Так что в момент, когда аудио "класса люкс" появляется на вашей системе, возникнет принудительное ухудшение сигнала и отключение вывода.

Что делает механизм вдвойне занятным - тот факт, что ухудшение/отключение делается динамически, так что если материалы люкс непостоянны, либо замирают/нарастают, либо включаются/выключаются, различные системы вывода и качество вывода будет нарастать/замирать, включаться/выключаться синхронно. Обычно такое поведение вызывает переустановку драйверов или даже возврат по гарантии, но в случае новой Майкрософтовской ОС оно лишь указывает на то, что все функционирует как надо.

Снижение качества выхода

Помимо действий "все - или ничего", Виста требует, чтобы каждый интерфейс, обслуживающий люкс-потоки портил качество пропускаемого сигнала. Это делается через "сужающую систему" (constrictor), который ухудшает сигнал до гораздо более низкого уровня, затем снова раздувая его до первоначальных размеров, но со значительным понижением качества. Т.е., если вы смотрите на дорогом жидкокристаллическом дисплее сигнал с DVI высокого качества через свою видеокарту, и если присутствует защищаемый класс, вы увидите картинку, которая, как это выражено в спецификации, "слегка размыта", что-то вроде изображения на 10-летнем электронно-лучевом, который вы подобрали за $2 на распродаже.

...Единственное, что прямо разрешено - лишь ТВ-выход очень низкого качества, и то - лишь после применения к нему Macrovision-обработки.

То же самое относится к звуку, который ухудшается до (фраза из спецификации) "размытого с меньшим числом деталей".

Примечательно то, что документы Висты утверждают, что различать собственные продукты по степени (принудительно испорченного) сигнала должны будут сами производители. Это звучит примерно как "перебить ноги олимпийским бегунам и составлять таблицу результатов по времени их финиша на костылях".

Помимо очевидных последствий намеренно саботированного качества вывода, подобные средства могут иметь серьезные последствия и для применений в областях, где высокое качество репродукции строго необходимо для результата. Например, в медицинской обработке изображений запрещают или сильно не рекомендуют применять сжатие с потерями, т.к. внесенные артефакты могут приводить к неверной диагностике или даже в крайних случаях угрожать жизни пациента.

Уничтожение Open-Source поддержки железа

Дабы предотвратить создание эмуляторов устройств с зашитой, Виста требует Скан Функциональности Компонентов (Hardware Functionality Scan, HFS), который бы получал уникальные "отпечатки" устройств, чтобы гарантировать, что они настоящие. Для этого компьютер осуществляет операцию, которая уникальна для устройства данного типа.

Чтобы это работало, спецификация требует, чтобы операционные детали работы устройств оставались конфиденциальны. Очевидно, любой программист, имеющий доступ к протоколу и способный написать для него драйвер, знает достаточно, чтобы сымитировать HFS-отклик. Единственным способом защитить скан "отпечатка" - не выпускать никаких технических деталей для оборудования за исключением минимума, необходимого для рекламного сравнения с другими продуктами.

Уничтожение унифицированных драйверов

Еще один расход, убыток, связанный с HFS-сканами: большинство производителей (к счастью) несколько лет назад перешли к "объединенной" или "унифицированной" модели драйверов. Поскольку HFS требует уникального отклика для снятия "отпечатка" (например, для каждого графического чипа), более не станет возможным сохранять унифицированные драйверы (как сегодня для Catalyst/Detonator/ForceWare).

Если графический чип интегрирован в материнскую плату, и к нему нет легкого доступа с шины, то стандарт не требует шифрования сигнала (см. ниже). Поскольку нагрузка на процессор при шифровании значительна, вполне вероятно, что это означает, что такие интегрированные чипы неожиданно станут очень популярны после выпуска Висты. Однако это ведет к проблеме: придется вводить искусственные различия и несовместимость для различения чипов на карточке и на материнской плате для успеха скана HFS.

Дополнительные проблемы возникают с аудио драйверами. Для системы HDMI audio выглядит точно так же, как и S/PDIF - намеренное инженерное решение для упрощения драйверов. Для Висты придется вводить искусственные различия, также понижая уровень поддержки драйверов и увеличивая стоимость разработки.

DoS (саботаж системы) путем манипуляций с драйверами

Как только в конкретном драйвере или карточке найдена уязвимость, его подпись-идентификация отзывается Майкрософтом, что означает, что он перестает работать (детали здесь расплывчаты, возможно, минимальная функциональность вроде экрана 640х480 будет позволена, чтобы система смогла загрузиться). Т.е. сообщение о баге в каком-либо драйвере или в карточке приведет к тому, что по всему миру поддержка его будет отключена до появления заплаты. Если это не самая последняя модель, и производителю не интересно переписывать драйверы (..), все устройства этого типа по всему миру становятся навечно неработоспособными.

Угроза отзыва драйвера - атомная бомба, щелчок комиссарского револьвера, напоминающий пастве об их Долге. Точно детали кувалды, которой будут бить по производителям, запрятаны эти условия в конфиденциальных лицензионных соглашениях, но я слышал упоминания о многомиллионных штрафах и эмбарго на будущие версии вдобавок к угрозе отзыва разрешения на работу устройства, описанную выше.

Ухудшение надежности системы

Виста требует, чтобы устройства писали так называемые "tilt bits", если они заметят что-нибудь необычное. Например, если наблюдаются необычные флуктуации напряжения, сбои сигналов на шинах, слегка порченные return codes (возвращаемый статус об успешности операции) после вызова функции. Подобные случаи не так необычны (автор приводит пару примеров). Ранее это не составляло проблемы - системы разработаны с некоторым запасом прочности, и это не сбивало их работу. Степень устойчивости может сильно разниться (...) - один очевидный пример - перепад напряжения в сети. Разные PC в ответ на одинаковое внешнее воздействие могут реагировать по разному - от полного падения до абсолютного игнорирования перепада вообще.

Со введением tilt bits вся эта устойчивость идет в мусор. Любое незаметное колебание неожиданно важно потому, что оно может быть знаком атаки на охраняемые материалы. Эффект, который это будет иметь на надежность систем, не требует дальнейших разъяснений.

"Функции защиты" вроде tilt bits несут зловещие возможности по саботажу систем (DoS)... Любая недружественная программа, учитывая существующее количество количество рычажков для подрыва, которые услужливо вставили в Виста, решившая потянуть за некоторые из них, причинит значительные повреждения. Последствия, с точки зрения компьютерной безопасности, весьма серьезны, поскольку крошечная, легко скрываемая программка будет достаточна для полной остановки машины, и сама суть, натура "защиты материалов" в Висте сделает почти невозможным определить, почему происходит Denial of Service. Более того, авторы враждебных программ, пользующихся "функциями защиты", будут защищены актом DMCA против попыток реверс-инженеринга для нейтрализации тех "функций", которые они используют.

Даже без учета таких программ, последствия самой возможности внешнего агента выключить вашу инфраструктуру в ответ на утечку из потока данных, обнаруженную в каком-либо чипсете, огромны с точки зрения безопасности.

Правительства вне США уже нервничают о вопросах использования американских Операционных Систем даже без встроенной возможности удаленного саботажа. И как и в примере с ухудшением медицинских изображений, вы его не обнаружите, пока не станет слишком поздно, что превращает Виста PC в тикающую бомбу с часовым механизмом.

Увеличение стоимости железа

Increased Cost due to Requirement to License Unnecessary Third-party IP - увеличение расходов на лицензирование. Защита таких удивительно ценных "материалов класса люкс" требует дополнительной технологии поддержки. К сожалению б`ольшая часть её принадлежит другим фирмам и требует дополнительного лицензирования (далее автор приводит примеры).

Расточительность ненужной нагрузки на процессор

Чтобы предотвратить вмешательство во внутренние коммуникации системы, все сообщения должны быть шифрованы и авторизованы. Например, поток на видеокарту должен быть шифрован кодом AES-128. Требования к криптографии простираются за шифрование данных и охватывают команды и управление между компонентами программ. Например, коммуникации между user-mode и kernel-mode должны быть авторизованы OMG-метками, со значительной нагрузкой на вычисления на обоих концах канала.

Чтобы предотвратить активные атаки, драйвера должны обращаться к железу с опросами каждые 30 миллисекунд. Что означает, что даже когда в системе не происходит ничего, они должны просыпаться 30 раз в секунду, чтобы в системе могло и далее ничего не происходить. Помимо этого, делаются дополнительные опросы, например, Виста обращается к видео устройству при показе каждого кадра, дабы проверить, что подрывные рычажки (tilt bits) там, где им положено находиться.

Встроенная графика создает дополнительные проблемы в том, что блоки драгоценного охраняемого "материала люкс" хранятся в памяти, откуда они могут быть записаны (сброшены) на диск. Чтобы этого избежать, Виста помечает такие страницы специальным битом защиты, который значит, что они должны быть зашифрованы прежде, чем быть скопированы на диск, и дешифрованы после попадания в память. Однако Виста не предписывает никакого другого шифрования памяти, и с довольным видом оставит открытыми ваши банковские пароли, данные счетов и кредитных карт, личные данные и т.д. Механизм защиты, встроенный Майкрософтом, ясно дает понять, что в их глазах является "материалом люкс" и стоит гораздо больше, чем банковские пароли пользователя.

Заключение

"Никакие усилия не будут успешными, если они не созданы с мыслью об удобстве для потребителя. Майкрософт верит, что хорошее впечатление - требование для успеха систем".
Майкрософт

В конце концов остается вопрос - почему MS, несмотря на трудности, продвигает этот проект? Если спросить большинство, что они понимают под "premium media player", они ответят "PVR" или "DVD player", но не "Windows PC". Зачем с такими стараниями превращать PC в то, чем он не является?

В Июле 2006 Cory Doctorow опубликовал анализ анти-конкурентной природы ограничения копирования в Аппловский iTunes (Information Week, 31 July 2006). Единственная причина, которую я вижу, по которой МС вынуждает своих клиентов, программистов, производителей плат и т.д. пройти через столь болезненную процедуру, в том, что по её окончании Майкрософт полностью завладеет каналом распространения (distribution channel) "материалов люкс"

(...) Он не только исключит всех конкурентов, но и, поскольку он будет единственным каналом, сможет приказывать тем, кто поставляет программы, так, как Apple сегодня приказывает музыкальной индустрии. Результатом станет технологически исполненная монополия, по сравнению с которой сегодняшняя де-факто монополия Windows покажется эпохой рая на земле.

В целом, Виста выглядит как удивительно близорукий инженерный проект, концентрирующийся целиком на защите материалов и не берущий в расчет огромные последствия применяемых решений. Это компьютерный эквивалент европейского (и спешно отмененного) предложения впечатывать RFID в банкноты с большим номиналом в качестве меры против фальшивомонетчиков, полностью игнорируя тот факт, что главными пользователями этой технологии стали бы преступники, которые бы смогли на расстоянии определять наиболее подходящих для ограбления жертв.

Хуже всего то, что выхода нет. Изготовители железа будут вынуждены работать с Вистой: "подпись лицензии о защите материалов не требуется, но без лицензии никакие охраняемые материалы не будут пропускаться к драйверу".

Какую бы систему вы не использовали - Висту, Уиндоуз, Линукс, ФриБиЭсДи, Соларис на x86 - майкрософтовская защита сделает ваш компьютер более дорогим, менее надежным, более трудным для программирования и поддержки, более подверженным враждебным программам и с большим числом проблем совместимости.

Замечания

Этот документ был составлен из разных источников, включая те, которые я должен был переписать своими словами, чтобы сохранить их анонимность.

Заключение от переводчика

Автор не смог себе представить причин, по которым МС заставляет всех идти путем Висты. Я могу их перечислить без труда.

Во-первых, "защита" видео и аудио - лишь небольшая часть проекта, о котором я уже писал. Идет полная переделка сетей в том виде, как они сложились к 2000-му.:

...тут и разработка целых специальных тактик, которые должны просто сделать мир общих стандартов и свободного обмена информацией и документами "вне закона", вроде идеи "безопасной документации"; вот отрывок из статьи создателя движения ГНУ Ричарда Столмана (перевод suhov):

...Технически, идея вероломного использования вашего ПК состоит в том, что каждый файл сопровождается цифровой подписью, хранящейся втайне от вас. Специально спроектированное ПО использует эту подпись для того, чтобы решать, естественно без вашего согласия, какие файлы ему можно открывать, а какие нет (DRM – Digital Restrictions Management). Также такое ПО автоматически обновляет через Сеть свою базу данных, где хранятся ограничивающие правила. Если вы воспротивитесь "насильственному" обновлению, скажем, через файервол, то ПО перестаёт полноценно функционировать (ср. Активизация Windows).

Естественно, Голливуд и компании звукозаписи планируют воспользоваться данной возможностью для контроля над распространением видео и музыкальной продукции в цифровом виде через Сеть.

Но это не всё. Есть планы распространить контроль на электронную почту и документы. Скажем, создавать документы с ограниченным сроком действия, перестающие читаться через заданное время ("невидимые чернила" для автоматического затирания "нехорошего" приказа начальства) или читающиеся только в определённой компании. Можно ввести также цензуру, скажем, ввести всеобщее правило для запрещения "нежелательного" документа, открывающего какую-либо нелицеприятную тайну, например, о правительстве.

Между прочим, в США уже разрабатывается соответствующее законодательство. CBDTPA – одно из них. Даже если подобное законодательство не обяжет вас подчиниться новым правилам по вероломному использованию вашего ПК, социальное давление может сделать работу за него. Например, все будут пересылать документы в MS Word последней версии, и формат будет нечитабельным никаким другим ПО и даже самим Word более ранних версий.

Кстати, еще одним из корпоративных, совместных и согласованных "направлений атаки" в этом направлении является создание разного рода вдруг ставших популярными он-лайн (вечных) хранилок вашей почты, ваших закладок, бэкапов ваших внутренних файлов - проталкиваемых под предлогом, что "это удобно", потому что вы можете связаться с ними "из любого места с любого компьютера". Личный компьютер последовательно лишается личности и принадлежности вам, как личного хранилища вашей информации

Во-вторых, Майкрософт - не есть частная компания (которую создал гений Билл Гейтс). МС - "государство США", точно так же, как и Гугл - "государство", госпроект сделанный на основе одного из существовавших поисковиков (кстати, еще одно доказательство того, что я несколько раз писал, появилось сегодня - очередной человек осужден американским судом на основе свидетельств о содержимом его поисков на Гугле). Поэтому в моих представлениях об устройстве мира нет места рассуждениям, что в корпорации-монополисте "не подумали", что будет можно отключать любые компьютеры в мире и/или держать в строю любых производителей любых карт, драйверов и/или программ.

В связи с этим интересны несколько строчек заметки о принятии Российского закона этим летом (обнаружил их в выпуске "Системного Администратора":

..Проект федерального закона "Об информации, информационных технологиях и защите информации" во втором чтении поддержали 395 из 450 депутатов. И также активно думцы промолчали по поводу двух поправок, касающихся запрета на использование зарубежных программно-технических средств в стратегических отраслях, и особо важных объектах, а также недопустимости наличия в данных средствах недокументированных функций.

Авторы поправок, единороссы Геннадий Гудков и Александр Хинштейн, вынесли их на отдельное голосование. Но подавляющее большинство депутатов - 382 и 386 - просто уклонились от процедуры, демонстративно проигнорировав все возможные позиции - "за", "против" и "воздержался". "По сути, это был саботаж...", - сказал Системому Администратору Дмитрий Горовцов, помощник депутата Госдумы РФ Геннадия Гудкова. Только 65 и 63 депутатов при голосовании за первую и вторую поправки определились со своей позицией и нажали кнопку "за"

Таким образом, зеленый свет дан и зарубежному софту в России, и прославившемуся законопроекту...

Совсем не зря работают майкрософтовские лоббисты

А в целом вся эта история - замечательная иллюстрация к теме о том, что в обществе паразита-посредника исполнение как бы заявленных функций (авиакомпания делает авиаперевозки, госпиталь - лечит, и т.д.) всегда становится второстепенным, и намеренный шантаж или саботаж функциональности для выбивания прибылей или достижения контроля за клиентами - самый что ни на есть повседневный прием, на который и внимание обращать как бы некузяво - "нуу, это же бизнес?".

Автор перевода: emdrone
Источник: http://emdrone.livejournal.com/176676.html
Оригинал: http://www.cs.auckland.ac.nz/~pgut001/pubs/vista_cost.txt
Михаил-iver [16.01.2007 23:08] :
Честно скажу, пугает меня такая тенденция...
alien8 [16.01.2007 23:44] :
Помнится, была идея встраивать в винчестеры какую-то там защиту от пиратского софта.

Производители дружно послали инициаторов проекта.

Так что, если производители железа скажут нет - Майкрософт утрется.
Да и для людей переход на Линукс (например) будет куда менее болезненным, чем терпеть вышеописанное.
Sehn [16.01.2007 23:49] :
Мне кажется, это уместнее в разделе юмор... Во-первых, я нигде не нашел в Инете упоминания о таких жестоких и тупых мерах безопасности в Висте, во-вторых, в Майкрософте работают далеко не близорукие идиоты...
igorekk [17.01.2007 11:06] :
Sehn, именно такие меры и будут. В инете уже была не одна статья на эту тему. Плюс отчёты со всяких презентаций.
ВадимП [17.01.2007 11:13] :
Мне кажется, что все анонсируемые меры ограничения доступа до сих пор на словах звучали страшнее, чем оказывались на деле. Правда половины того, о чём идет речь в исходном сообщении я раньше не слышал, а вторая половина, типа уничтожающихся по приказу из штаб-квартиры MS документов, вроде бы касается только файлов созданных с использованием TPM, модулей которых в подавляющем большинстве нынешних компьютеров просто нет.
Хотя, конечно, тенденция налицо - все эти DRM/TPM и иже с ними направлены не на обеспечение безопасной работы пользователя, а на установление жесткого контроля производителей за использованием компьютеров, чтобы пользователь во-первых, не мог делать ничего, кроме того, что ему в явном порядке разрешили, а во-вторых, чтобы производитель всегда мог проследить все операции и вмешаться в случае необходимости.
Но согласитесь, что не одна Microsoft идет по этому пути - возьмите Apple'овскую продукцию, которую мы часто тут обсуждаем. Проследите направление развития symbian - везде одно и то же.
Data_Link [17.01.2007 12:56] :
1) была идя технологии палладиум, аппаратная защита от пиратского софта... ставить можно только то что подписаносертификатом мелкософта...
2) виста не разрешает мне заходить на страницы генерируемые асп-скриптами если соединение не секурное... и отключить никак!
sparrowson [17.01.2007 18:19] :
Ничего. Если один собрал, другой разберёт В крайнем случае, сломает

Хотя я это говорю, конечно, как железячник...
Data_Link [17.01.2007 19:03] :
нет ничего созданного человеком что нельзя сломать! =)
Loshkarev [17.01.2007 23:32] :
Что- то Vista меня пугает как-то...но совсем скоро наши доблестные программисты взломают все её защиты и будет нам счастье... =)
[Ответить]
[Вперед >]

Grigoriy

http://www.viruslist.com/ru/analysis?pubid=204007521

Главная / Аналитика
Microsoft Vista против вирусов: кто кого?
26.01.2007 | комментировать

Алиса Шевченко

Новая разработка Microsoft — Windows Vista — позиционируется как система повышенной безопасности. В настоящий момент дата ее официального выпуска приходится на 30 января 2007 года, а вопросы о том, насколько заявленная защищенность реальна, начали беспокоить компьютерное сообщество задолго до появления доступной для скачивания бета-версии. В чем именно заключаются функции, должные обеспечивать безопасность пользователя и насколько они будут ее обеспечивать в действительности? Правда ли, что с выходом Vista антивирусы станут ненужными? На некоторые волнующие общественность вопросы мы постараемся ответить в этой статье.

Не может не радовать то, что компания-производитель самой распространенной операционной системы для PC всерьез задумалась о безопасности пользователей. Устанавливая Vista, вы можете быть уверены по крайней мере в том, что разработчики данного продукта провели серьезную работу по встраиванию в него защиты от компьютерных угроз — и будут продолжать ее вести. Однако, на наш взгляд, реализованные в настоящий момент функции безопасности Vista не достаточны для того, чтобы можно было безболезненно отказаться от дополнительных средств защиты (на эту тему читайте также статью Натальи Касперской «Безопасность от Microsoft: шаг к обновленному миру?»).

Попробуем проанализировать, что собой представляют главные составляющие системы безопасности в Vista: система разграничения прав пользователей, называемая User Account Control (UAC), система защиты ядра PatchGuard и функции безопасности Internet Explorer 7. Более мелкие защитные функции — Address Space Layer Randomization (ASLR), Network Access Protection, Windows Service Hardening, защита от переполнения буфера — в статье рассмотрены не будут. Не будут рассматриваться и дополнительные компоненты, такие как встроенный файервол и антишпион (Windows Defender): это типовые решения, и вопрос их пользы для безопасности системы — вопрос сравнения с аналогами от других производителей.

* User Account Control (UAC)
* Защита ядра Vista
o PatchGuard
o Mandatory Kernel Mode and Driver Signing
* Защитные функции Internet Explorer 7
* В чем недостаток защит типа UAC, PatchGuard, IE Protected mode?
* Что будет с вирусами?
* Подведем итог. Безопасна ли MS Vista?
* Философское заключение

User Account Control (UAC)

User Account Control — система контроля за правами пользователей. Она работает по принципу ограничения полномочий:

1. Любой пользователь (включая «Администратора»), вошедший в систему, имеет минимальные права, соответствующие учетной записи «Стандартный пользователь».
2. Учетная запись «Стандартный пользователь» несколько повышена в полномочиях по сравнению с таковой в предыдущих версиях Windows.
3. Если пользователь или запущенное им приложение собирается выполнить действие, не входящее в список полномочий «Стандартной» учетной записи, система запрашивает у пользователя подтверждение этого действия (если пользователь — «Администратор») либо пароль администратора (если пользователь — «Стандартный»).

В числе действий, не входящих в полномочия «Стандартного пользователя», — инсталляция приложений и драйверов, создание файлов в системных директориях, изменение каких-либо настроек системы и т.д.

Любой разработчик защиты от вредоносного кода сталкивался с ситуацией, когда действие, совершенное в системе, вроде бы и является подозрительным — но нельзя понять наверняка, является ли оно вредным. В определенном контексте из сопутствующих действий и факторов оно является вредным и подлежит запрещению или оглашению. В другом же контексте — это абсолютно легальное действие легального приложения. Такие ситуации нередки: существует достаточно много безвредных приложений, совершающих потенциально подозрительные, с точки зрения защиты, действия. Если каждое такое действие оглашать окном-запросом на подтверждение или введение пароля, пользователь сойдет с ума — либо выключит защиту.

Рассуждая так, я не могу принять UAC как серьезную защиту от вредоносных программ. Функция, раздражающая пользователя, с большой вероятностью будет отключена. Либо пользователь нажмет «разрешить» или вобьет пароль администратора — не глядя.

Тем не менее, UAC, безусловно, обеспечивает некоторый дополнительный уровень безопасности для пользователя с правами «Администратора». В частности, если приложение не запрашивает высокий уровень привилегий, то оно будет выполняться с минимальными правами, даже в режиме «Администратора». Уязвимость, обнаруженная в таком приложении, будет менее критична, чем уязвимость в «высокопривилегированном» приложении.

Есть еще один довод в пользу UAC. Существует небольшое количество вирусов, которые засекают появление на экране предупреждения от файервола или иной системы защиты о подозрительном поведении — и «кликают» на соответствующую кнопку в окне, разрешая действие. Окно при этом едва ли успевает появиться на экране. Microsoft предусмотрела защиту от этой угрозы — Secure Desktop: окно, запрашивающее повышение привилегий, воспринимает ввод только от пользователя.

Следует помнить, что любая защита может быть обойдена, — поэтому те премущества, которые дает новый слой «брони», являются условными и, как показывает практика, временными. Есть несколько очевидных и довольно опасных идей для обхода UAC — озвучивать их мы не будем, чтобы не усиливать «гонку вооружений».
Защита ядра Vista
PatchGuard

Ядро Vista — только для 64-битной платформы — обещает быть защищено от модификаций, что актуально в свете тенденции распространения руткитов уровня ядра.

Руткит уровня ядра — вредоносная программа, скрывающая свое присутствие в системе за счет модификации данных ядра, либо набор утилит, позволяющих реализовать такое сокрытие.

В функции PatchGuard входит мониторинг изменений таблиц сервисов, дескрипторов ядра. На первый взгляд, это моментально решит все проблемы со скрывающимися троянцами. Однако PatchGuard едва ли может считаться существенной защитой от руткитов. Он принципиально уязвим — уже по факту наличия документированных способов отключения защиты. Главная же уязвимость PatchGuard — архитектурная: код защиты выполняется на одном уровне с кодом, который (и от которого) он призван защищать. Такая защита имеет равные права с потенциальным «нападающим» — и может быть каким-то образом обойдена или отключена. Техника эксплуатации и отключения PatchGuard уже известна.

Вдобавок к тому, что PatchGuard — сомнительная защита от руткитов, модифицирующих ядро, стоит заметить, что существуют и другие типы руткитов, перед которыми такая защита вообще бессильна. Мониторинг PatchGuard распространяется на статичные структуры ядра с заранее известным содержимым (SST, IDT, GDT) — но он не может охранять динамические структуры, равно как и все то, что находится вне уровня ядра. В качестве примера руткита, функционирующего за счет модификации динамических структур, можно привести известный FU. Руткиты, основанные на технологиях виртуализации, располагаются «глубже» уровня ядра — и тем самым недоступны для него.

Принципиальная уязвимость PatchGuard заключается в том, что он функционирует на том же уровне, который призван защищать. Это значит, что если вредоносному приложению удастся загрузить свой драйвер, ему удастся и отключить PG. Разумеется, при условии, что местоположение соответствующей функции мониторинга известно — но obscurity, как уже давно известно, имеет слабое отношение к security.

Замечу, что стремление Microsoft повысить стабильность системы в целом привело к побочным эффектам. Запретив доступ к ядру всем, Microsoft лишила security-вендоров возможности реализовать в своих продуктах часть функционала. В результате на Windows Vista в настоящий момент нельзя использовать в полной мере все эффективные наработки антивирусных компаний в области защиты, причем не только имеющие отношения к борьбе с руткитами — пострадали также, например, и проактивные технологии защиты от неизвестных угроз, уже реализованные в продуктах для предыдущих ОС. Вирусописатели в некотором смысле оказались в более выгодном положении: они не обязаны работать с PatchGuard, а руткиты могут его просто отключить.

Говоря о защите ядра Vista, еще раз подчеркнем, что как PatchGuard, так и проверка подписей драйверов — функции, доступные лишь на 64-битном оборудовании. Должно пройти некоторое время, чтобы его распространенность по сравнению с 32-битным стала преобладающей. В Vista x86 нет специфической защиты от руткитов.
Mandatory Kernel Mode and Driver Signing

Второй компонент системы защиты ядра Windows Vista для 64-битных платформ — требование наличия цифровой подписи у любого модуля или драйвера уровня ядра.

Предусмотрено несколько документированных способов отключения проверки подписей — в том числе и для облегчения процесса разработки и тестирования драйверов. Поскольку актуален вопрос, как быть разработчикам драйверов — ведь запрашивать электронную подпись для каждого билда перед тестированием невозможно, — было предусмотрено несколько способов отключения проверки подписей:

1. подключение системного отладчика;
2. выбор в меню загрузки режима без контроля драйверов (в том числе, через модификацию boot.ini);
3. включение в настройках безопасности режима поддержки тестовых подписей. Утилита для создания тестовых подписей предоставляется.

Три документированных способа отключения защиты сами по себе создают большое пространство для экспериментов. Помимо этого, разумеется, ведется и поиск соответствующих уязвимостей. Полгода назад Джоанна Рутковска продемонстрировала свой вариант эксплойта. В Vista RC2 соответствующая уязвимость была исправлена — однако прецедент был создан.

Можно ожидать множество способов обхода защиты ядра от загрузки неподписанных компонентов: эксплуатацию документированных способов отключения защиты, разработку эксплоитов, подобных упомянутому, получение привилегий уровня ядра без использования драйвера, наконец, эксплуатацию подписанного драйвера от какого-либо легального продукта во вредоносных целях (подобно тому, как компоненты легальных утилит восстановления паролей используются для воровства секретной информации в некоторых вирусах).

Снова тот же вердикт: да, эта функция защищает операционную систему от вредоносного кода, однако не настолько эффективно, как утверждается создателями ОС, и уж тем более она не делает ОС абсолютно защищенной.
Защитные функции Internet Explorer 7

Защитные функции IE7, в теории, должны избавить пользователя от угрозы срабатывания эксплойта на веб-странице с последующим выполнением вредоносного кода или инсталляцией троянца в систему.

1. Защищенный режим (Protected mode) — выполнение кода браузера с наименьшим уровнем привилегий, ограничивающим доступ к файловой системе, реестру и т.д.

Несколько примеров слабых мест данной функции, через которые она может быть скомпрометирована:

* Во-первых, режим защиты может быть включен или выключен пользователем. Он настраивается по отдельности для каждой зоны, и в соответствии с настройками «по умолчанию» не используется для зоны доверенных узлов (Trusted Zone).
* Во-вторых, Microsoft предоставляет Protected Mode API для создания элементов управления, совместимых с защищенным режимом («The Protected Mode application programming interface (API) enables software vendors to develop extensions and add-ons for Internet Explorer that can interact with the file system and registry while the browser is in Protected Mode»), — это совершенно новая функция, не обкатанная в бою, что делает ее с большой вероятностью весьма уязвимой.

2. ActiveX Opt-in — функция принудительного запрещения всех элементов управления ActiveX, кроме тех, которые явно разрешены пользователем.

Непонятно, в чем именно ее преимущество: возможность отключения ActiveX существовала в IE всегда, разница лишь в том, что в IE7 она принудительно включена. Между тем, по опыту предыдущих версий IE мы знаем, что пользователь не склонен отключать ActiveX и лишать себя тем самым возможности просматривать флэш-ролики на страницах — либо он обрекает себя на взаимодействие с всплывающими окнами системы защиты при просмотре каждого такого ролика. Можно сделать вывод, что с этой точки зрения usability IE7 сильно пострадала. (А выполнение неизвестных ActiveX как разрешалось, так и будет разрешаться.)

3. Функция Cross-Domain Scripting Attack Protection призвана запрещать взаимодействие скриптов между разными доменами — и тем самым защищать пользователя от фишинг-атак.

Следует заметить, что фишинг-атаки, использующие механизм cross-domain scripting, составляют малый процент от известных нам атак.

Полный список усовершенствований безопасности IE7 не ограничивается перечисленными тремя функциями и включает также фильтр фишинга (Phishing Filter), панель безопасности (Security Status Bar) и другие.

Таким образом, защищенность браузера, входящего в поставку Vista, базируется на том же принципе, что и UAC: на безопасности через ограничения.
В чем недостаток защит типа UAC, PatchGuard, IE Protected mode?

Рассмотрим вымышленный абстрактный файервол — как наиболее прозрачный пример «барьерной» защиты. Понятно, что наш файервол «умный» — работает не только со списками разрешенных и запрещенных програм, но и с событиями в системе.

Когда некая программа пытается передать информацию в сеть, это угроза безопасности. У файервола есть два варианта реакции:

1. запретить это действие, исходя из своих политик безопасности (возможно, настроенных самим пользователем);
2. запросить решение у пользователя.

В первом случае неизбежны ситуации, когда заблокированными оказываются легальные программы — что создает определенное неудобство. Пользователю придется разбираться, по какой причине программа не работает, добавлять ее в белый список файервола. Во втором случае неизбежно большое (у нас хороший файервол!) количество окон, на которые необходимо реагировать. Непонятно, какое из двух зол, вызванных неудобствами от ограничений, меньше.

И если в случае с файерволом, отслеживающим активность приложений, мы можем со временем уменьшить количество досаждающих алертов за счет разрастающихся белых листов, то с защитой более общего плана это не работает. Угрозы непредсказуемы и разнообразны, реакция на них не должна быть жесткой — иначе мы возвращаемся к варианту а) и вынужденным ограничениям. А не будучи жесткой, она становится раздражающей.

Безопасность через ограничения — это безопасность в ущерб usability.
Что будет с вирусами?

В Vista для 64-битных платформ серьерзно «ущемлены» окажутся в первую очередь троянцы, использующие драйвера и модификацию данных ядра — до определенного момента, когда они научатся обходить эти ограничения. Вышеупомянутый класс троянцев относительно невелик и составляет, пожалуй, менее 5% от всей массы Windows-вирусов. Vista для наиболее популярных сейчас 32-битных платформ не имеет функций защиты ядра — и, следовательно, защиты от данного класса троянцев.

User Account Control встроен в Vista, вне зависимости от платформы. «Условно ущемленным» из-за него окажется заметный процент троянцев, совершающих действия, которые требуют привилегий уровня администратора (таких как создание файлов в системной директории, модификация реестра, настройки автозапуска и др.). «Условно» — во-первых, потому, что я не считаю UAC серьезной защитой от вирусов (см. выше), а во-вторых, потому что для вредоносной программы всегда есть возможность навредить в установленных рамках, какими бы узкими они ни были. Например, черви, распространяющиеся в пиринговых сетях, не совершают никаких «нелегальных» действий — они просто создают свои копии в директориях, используемых для файлового обмена. Пример более опасного, при всей своей концептуальной простоте, вируса — нашумевший Virus.Win32.Gpcode, который шифрует документы пользователя и требует «выкуп» за их расшифровку.

О том, как повлияет защита IE7 на класс вирусов, устанавливающихся через веб-страницы — предсказать сложно. Скорее всего, никак — особенно в широкой перспективе и при учете того, что мало кому удобно работать в браузере, где все запрещено.
Подведем итог. Безопасна ли MS Vista?

Так ли безопасна Vista, как утверждают рекламные проспекты? Да, безусловно, Vista безопаснее, чем предыдущие системы от Microsoft. А система, настроенная так, что в ней запрещено все, кроме доступа к определенным сайтам, может даже считаться «абсолютно безопасной».

Однако для большинства пользователей неприемлемо значительное ограничение в действиях, приближающее систему к состоянию стерильности, равно как и постоянные запросы подтверждения или пароля для действий, распознанных системой как «потенциально опасные». И это та точка, с которой «почти полностью безопасная» система начинает превращаться во «все более уязвимую».

Вспомним также, что человек — слабейшее звено любой системы безопасности. Почтовые черви продолжают существовать и распространяться — несмотря на многочисленные предостережения специалистов по безопасности и настойчивые рекомендации не запускать подозрительные вложения в e-mail-сообщениях. Если эти предостережения не мешают большинству пользователей запускать вложения, то что помешает им так же обращаться с алертами от системы безопасности — например вводить пароль администратора по запросу? Тем более что, как уже было сказано выше, защиту, донимающую пользователя окошками, он склонен отключать или не воспринимать всерьез.

Кроме того, поскольку системы от Microsoft популярны, весь криминальный компьютерный мир заинтересован в нахождении уязвимостей в них. Качество или количество барьеров, выстроенных для защиты от хакеров, не играет особой роли. Наоборот - они лишь подстегивают исследовательский интерес определенной прослойки компьютерного криминального сообщества. Играет роль лишь то, что хакеры и вирусописатели будут искать уязвимости - такая перспектива очевидна. А раз будут искать - будут и находить.
Философское заключение

Безопасность, в основе которой лежит что-либо, кроме открытости, — это всегда палка о двух концах. У безопасности, в основу которой положены ограничения, всегда есть обратная сторона: эти самые ограничения. Которые могут сделать систему непригодной к использованию.

Что в конечном итоге окажется предпочтительнее: «безопасная в целом» система, не позволяющая пользователю делать то, что он хочет, или же в чем-то уязвимая, но удобная и свободная для действий система в связке с узкоспециализированным сервисом, нацеленным на защиту от конкретного типа угроз?

Свобода создает угрозу, а ограничения уменьшают гибкость. Чем больше ограничений, тем неудобнее пользоваться системой.

Если вы ревнуете свою жену, вы можете запретить ей ходить куда-либо одной или даже запереть в четырех стенах. Чем больше ограничений, тем меньше вероятность постороннего вторжения. Чем больше ограничений, тем несчастнее ваша жена, лишенная свободы. Вопрос в том, нужна ли вам несчастная жена?

Даже если достигнут идеальный баланс между ограничениями и комфортом пользователя системы — вспомним, что, в соответствии с мировой историей безопасности, любые защитные барьеры в конечном итоге преодолеваются или обходятся — при условии, что за ними есть что-либо представляющее интерес.

Когда роль ограничений в системе защиты переоценивается, мы получаем примерно такую картину: хорошим ребятам — пользователям и разработчикам — много постоянной головной боли и окошек-алертов, на которые то и дело надо кликать, плохим ребятам — хакерам и вирусописателям — много «вкусных» головоломок на некоторое время и чуть-чуть головной боли.
Ссылки