Интеграцията между приложенията както помежду си така и с ОС, чрез общи и шернати файлове е предпоставка за пренасяне на уязвимост от една в друга програма заради това че ползват общ или шернат файл в който има уязвимост, който се ползва от няколко програми и пренася тази уязвимост върху всички програми кито го ползват, както и ако един файл предлага защита, тогава този файл пренася защита от една на друга програма, заради това че ползват общ или шернат файл и се ползваот няколко програми. общи и шернати файлове значи едно и също - системен файл който се ползва от 2 и повече програми, в това число се брои и операционната система. В уиндоус има 4 големи кръга на интеграция, и шернатите файлове са кажи-речи всички без няколко, за това е важно да се обновяват всички програми и ос. Проблемът с общите файлове, е че примерно макар файлът да е собственост на интернет експлорер, микрософт офис го ползва за уеб и интернет възможностите си. Така ако във файла има уязвимост, тя вече не е само на интернет експлорер, а се пернася и върху микрософт офис. Същото важи и в обратна посока. Друг пример: Уиндоус Медиа Плейър има обновен файл който не само е премахнал уязвимост, но и въвежда системна защита на паметта. Файлът е собственост на Уиндоус Медиа Плейър, но понеже интернет експлорер също ползва този файл, за да представи мултимедиино съдържание, системната защита която предлага този файл се пренася и върху интернет експлорер. Много хора не вземат това под внимание, но това е там, това си съществува, независимо дали го вземат под внимание или не.
Митичната нехакваемост на макинтош се оказа само един мит.
Мак, и епъл страдат от собствената си самонадеяност и до някъде арогантност. В миналото, бяха много качествени като ОС, като хардуер, но бяха скъпи. Това ги правеше трудно достъпни, и малко хора можеха да си ги позволят и то основно професионални истории с голям бюджет. Тогава популярността на мак беше ниска, дяловото участие на мак също. Мак беше ОС която не се търсеше много, не се ползваше много и не представляваше интерес да се търси да се хаква. Hе че нямаше пробиви, имаше колкото си искаш, просто никой не си играеше да ги търси, и да създава нещо за тях. Епъл използваха положението, да се фукат и да се перчат, вижте ни не са ни хаквали, няма вируси за нас...... нещата се промениха в началото на 2008 година. Докато преди епъл се перчеха, и се подиграваха, микрософт си скъсваха задниците да чистят пробиви, и внезапно картинката започна да се обръща. РС винаги са били евтини и достъпни, софтуера и хардуера се развиват, ОС и те се развиват и внезапно с появата на уин ХР, по възможности се поизравни с мак, но на ниска цена. Eпъл въобще не бяха доволни, и намалиха цената на мак за да са конкурентноспособни. Изведнъж народа, подведен от митовете които се носеха за мак - юрюш народе на маслините, се метна да купува мак, и мак набра популярност. Използвайки това като повод, епъл почнаха да пускат цветните лаптопи i-book с което си вдигнаха продажбите до небесата. Обаче това не идва без цена. Колкото по-популярна става една ОС, толкова повече внимание привлича върху себе си, а част от вниманието идва от хора които търсят пробиви за да хакват. Така в периода 2005 - 2008 епъл набраха популярност, и сила, и 2008 се започнаха първите новини че намерили тая нестабилност, намерили ония пропуск, намерили незнам си какво недомислено, и в един момент, първо се започваше с деформирани пакети, които караха програмата или ОС да се крашне, след което бях доразработени до експлойти. Докато епъл изкарваха всичко това потребителски грешки - this is by design, users must take responisbility and set it properly, go away, се появиха и черволяци за мак. Даа малки, даа не са нищо особено, но са черволяци. Тоест познай - с повечко труд може да пламне епидемия. Когато се разбра че номера не действа, епъл доста се вкиснаха. Докато епъл се чудят как да излезнат от положението, така че да не е тяхна вина, и да не е недостатък в компютрите им, РС индустрията направи друго. големите от ранга на Леново, НР, Делл, Интел АМД, Микрософт, Гугъл, Мозила, Скайп, седнаха на една маса и запретнаха ръкавите. дай да направим нещо смислено. Така направиха сп2 за уин ХР, който обърна играта на 180 градуса. От страна на Интел и АМД, Започнаха да се появяват процесори с хардуерно вграден ДЕП и хардуерно вградена виртуализация. От страна на производителите като Леново, НР, Делл, започнаха да използват тези процесори, за сметка на тези без подобни технологии. Съответно, Микрософт, включиха тези функционалности, в сп2 за уин ХР, както и активираха огнената стена да е включена по default. това изведнъж елиминира голяма част от пробивите. Тези експлойти които се базираха на buffer overrun и buffer overflow станаха нeприложими на компютри с уин хр сп2 и оборудвани с процесори с хардуерен деп. Големите софтуерни компании, бързо се усетиха откъде духа вятъра, и си направиха нещата деп съвместими. Когато това стана, изведнъж летвата беше вдигната, значително. уин не беше толкова лесен за хакване. Тези които търсеха лекото и мекото, се изместиха на набиращите сила мак. Така изведнъж се оказа че докато микрософт си поизчистиха основната база от код, епъл тръгват от нулата. Към средата на 2010 година все още беше често явление да бъде пуснат пакет, от актуализации, които с по 300 - 400 мб едната актуализация, която пренаписва почти цялата ос и в нея има спиък от 1600 - 1700 неща оправени, под натиска ставащото. И ако питаш - не съм объркал броя на нулите. Чак след средата на 2011, епъл си поизчистиха кода, и се позакрепиха, макар че все още не реагират достатъчно пъргаво на ставащото. На няколко Defcon и Cansec west конференции, се провежда конкурса pwn to own срещу браузери. Браузера сафари, е най-крехкия. Веднага щом излизне нещо, задължително сафари страдаше. Това унижение на епъл, явно не им е достатъчно, още реагират тромаво на ставащото. Общо взето епъл не са това което всички мислеха, high security, unhackable, unbreakable.....
Линукс - ОС която е базирана на Юникс - която пък е мрежова ОС, правена за работа в обществени мрежи и мрежи с ниско ниво на доверие. Тъй като Сигурността е в основата, линукс никога не е страдал от сериозни пробиви, такива от каквито уиндоус страдаше на времето. много често с линукс е въпрос на лоши настройки и на недоглеждане. И да има някой друг пробив брзо се оправя, а дори поправката да се забави, винаги мрежовата подсистема може да се пренастрои за да се заобиколи проблема, до получаване на поправката. освен това Юникс като основа за линукс, има 10 - 15 години в интернет преднина спрямо уиндоус, или мак, и това им е дало много време и голяма преднина да си изчистят работите. Погледнато в интернет време, 10 - 15 години е неворятно огромен интервал от време, и 10 - 15 години преднина, е разлика която е изключително трудно да се стопи.
Семейството на уиндоус и интернет експлорер.
Преди всичко, когато говорим за уиндоус и секюрити, не бива да делим ИЕ от уиндоус. ИЕ е до толкова тясно интегриран с ОС, че покрива много неща - часто от мрежовата подисистема, част от рендериращите енджини също се оемат от ИЕ, цялата уеб функционалност която привидно изглежда уиндоус, и не виждаш прозореца на ИЕ, ама това е ИЕ, и ИЕ поема това, и подава на ОС готовия резултат.
windows based on 9x kernel
уин 95, 95 osr 1, osr 2, win 98, win 98 Second edition, Millenium edition, win 98 sp1, win 98 Second edition sp1, IE 4, 5, 6, IE 6 sp 1
Security - umh what?, Security - huh?, security - wtf is this?
Никаква. Нулева. въобще не участва в сметките. Нещо което малко от малко, прилича на подобие на реално използваемо и реално полезно секюрити се появява в уиндоус милениум с ИЕ 6 sp1. Преди това, изобщо не питай за това. Появява се идеята за контрол на кукита, зони за сигурност, и контрол на изкачащи прозорци, както в общ глобален план, така и като правила за индивидуални сайтове. Макар тогава, силно уязвими от каквото се сетиш, вируси, червеи, отдалечени команди, пинг към себе си, конзола в конзолата.... пада по гръб от всичко, което го срещне. Мрежовата функционалност е достатъчна за интернет връзка, а ако говорим за локална мрежа, помниш ли по рс клубовете все по някоя 98-ца се преинсталираше. мрежата работеше слабо, когато изобщо работеше. Игрите си идваха със собствена мрежова подсистема, и собствени протоколи, и реално игрите правеха мрежата. Ако някой сложеше повече игри, които идват със собствени мрежови протоколи и собствени мрежови подсистеми, си скапваше цялата мрежова подсистема на уиндоус, от което страдаха игрите, Инетрнет експлорер и уиндоус. Тогава никой не се сещаше да изчисти мрежвовите протоколи и да сложи само тези които трябваха на системата - тесен набор от протоколи - TCP, Client for Microsoft network, client for novell network, file and printer sharing protocol, IPX/SPX. Който се сещаше да остави тоя набор, нямаше проблем, но си траеше за този трик, или го казваше само на близки приятелчета които нямаше да го разправят на всички. Актуализация на ОС? Актуализацияна браузера? никой не беше чувал за това. Никой не знаеше че има такова нещо. Тези които се бяха изхитрили, използваха уин милениум, ие6 сп 1, и скъсваха компютъра от актуализации, на ос и браузера докато системата кажеше нямам повече актуализации за теб. изведнъж ама как така с шокиран поглед очите широко отворени очи, и чене забито в земята, задавйки въпроса ама как го направи? тогава много не се говореше за актуализации, тези които знаеха, се актуализираха, и си траеха, или казваха само на близки приятели, които няма да го разкажат на всички, тези които не знаеха, изгаряха централно. Рутери нямаше така масово. които ги имаше не винаги бяха читави, но винаги бяха безумно скъпи. който успееше от e-bay или амазон.ком си купуваше с крадена кредитна карта, читав и евтин, но си траеше за рутера. Тогава беше модерно Zone alarm 2.0 като firewall и антивирус. Нортон, макафии, изобщо ставаха спорове, ама tiny personal firewall, sygate personal firewall, outpost personal firewall, comodo personal firewall, Kerio personal Firewall, avg free, avira antivir PE, AVX, AVP - сега касперски,F-secure, Froptw - W за windows F-prot за уиндоус, trend micro pc cillin, iris antivirus бяха актуалните тогава заглавия. Това семейство си беше семейство от ОС играчки, игри, музика, клипове филми, ICQ, IRC, браузер....
уиндоус милениум е послединя от семейството на 9Х. с края на поддръжката му се прекъсва и поддръжката и разработката на 9х ядрото. полезното от 9х ядрото е пренесено в ядрото на уин ХР - НТ 5.1, и след това се доразвива там, останалото е унищожено.
Windows based on NT Kernel - NT значи Networking Technology
IE based on NT Kernel 32 bits - 3, 4, 5, 6, 6 SP1, 7, 8, 9
IE based on NT Kernel 64 bits - 8, 9
Workstation Windows based on NT Kernel
32 битови
Windows NT 3.0, NT 3.5, NT 4.0 SP 1, SP 2, SP 3, SP 4, SP 5, SP 6, windows 2000 SP 1, SP 2, sp2 srp 1, SP 3, SP 4, sp4 srp 1(NT 5.0), Windows XP 32 bit SP 1, SP 2, SP 3 (NT 5.1) Windows Vista 32 bit (NT 6.0) SP 1, SP 2, Windows 7 32 Bit SP 1 (NT 6.1)
Workstation Windows based on NT Kernel
64 битови
Windows XP 64 bit SP 1, SP 2, SP 3 (NT 5.1) Windows Vista 64 bit (NT 6.0) SP 1, SP 2, Windows 7 64 Bit SP 1 (NT 6.1)
Server Windows based om NT kernel
32 битови
NT 3.0 server, NT 3.5 Server, NT 4.0 Server, NT 4.0 Advanced server, Windows 2000 server, advanced server, datacenter server, 2003 server, 2003 advanced server
Server Windows based om NT kernel
64 битови
windows server 2008, windows server 2008 R2
Това е водещата линия ОС на Микрософт, създадени за работа в мрежа, с множество протребители и акаунти с различни права, както групови така и индивидуални, и множество групи акаунти, групирани според функцията и целта си в мрежата и със съответните права и забрани. Това семейство ОС се дели на 2 големи групи, всяка оптимизирана, за определена роля, която изпъляна добре и се справя зле извън нея - server за сървърски приложения, и Workstation за едининични компютри, работни станции, dedicated terminals. Тук можем да говорим за секюрити, от версия 4.0 нагоре, и от ИЕ 5 нагоре. Интерсното е че тук секюритито играе не малка роля, обаче малко хора имаха дисциплината, да си стегнат сървърите като хората. Избора на правилен акаунт като основа, с която да започнеш работа, използването на индивидуалните права и забрани, като метод за фино нагласяне на подробностите, идеята за обект и акаунт, че всяка програма е обект, която работи под акаунт, и съответно за програмен достъп, и човешки достъп, се подчинява на правата и забраните на акаунта, под който работи, е много добра. С времето платформата е претърпяла развитие в не малка степен, все пак да не забравяме че като за водещ продукт, микрософт концентрира усилията си тук. Мрежовата функционалност е на ниво, и работи надеждно, а в НТ 4.0 СП 6, като протоип, и развити в уин 2000, се появява IP/SEC политика на достъп, която има общо взето 2 основни клона. Единия е Protocol security което позволява, да се укажат ясни и точни правила за включване в мрежата, и за приемане и отхвърляене на връзки, включително и шифровани мрежови връзки по ethernet протокол, за изграждане на локална мрежа LAN която да работи с криптиран трафик. Тогава, компютрите не са били много мощни, и е имало малко системи за шифроване, и всичките са били със симетричен криптографски ключ - syskey - 56 bit, blowfish - 64 bit, des - 64 bit, double des 128 bit, triple des 168 bit, както и другия клон, който общо взето при активиране, затваря всички портове, и активира whitelist - положителен списък на позволените портове, и ти си указваш кои портове искаш отворени, и ОС ти отваря само тези портове, и всичко друго е затворено. това се отасяше за TCP/IP страната на една връзка - интернет връзката, като това се делеше на още подробности - TCP портове, UDP портове, и ICMP. Това позволяваше на старателен немързелив и отговорен и съвестен и грамотен администратор, да нагласи цялата мрежа по такъв начин, че следвайки политика assume mistrust можеше да постигне резултати много близки до тези на линукс базирана мрежа.
Други полезни 4 предпазни мерки мерки които могат да се вземат са
1. защита на фабричния администраторски акаунт, който е необходимото зло,
2. изключване на акаунт guest - гостенин,
3. да се работи от акаунт - restricted user,
4. да има политика за работа със сложни пароли, които да се сменят периодично
защита на фабричния администраторски акаунт - задължително - повярвай ми, не искаш безконтролен администраторски акаунт без парола и без защита, такъв акаунт дава неограничен достъп до цялата система и всички нива и функции и настройки на ОС. Превземат ли ти администраторски акаунт - game over - изгубил си битката.
Изключване на акаунт guest - макар това да е акаунта с най-много забрани и ограничения, за достъп, което на теория кара много безотговорни администратори да го оставят активен, същият акаунт в уиндоус НТ е податлив на privilege escallation exploit това е експлойт - пробив, който позволява придобиването на права на администратор и от там придобиване на неограничен контол над системата.
Да се работи от акаунт с намалени права - restricted така самият уиндоус като ОС се превръща във враждебна среда, за всяко нещо което пипа където не му е работа, защото дори експлойтите са обекти които работят под правата и забраните на потребителя, идеята е да нямаш права да направиш нищо. Нямаш достъп до ресурсите за автоматично стартиране, не можеш да променяш настройки, не можеш да създаваш или премахваш правила за достъп.... което налага използването на privilege escallation explots което от своя страна допълнително затруднява и усложнява работата, и не биха си дали зор, ако няма нещо което наистина да си заслужава усилието, в усложнената среда. Отдалечени експлойти remote explots също представляваха част от реалните рискове, които можеха да се намалят до разумна степен, с изграждане на IP/SEC политика за контрол над портове, протоколи и правила за приемане и отхвърляне на връзки. на този етап, не малка степен на защита даваше и EFS Encrypted File System. шифроваш си файловете, и си готов, другите не знаят за какво иде реч. До тук добре, ама имаме проблем че SAM файла е уязвим, макар да съхранява паролата в хеширан вид - hashed password която е необратимо криптирана, SAM файла е уязвим на Off-line hash injection - тоест сляпа подмяна на хеша на текущата парола с контролиран хеш на нова контролирана от нас парола. С това действие просто елиминираш паролата като защитен фактор, при това БЕЗ ДА Е НЕОБХОДИМА ТЕКУЩАТА ПАРОЛА и без значение колко е сложнаи дълга. Не след дълго се оказва че кода за аутентикация на потребителя пред системата, се използва като ключ за криптиран и декрипиране, което осмисля използването на hash injection за достъп до дялове криптирани с EFS.
С излизането на уиндоус ХР, EFS е претърпяла еволюция, и то в не малка степен. Hash Injection е с намалена ефективност и с намалено полезно действие. Макар че все пак може да подмени паролата, и да ти даде достъп до акаунта, вече не може да ти даде достъп до шифровани с EFS дялове, защото ключа за шифроване не е кода за аутентикация на потребителя пред системата, а е самият хеш на паролата. подменяш хеша, ама с него подменяш и криптоключа. Ефективността на Hash injection e намалена на половина. Уиндоус ХР след сервиз пак 2 Внася няколко промени, които значително повдигат общото ниво на защита, и генерално подсилват собствените защитни сили на ОС. Появява се наченка на имунна система която трябва да реагира на некоректно поведение, и да го блокира - появява се DEP - Data Execution Prevention, което напрактика елиминира само един, но за щастие най-големия клас атаки срещу уиндоус - buffer overrun/buffer overflow атаки среду ОС и приложенията под ОС. Тук разбира се, се намесват и windows firewall. Windows firewall на този етап се намесва, и става включен по подразбиране, което пък автоматично ни оттървава от втория по големина клас атакаи - remote експлойти. На този етап имаме Advanced SPI Firewall - Advanced Statefull Packet Inspection Firewall. противно на всеобщото схващане че това е layer 3 inbound firewall се оказваче в SP 2, всъщност има и някои действия които са характерти за layer 7 - application level, който има и основен outbound контрол. Друга полезна промяна е премахването на raw sockets което допълниелно подобрява сигурността на системата.
През това време се появяват процесори с хардуерна поддръжка на ДЕП. Това е добре дошло, за ОС уин ХР сп 2, защото изведнъж това подсилва защитата, до ниво в което дори да излъжеш ОС, не можеш да излъжеш процесора. това вкорави ОС и повиши устойчивостта срещу атаките срещу ОС. Обаче за беля, не всички приложения баха съвместими и много дълго време като болезнен и бавен процес, имаше приложения които биваха блокирани от подобен род защита, защото самите приложения не бяха изцяло написани коректно и имаха доста интетесни странични ефекти. накрая по принуда и под натиск от микрософт и от потребителите, производителите започнаха едно бавно и мъчително коригиране на софтуера си.
Докато епъл се вайкат и се тръшкат ама олеле какво стана, ама олелe какво ни застигна, ама олеле какво ще правим, големите играчи от ранга на Леново, НР, Делл, Интел, АМД, Микрософт, Гугъл, Мозила, Скайп, седнаха на една маса и запретнаха ръкавите. дай да направим нещо смислено. Така с общи сили се появи TCG - Trusted Computing group. От страна на Интел и АМД, Започнаха да се появяват процесори с хардуерно вграден ДЕП и хардуерно вградена виртуализация. От страна на производителите като Леново, НР, Делл, започнаха да използват тези процесори, за сметка на тези без подобни технологии. Съответно, Микрософт, включиха тези функционалности, в сп2 за уин ХР, както и активираха огренана стена да е включена по default. Това изведнъж елиминира голяма част от пробивите. Тези експлойти които се базираха на buffer overrun и buffer overflow станаха нeприложими на компютри с уин хр сп2 и оборудвани с процесори с хардуерен деп. Големите софтуерни компании, бързо се усетиха откъде духа вятъра, и си направиха нещата деп съвместими. когато това стана, изведнъж летвата беше вдигната, значително. уин не беше толкова лесен за хакване. това обърна нещата с краката нагоре. Това Наистина вдигна летвата значително. Тези които търсеха лекото и мекото, леко по леко се изместват на мобилни платформи - смартфони, епъл, мак.
тук се намесва и 64 битовия фронт. уин ХР 64 бита е първата Ос от микрософт, който общо взето е първия прототип на секюрити базирана ОС от микрософт. Разбира се като прототип има много и добри идеи но понежее нещо ново, и му трябва време да улегне малко, да поузрее. За пъ,ви път баха ппредставени нови и сериозни защитни мерки, които ще са характерни само за 64 битовите ОС, като метод да накарат хората да се осъзнаят и да се ъпгрейдват до някакво прилично ниво. Новите мерки са защита на ядрото срещу пачване - patching the kernel, срещу хукване на ядрото - hooking the kernel, и приемането на подписани от производителя драйвери. Тиможеш да насилиш инсталацията да пиреме и интсталира неподписан драйвер, но системата няма да си създаде референции з стартиране и няма да го зареди при буутване. Чудесно. тези двете мерки, добавени към ДЕП на ОС, ДЕП на процесора, включването на огнената стена, повдигнаха още летвата. Стана повече от ясно че този път микрософт са категорични, че няма да си играят на дребно, и че този път нещата ще бъдат вкарани в релси един път и завинаги.
уин виста виста 32 бита и уин виста 64 бита. Всички защитни мерки се развиват и засилват във виста. Оказва се че 32 битовите процесори, не винаги са достатъчни, за постигане на високо ниво на защита. появяват с прототипи които не са истински 64 битови процесори. в основата си са 32 битови с 64 битови разширения върху 32 битова шина. Това даде някакъв тласък на виста 64 бита и уин ХР 64 бита, което показа на света че нищо няма да е като преди, така че хората да спрат да си правят наивни илюзии. Това даде малко време, на АМД и на ИНТЕЛ, и те пуснаха вече истински 64 битови процесори, с пълен комплект 64 битови регистри с пълнен комплект 64 битови инструкции, работещи изцяло на 64 битова шина, което значително подобри производителността. Така изведнъж се оказа че уин виста всъщност е първата ОС с истински естествен 64 битов код, не просто 64 битово разширение както се оказва в последствие при хр 64 бита. това позволи, на микрософт да си изпипат защитата на ядрото, защитата на драйверите, и цялата архитектура, heap, stack, като вече в самия код, има флаг какво е това и как трябва да се отнасяш с него, и хубавото че и процесора и паметта и шината, се съобразяват с това на ниско ниво. В този момент се появиха дървените философи, които почнаха да говорят всевъзможни теории и хипотези, извадени от нечии мокри сънища, с интерпретации и обяснения на ставащото, кое то кое по-чудато. В последствие какво се оказа? Оказва се че процесора просто налага една стройна и стриктна организация в паметта, на ниско ниво - наниво адрес в паметта, на ниво регистър на ниво инструкция. Подобренията в защитните сили на ОС и в частност ДЕП, вземат този строй, и го пренасят върху ОС, приложенията Heap, stack и всички елементи и променливи с които ОС и програмите работят. До тек разликет са че при уин виста, всичко съществуващо е подобрено и подсилено - второ поколение, което реагира още по-адекватно и не страда толкова много от детски болести. Друга промяна във виста е организацията на паметта. Така е направено че проследяване и дебъгване на код на ниско ниво е невъзможно. Но разработчиците имат нужда от това. Появиха се 2 форми на активация. едната формана активация е нормалната активация на ОС. Тя е тази в която всички защити работят предпазват системата. Втората е така наречената software developer активация, където някои защити, като подписването на драйвери, защитат при дебъгване са умишлено спрени, за да се улесни работата на софтуерните девелопери. цената за това е понижени защитни сили на ОС. други 2 нови важни новости, са UAC - User Accouont Control, който общо взето е досадния прозорец който всички махат, а това не винаги е добра идея, защото това напрактика макар и в повечето случаи да е досадник който само ти прeкъсва работата, и те вкарва в безкрайно кликане да и не, за всяко нещо което мърдне на компютъра, може да е полезно и за спиране на гадина, защото ако през UAC спреш нещо, значи си спрял гадината много преди да е направила каквото и да било, действие на системата. Друга полезна новост, е че дори да си направиш администраторски акаунт, през времето когато нормално се ползва, той не е администраторски, той е нормален, и няма тези права над системата. Реално администраторските права, се активират само ако дадеш run as administrator или натиснеш бутон, с иконана щитче, което позволява временни администраторски права, само за тази програма или функция, и то докато завърши работата си. веднъж като завърши работат си администраторските права биват отнети и системата се връща на нормалното неадминистраторско ниво. така дори нещо да пробие, самият уин го ограничава. Така например вече използването на privilege escallation exploit става задължително, което усложнява нещата. допълнително усложнение за експлойтите е наличието на ДЕП, и ако самият компютър е оборудван с процесор с хардуерна поддръжка на ДЕП и хардуера поддвъжкана виртуализация, нещата се усложняват допълнително. ако създадеш неадминистраторски акаунт, няма да получиш администраторски права по никой параграф, а функциите и бутоните с иконка на щитче, няма да работят. Ще ти изкара грешка че нямаш права, и ти трябва админски акаунт, и си до там. тъй като виста е ново ядро, напрактика много неща тръгват от нулата, и е нормално да страда от детските си болести, заради това че нещата още не са улегнали, и са съвсем нови. Това създава впечатлението че вистаепровал и неуспех и че се опитват със сп1 и сп2 и с ИЕ 9 зависта да си оправят бакиите. напрактика само чистят проблемите от новата платформа, и уин виста узрява и уляга, в сп2, ИЕ 9, стига едно улегнало и узряло ниво. Друго важно нещо е появата на windows defender, който общо взето е малкото братче, което е само spyware/general malware решение, в уин виста, и еволюцията на firewall до пълен контрол на layer 3 и layer 7 и пълен контрол на входящ и изходящ трафик.
Появава се уиндоус 7. Уиндоус 7 ще е последният уиндоус който ще има 32 битов вариант. В уин 7 се появяват нови защитни мерки. в 32 битовия вариант се проявява и ASLR - Address Space Layout Randomization, както и SEHOP - Structured Exception Handling Overwrite Protection, което значително засилва имунната система на уиндоус. В 64 битовата версия, нещата се засилват значително. всички защитни мерки от виста са пренесени и развити до трето поколение. 32 битов уиндоус 7 общо взето разполага с добро ниво на защита, срещу експлойти, което се подобрява значително ако компютъра е оборудван с процесор с хардуерна поддръжка на ДЕП, и с хардуерна виртуализация, от които офис 2010 и ИЕ 8 и 9 пряко се възползват. 64 битовата версия на уин 7 е още по-брутална. това което предляга уин 7 32 бита като защита е 3 поколение ДЕП, 1 поколение ASLR, 1 поколение SEHOP, 2 поколение UAC който е значтилно по-умен и зачително по-ефективен, и далеч по-малко досаден, фабрична поддръжка на TPM - trusted platform module и подобренконтрол над акаунтите и правата, и кога ти трябва администраторски акунт и кога не. 64 битовият уин 7 е наистина брутален. Като основа разполага с всичко което разполага 32 битов уин 7, с приятни и полезни добавки. уин 7 64 бита разполага с 3 поколение ДЕП, 2 поколение ASLR, 2 поколение SEHOP, 2 поколение UAC 3 поколение контрол над акаунтите и правата, системен супервайзер, който следи общото състояние на ресурсите и системните файлове на ОС - blue pill, 3 поколение защита на ядрото срещу хукване и пачване, 3 поколение проверка за подписани драйвери, и нищо което не е подписано не се приема. С излизането на сп1 за уин 7, микрософт решават категорично проблема с още една голяма група вредители - autorun malware. На този етап, само master boot record rootkit е реална сериозна заплаха за уин 7 64 бита SP1.
говорейки за уиндоус, не можем да го разделим от Интернет експлорер. Нито в дискусия, нито реално на ниво файлове и регистри. Проблмът е че интеграцията между уиндоус и интернет експлорер, е много голяма и много сериозна и напрактика ИЕ е интегриран модул от ОС уиндоус. много системни модули на уиндоус които търсят интернет връзка, дори windows update, microsoft update използват Интернет експлорер да направи връзката и да свали информацията и пачовете, уин сам си ги инсталира, но офис и уиндоус използват и рендериращите енджини, например на windows update и MNicrosoft update това е аплет който използва ИЕ както за врзъзка така и да ти покяже какво е намерило. за това е добре да разгледаме ИЕ като част от ОС
във всички ОС преди уин виста и всички версии преди ИЕ 8, нещата се чистеха на парче, не беше нещо сериозно. чистеха се единични пробиви, като общо взето се правеха лениви крачки в произволни посоки. промяната дойде с ИЕ 8 и уин виста. там вече от микрософт започнаха да работят за защитена работна среда, и защитена ОС. дефакто, докато версиите на ие, предлагаха единични решения, например появата на забрана за прескачане между зоните, за сигурност, поява на табове, блокиране на изкачащи прозорци, и правила за появата им но нищо сериозно, което реално да промени картинката. под уин виста и уин 7, ИЕ 8, показва сериозен потенциал, с ясно дефииран контрол над javascript и tracking behavior filter - тоест ако ходиш по различни сайтове, но винаги има референции към един и същи сайт, този сайт бива възприет като 3rd party trackеr в смисъла на рекламен партньор advertisement tracker и бива блокиран автоматично. Други полезни екстри са Smart screen filter което е проверка за сайтове участващи във phishing измами. С излизането на ИЕ 9, обаче играта загрубява. ИЕ развива всички защитни мерки които има ИЕ 8 до следващото поколение, като добавя още от себе си към общата картинка. ИЕ 9, се записва да се пази сам с всички защити на уин виста и уин 7, има ново ядро, сам се подлага memory protections - всичките DEP, ASLR, SEHOP, с което сам намалява риска до значителна степен от успешни атаки от капанчета заложени в кофти страници, и въвежда още една новост новост и то сериозна protected mode с което общо взето сам се поставя в sandbox подобно на гугъл хром, и използва хардуерната поддръжка на виртуализация на процесора, за да подсили този защитен режим. Друго полезно което въвежда е забрана за използване на незащитени или забранени по друг начин протоколи за прехвърляне на активни елементи от една страница в друга страница все едно са част от другата стрница, което до някъде решава проблема със злонемерено използване на XSS - Cross Site Scripting. Друга полезна промяна в ИЕ 9 е компилирането на javascript и JIT елементи - JIT - Just Intime Complile - компилиране в последния момент, до интелски двоичен код, а не като интепретиран код, което подбага кода на директен контрол от защитните мерки на ниско ниво от процесора - ограничаван от хардуерната виртуализация, и защитен от хардуенрния деп на процесора, и пряко следен в стека и в heap от ОС и нейните защитни механизми.
това е общо казано за уиндоус и ИЕ от гледнаточка на уиндоус, представено в стегнат сбит вид, в който ксъм представил нещата без ненужни подробности.
Митичната нехакваемост на макинтош се оказа само един мит.
Мак, и епъл страдат от собствената си самонадеяност и до някъде арогантност. В миналото, бяха много качествени като ОС, като хардуер, но бяха скъпи. Това ги правеше трудно достъпни, и малко хора можеха да си ги позволят и то основно професионални истории с голям бюджет. Тогава популярността на мак беше ниска, дяловото участие на мак също. Мак беше ОС която не се търсеше много, не се ползваше много и не представляваше интерес да се търси да се хаква. Hе че нямаше пробиви, имаше колкото си искаш, просто никой не си играеше да ги търси, и да създава нещо за тях. Епъл използваха положението, да се фукат и да се перчат, вижте ни не са ни хаквали, няма вируси за нас...... нещата се промениха в началото на 2008 година. Докато преди епъл се перчеха, и се подиграваха, микрософт си скъсваха задниците да чистят пробиви, и внезапно картинката започна да се обръща. РС винаги са били евтини и достъпни, софтуера и хардуера се развиват, ОС и те се развиват и внезапно с появата на уин ХР, по възможности се поизравни с мак, но на ниска цена. Eпъл въобще не бяха доволни, и намалиха цената на мак за да са конкурентноспособни. Изведнъж народа, подведен от митовете които се носеха за мак - юрюш народе на маслините, се метна да купува мак, и мак набра популярност. Използвайки това като повод, епъл почнаха да пускат цветните лаптопи i-book с което си вдигнаха продажбите до небесата. Обаче това не идва без цена. Колкото по-популярна става една ОС, толкова повече внимание привлича върху себе си, а част от вниманието идва от хора които търсят пробиви за да хакват. Така в периода 2005 - 2008 епъл набраха популярност, и сила, и 2008 се започнаха първите новини че намерили тая нестабилност, намерили ония пропуск, намерили незнам си какво недомислено, и в един момент, първо се започваше с деформирани пакети, които караха програмата или ОС да се крашне, след което бях доразработени до експлойти. Докато епъл изкарваха всичко това потребителски грешки - this is by design, users must take responisbility and set it properly, go away, се появиха и черволяци за мак. Даа малки, даа не са нищо особено, но са черволяци. Тоест познай - с повечко труд може да пламне епидемия. Когато се разбра че номера не действа, епъл доста се вкиснаха. Докато епъл се чудят как да излезнат от положението, така че да не е тяхна вина, и да не е недостатък в компютрите им, РС индустрията направи друго. големите от ранга на Леново, НР, Делл, Интел АМД, Микрософт, Гугъл, Мозила, Скайп, седнаха на една маса и запретнаха ръкавите. дай да направим нещо смислено. Така направиха сп2 за уин ХР, който обърна играта на 180 градуса. От страна на Интел и АМД, Започнаха да се появяват процесори с хардуерно вграден ДЕП и хардуерно вградена виртуализация. От страна на производителите като Леново, НР, Делл, започнаха да използват тези процесори, за сметка на тези без подобни технологии. Съответно, Микрософт, включиха тези функционалности, в сп2 за уин ХР, както и активираха огнената стена да е включена по default. това изведнъж елиминира голяма част от пробивите. Тези експлойти които се базираха на buffer overrun и buffer overflow станаха нeприложими на компютри с уин хр сп2 и оборудвани с процесори с хардуерен деп. Големите софтуерни компании, бързо се усетиха откъде духа вятъра, и си направиха нещата деп съвместими. Когато това стана, изведнъж летвата беше вдигната, значително. уин не беше толкова лесен за хакване. Тези които търсеха лекото и мекото, се изместиха на набиращите сила мак. Така изведнъж се оказа че докато микрософт си поизчистиха основната база от код, епъл тръгват от нулата. Към средата на 2010 година все още беше често явление да бъде пуснат пакет, от актуализации, които с по 300 - 400 мб едната актуализация, която пренаписва почти цялата ос и в нея има спиък от 1600 - 1700 неща оправени, под натиска ставащото. И ако питаш - не съм объркал броя на нулите. Чак след средата на 2011, епъл си поизчистиха кода, и се позакрепиха, макар че все още не реагират достатъчно пъргаво на ставащото. На няколко Defcon и Cansec west конференции, се провежда конкурса pwn to own срещу браузери. Браузера сафари, е най-крехкия. Веднага щом излизне нещо, задължително сафари страдаше. Това унижение на епъл, явно не им е достатъчно, още реагират тромаво на ставащото. Общо взето епъл не са това което всички мислеха, high security, unhackable, unbreakable.....
Линукс - ОС която е базирана на Юникс - която пък е мрежова ОС, правена за работа в обществени мрежи и мрежи с ниско ниво на доверие. Тъй като Сигурността е в основата, линукс никога не е страдал от сериозни пробиви, такива от каквито уиндоус страдаше на времето. много често с линукс е въпрос на лоши настройки и на недоглеждане. И да има някой друг пробив брзо се оправя, а дори поправката да се забави, винаги мрежовата подсистема може да се пренастрои за да се заобиколи проблема, до получаване на поправката. освен това Юникс като основа за линукс, има 10 - 15 години в интернет преднина спрямо уиндоус, или мак, и това им е дало много време и голяма преднина да си изчистят работите. Погледнато в интернет време, 10 - 15 години е неворятно огромен интервал от време, и 10 - 15 години преднина, е разлика която е изключително трудно да се стопи.
Семейството на уиндоус и интернет експлорер.
Преди всичко, когато говорим за уиндоус и секюрити, не бива да делим ИЕ от уиндоус. ИЕ е до толкова тясно интегриран с ОС, че покрива много неща - часто от мрежовата подисистема, част от рендериращите енджини също се оемат от ИЕ, цялата уеб функционалност която привидно изглежда уиндоус, и не виждаш прозореца на ИЕ, ама това е ИЕ, и ИЕ поема това, и подава на ОС готовия резултат.
windows based on 9x kernel
уин 95, 95 osr 1, osr 2, win 98, win 98 Second edition, Millenium edition, win 98 sp1, win 98 Second edition sp1, IE 4, 5, 6, IE 6 sp 1
Security - umh what?, Security - huh?, security - wtf is this?
Никаква. Нулева. въобще не участва в сметките. Нещо което малко от малко, прилича на подобие на реално използваемо и реално полезно секюрити се появява в уиндоус милениум с ИЕ 6 sp1. Преди това, изобщо не питай за това. Появява се идеята за контрол на кукита, зони за сигурност, и контрол на изкачащи прозорци, както в общ глобален план, така и като правила за индивидуални сайтове. Макар тогава, силно уязвими от каквото се сетиш, вируси, червеи, отдалечени команди, пинг към себе си, конзола в конзолата.... пада по гръб от всичко, което го срещне. Мрежовата функционалност е достатъчна за интернет връзка, а ако говорим за локална мрежа, помниш ли по рс клубовете все по някоя 98-ца се преинсталираше. мрежата работеше слабо, когато изобщо работеше. Игрите си идваха със собствена мрежова подсистема, и собствени протоколи, и реално игрите правеха мрежата. Ако някой сложеше повече игри, които идват със собствени мрежови протоколи и собствени мрежови подсистеми, си скапваше цялата мрежова подсистема на уиндоус, от което страдаха игрите, Инетрнет експлорер и уиндоус. Тогава никой не се сещаше да изчисти мрежвовите протоколи и да сложи само тези които трябваха на системата - тесен набор от протоколи - TCP, Client for Microsoft network, client for novell network, file and printer sharing protocol, IPX/SPX. Който се сещаше да остави тоя набор, нямаше проблем, но си траеше за този трик, или го казваше само на близки приятелчета които нямаше да го разправят на всички. Актуализация на ОС? Актуализацияна браузера? никой не беше чувал за това. Никой не знаеше че има такова нещо. Тези които се бяха изхитрили, използваха уин милениум, ие6 сп 1, и скъсваха компютъра от актуализации, на ос и браузера докато системата кажеше нямам повече актуализации за теб. изведнъж ама как така с шокиран поглед очите широко отворени очи, и чене забито в земята, задавйки въпроса ама как го направи? тогава много не се говореше за актуализации, тези които знаеха, се актуализираха, и си траеха, или казваха само на близки приятели, които няма да го разкажат на всички, тези които не знаеха, изгаряха централно. Рутери нямаше така масово. които ги имаше не винаги бяха читави, но винаги бяха безумно скъпи. който успееше от e-bay или амазон.ком си купуваше с крадена кредитна карта, читав и евтин, но си траеше за рутера. Тогава беше модерно Zone alarm 2.0 като firewall и антивирус. Нортон, макафии, изобщо ставаха спорове, ама tiny personal firewall, sygate personal firewall, outpost personal firewall, comodo personal firewall, Kerio personal Firewall, avg free, avira antivir PE, AVX, AVP - сега касперски,F-secure, Froptw - W за windows F-prot за уиндоус, trend micro pc cillin, iris antivirus бяха актуалните тогава заглавия. Това семейство си беше семейство от ОС играчки, игри, музика, клипове филми, ICQ, IRC, браузер....
уиндоус милениум е послединя от семейството на 9Х. с края на поддръжката му се прекъсва и поддръжката и разработката на 9х ядрото. полезното от 9х ядрото е пренесено в ядрото на уин ХР - НТ 5.1, и след това се доразвива там, останалото е унищожено.
Windows based on NT Kernel - NT значи Networking Technology
IE based on NT Kernel 32 bits - 3, 4, 5, 6, 6 SP1, 7, 8, 9
IE based on NT Kernel 64 bits - 8, 9
Workstation Windows based on NT Kernel
32 битови
Windows NT 3.0, NT 3.5, NT 4.0 SP 1, SP 2, SP 3, SP 4, SP 5, SP 6, windows 2000 SP 1, SP 2, sp2 srp 1, SP 3, SP 4, sp4 srp 1(NT 5.0), Windows XP 32 bit SP 1, SP 2, SP 3 (NT 5.1) Windows Vista 32 bit (NT 6.0) SP 1, SP 2, Windows 7 32 Bit SP 1 (NT 6.1)
Workstation Windows based on NT Kernel
64 битови
Windows XP 64 bit SP 1, SP 2, SP 3 (NT 5.1) Windows Vista 64 bit (NT 6.0) SP 1, SP 2, Windows 7 64 Bit SP 1 (NT 6.1)
Server Windows based om NT kernel
32 битови
NT 3.0 server, NT 3.5 Server, NT 4.0 Server, NT 4.0 Advanced server, Windows 2000 server, advanced server, datacenter server, 2003 server, 2003 advanced server
Server Windows based om NT kernel
64 битови
windows server 2008, windows server 2008 R2
Това е водещата линия ОС на Микрософт, създадени за работа в мрежа, с множество протребители и акаунти с различни права, както групови така и индивидуални, и множество групи акаунти, групирани според функцията и целта си в мрежата и със съответните права и забрани. Това семейство ОС се дели на 2 големи групи, всяка оптимизирана, за определена роля, която изпъляна добре и се справя зле извън нея - server за сървърски приложения, и Workstation за едининични компютри, работни станции, dedicated terminals. Тук можем да говорим за секюрити, от версия 4.0 нагоре, и от ИЕ 5 нагоре. Интерсното е че тук секюритито играе не малка роля, обаче малко хора имаха дисциплината, да си стегнат сървърите като хората. Избора на правилен акаунт като основа, с която да започнеш работа, използването на индивидуалните права и забрани, като метод за фино нагласяне на подробностите, идеята за обект и акаунт, че всяка програма е обект, която работи под акаунт, и съответно за програмен достъп, и човешки достъп, се подчинява на правата и забраните на акаунта, под който работи, е много добра. С времето платформата е претърпяла развитие в не малка степен, все пак да не забравяме че като за водещ продукт, микрософт концентрира усилията си тук. Мрежовата функционалност е на ниво, и работи надеждно, а в НТ 4.0 СП 6, като протоип, и развити в уин 2000, се появява IP/SEC политика на достъп, която има общо взето 2 основни клона. Единия е Protocol security което позволява, да се укажат ясни и точни правила за включване в мрежата, и за приемане и отхвърляене на връзки, включително и шифровани мрежови връзки по ethernet протокол, за изграждане на локална мрежа LAN която да работи с криптиран трафик. Тогава, компютрите не са били много мощни, и е имало малко системи за шифроване, и всичките са били със симетричен криптографски ключ - syskey - 56 bit, blowfish - 64 bit, des - 64 bit, double des 128 bit, triple des 168 bit, както и другия клон, който общо взето при активиране, затваря всички портове, и активира whitelist - положителен списък на позволените портове, и ти си указваш кои портове искаш отворени, и ОС ти отваря само тези портове, и всичко друго е затворено. това се отасяше за TCP/IP страната на една връзка - интернет връзката, като това се делеше на още подробности - TCP портове, UDP портове, и ICMP. Това позволяваше на старателен немързелив и отговорен и съвестен и грамотен администратор, да нагласи цялата мрежа по такъв начин, че следвайки политика assume mistrust можеше да постигне резултати много близки до тези на линукс базирана мрежа.
Други полезни 4 предпазни мерки мерки които могат да се вземат са
1. защита на фабричния администраторски акаунт, който е необходимото зло,
2. изключване на акаунт guest - гостенин,
3. да се работи от акаунт - restricted user,
4. да има политика за работа със сложни пароли, които да се сменят периодично
защита на фабричния администраторски акаунт - задължително - повярвай ми, не искаш безконтролен администраторски акаунт без парола и без защита, такъв акаунт дава неограничен достъп до цялата система и всички нива и функции и настройки на ОС. Превземат ли ти администраторски акаунт - game over - изгубил си битката.
Изключване на акаунт guest - макар това да е акаунта с най-много забрани и ограничения, за достъп, което на теория кара много безотговорни администратори да го оставят активен, същият акаунт в уиндоус НТ е податлив на privilege escallation exploit това е експлойт - пробив, който позволява придобиването на права на администратор и от там придобиване на неограничен контол над системата.
Да се работи от акаунт с намалени права - restricted така самият уиндоус като ОС се превръща във враждебна среда, за всяко нещо което пипа където не му е работа, защото дори експлойтите са обекти които работят под правата и забраните на потребителя, идеята е да нямаш права да направиш нищо. Нямаш достъп до ресурсите за автоматично стартиране, не можеш да променяш настройки, не можеш да създаваш или премахваш правила за достъп.... което налага използването на privilege escallation explots което от своя страна допълнително затруднява и усложнява работата, и не биха си дали зор, ако няма нещо което наистина да си заслужава усилието, в усложнената среда. Отдалечени експлойти remote explots също представляваха част от реалните рискове, които можеха да се намалят до разумна степен, с изграждане на IP/SEC политика за контрол над портове, протоколи и правила за приемане и отхвърляне на връзки. на този етап, не малка степен на защита даваше и EFS Encrypted File System. шифроваш си файловете, и си готов, другите не знаят за какво иде реч. До тук добре, ама имаме проблем че SAM файла е уязвим, макар да съхранява паролата в хеширан вид - hashed password която е необратимо криптирана, SAM файла е уязвим на Off-line hash injection - тоест сляпа подмяна на хеша на текущата парола с контролиран хеш на нова контролирана от нас парола. С това действие просто елиминираш паролата като защитен фактор, при това БЕЗ ДА Е НЕОБХОДИМА ТЕКУЩАТА ПАРОЛА и без значение колко е сложнаи дълга. Не след дълго се оказва че кода за аутентикация на потребителя пред системата, се използва като ключ за криптиран и декрипиране, което осмисля използването на hash injection за достъп до дялове криптирани с EFS.
С излизането на уиндоус ХР, EFS е претърпяла еволюция, и то в не малка степен. Hash Injection е с намалена ефективност и с намалено полезно действие. Макар че все пак може да подмени паролата, и да ти даде достъп до акаунта, вече не може да ти даде достъп до шифровани с EFS дялове, защото ключа за шифроване не е кода за аутентикация на потребителя пред системата, а е самият хеш на паролата. подменяш хеша, ама с него подменяш и криптоключа. Ефективността на Hash injection e намалена на половина. Уиндоус ХР след сервиз пак 2 Внася няколко промени, които значително повдигат общото ниво на защита, и генерално подсилват собствените защитни сили на ОС. Появява се наченка на имунна система която трябва да реагира на некоректно поведение, и да го блокира - появява се DEP - Data Execution Prevention, което напрактика елиминира само един, но за щастие най-големия клас атаки срещу уиндоус - buffer overrun/buffer overflow атаки среду ОС и приложенията под ОС. Тук разбира се, се намесват и windows firewall. Windows firewall на този етап се намесва, и става включен по подразбиране, което пък автоматично ни оттървава от втория по големина клас атакаи - remote експлойти. На този етап имаме Advanced SPI Firewall - Advanced Statefull Packet Inspection Firewall. противно на всеобщото схващане че това е layer 3 inbound firewall се оказваче в SP 2, всъщност има и някои действия които са характерти за layer 7 - application level, който има и основен outbound контрол. Друга полезна промяна е премахването на raw sockets което допълниелно подобрява сигурността на системата.
През това време се появяват процесори с хардуерна поддръжка на ДЕП. Това е добре дошло, за ОС уин ХР сп 2, защото изведнъж това подсилва защитата, до ниво в което дори да излъжеш ОС, не можеш да излъжеш процесора. това вкорави ОС и повиши устойчивостта срещу атаките срещу ОС. Обаче за беля, не всички приложения баха съвместими и много дълго време като болезнен и бавен процес, имаше приложения които биваха блокирани от подобен род защита, защото самите приложения не бяха изцяло написани коректно и имаха доста интетесни странични ефекти. накрая по принуда и под натиск от микрософт и от потребителите, производителите започнаха едно бавно и мъчително коригиране на софтуера си.
Докато епъл се вайкат и се тръшкат ама олеле какво стана, ама олелe какво ни застигна, ама олеле какво ще правим, големите играчи от ранга на Леново, НР, Делл, Интел, АМД, Микрософт, Гугъл, Мозила, Скайп, седнаха на една маса и запретнаха ръкавите. дай да направим нещо смислено. Така с общи сили се появи TCG - Trusted Computing group. От страна на Интел и АМД, Започнаха да се появяват процесори с хардуерно вграден ДЕП и хардуерно вградена виртуализация. От страна на производителите като Леново, НР, Делл, започнаха да използват тези процесори, за сметка на тези без подобни технологии. Съответно, Микрософт, включиха тези функционалности, в сп2 за уин ХР, както и активираха огренана стена да е включена по default. Това изведнъж елиминира голяма част от пробивите. Тези експлойти които се базираха на buffer overrun и buffer overflow станаха нeприложими на компютри с уин хр сп2 и оборудвани с процесори с хардуерен деп. Големите софтуерни компании, бързо се усетиха откъде духа вятъра, и си направиха нещата деп съвместими. когато това стана, изведнъж летвата беше вдигната, значително. уин не беше толкова лесен за хакване. това обърна нещата с краката нагоре. Това Наистина вдигна летвата значително. Тези които търсеха лекото и мекото, леко по леко се изместват на мобилни платформи - смартфони, епъл, мак.
тук се намесва и 64 битовия фронт. уин ХР 64 бита е първата Ос от микрософт, който общо взето е първия прототип на секюрити базирана ОС от микрософт. Разбира се като прототип има много и добри идеи но понежее нещо ново, и му трябва време да улегне малко, да поузрее. За пъ,ви път баха ппредставени нови и сериозни защитни мерки, които ще са характерни само за 64 битовите ОС, като метод да накарат хората да се осъзнаят и да се ъпгрейдват до някакво прилично ниво. Новите мерки са защита на ядрото срещу пачване - patching the kernel, срещу хукване на ядрото - hooking the kernel, и приемането на подписани от производителя драйвери. Тиможеш да насилиш инсталацията да пиреме и интсталира неподписан драйвер, но системата няма да си създаде референции з стартиране и няма да го зареди при буутване. Чудесно. тези двете мерки, добавени към ДЕП на ОС, ДЕП на процесора, включването на огнената стена, повдигнаха още летвата. Стана повече от ясно че този път микрософт са категорични, че няма да си играят на дребно, и че този път нещата ще бъдат вкарани в релси един път и завинаги.
уин виста виста 32 бита и уин виста 64 бита. Всички защитни мерки се развиват и засилват във виста. Оказва се че 32 битовите процесори, не винаги са достатъчни, за постигане на високо ниво на защита. появяват с прототипи които не са истински 64 битови процесори. в основата си са 32 битови с 64 битови разширения върху 32 битова шина. Това даде някакъв тласък на виста 64 бита и уин ХР 64 бита, което показа на света че нищо няма да е като преди, така че хората да спрат да си правят наивни илюзии. Това даде малко време, на АМД и на ИНТЕЛ, и те пуснаха вече истински 64 битови процесори, с пълен комплект 64 битови регистри с пълнен комплект 64 битови инструкции, работещи изцяло на 64 битова шина, което значително подобри производителността. Така изведнъж се оказа че уин виста всъщност е първата ОС с истински естествен 64 битов код, не просто 64 битово разширение както се оказва в последствие при хр 64 бита. това позволи, на микрософт да си изпипат защитата на ядрото, защитата на драйверите, и цялата архитектура, heap, stack, като вече в самия код, има флаг какво е това и как трябва да се отнасяш с него, и хубавото че и процесора и паметта и шината, се съобразяват с това на ниско ниво. В този момент се появиха дървените философи, които почнаха да говорят всевъзможни теории и хипотези, извадени от нечии мокри сънища, с интерпретации и обяснения на ставащото, кое то кое по-чудато. В последствие какво се оказа? Оказва се че процесора просто налага една стройна и стриктна организация в паметта, на ниско ниво - наниво адрес в паметта, на ниво регистър на ниво инструкция. Подобренията в защитните сили на ОС и в частност ДЕП, вземат този строй, и го пренасят върху ОС, приложенията Heap, stack и всички елементи и променливи с които ОС и програмите работят. До тек разликет са че при уин виста, всичко съществуващо е подобрено и подсилено - второ поколение, което реагира още по-адекватно и не страда толкова много от детски болести. Друга промяна във виста е организацията на паметта. Така е направено че проследяване и дебъгване на код на ниско ниво е невъзможно. Но разработчиците имат нужда от това. Появиха се 2 форми на активация. едната формана активация е нормалната активация на ОС. Тя е тази в която всички защити работят предпазват системата. Втората е така наречената software developer активация, където някои защити, като подписването на драйвери, защитат при дебъгване са умишлено спрени, за да се улесни работата на софтуерните девелопери. цената за това е понижени защитни сили на ОС. други 2 нови важни новости, са UAC - User Accouont Control, който общо взето е досадния прозорец който всички махат, а това не винаги е добра идея, защото това напрактика макар и в повечето случаи да е досадник който само ти прeкъсва работата, и те вкарва в безкрайно кликане да и не, за всяко нещо което мърдне на компютъра, може да е полезно и за спиране на гадина, защото ако през UAC спреш нещо, значи си спрял гадината много преди да е направила каквото и да било, действие на системата. Друга полезна новост, е че дори да си направиш администраторски акаунт, през времето когато нормално се ползва, той не е администраторски, той е нормален, и няма тези права над системата. Реално администраторските права, се активират само ако дадеш run as administrator или натиснеш бутон, с иконана щитче, което позволява временни администраторски права, само за тази програма или функция, и то докато завърши работата си. веднъж като завърши работат си администраторските права биват отнети и системата се връща на нормалното неадминистраторско ниво. така дори нещо да пробие, самият уин го ограничава. Така например вече използването на privilege escallation exploit става задължително, което усложнява нещата. допълнително усложнение за експлойтите е наличието на ДЕП, и ако самият компютър е оборудван с процесор с хардуерна поддръжка на ДЕП и хардуера поддвъжкана виртуализация, нещата се усложняват допълнително. ако създадеш неадминистраторски акаунт, няма да получиш администраторски права по никой параграф, а функциите и бутоните с иконка на щитче, няма да работят. Ще ти изкара грешка че нямаш права, и ти трябва админски акаунт, и си до там. тъй като виста е ново ядро, напрактика много неща тръгват от нулата, и е нормално да страда от детските си болести, заради това че нещата още не са улегнали, и са съвсем нови. Това създава впечатлението че вистаепровал и неуспех и че се опитват със сп1 и сп2 и с ИЕ 9 зависта да си оправят бакиите. напрактика само чистят проблемите от новата платформа, и уин виста узрява и уляга, в сп2, ИЕ 9, стига едно улегнало и узряло ниво. Друго важно нещо е появата на windows defender, който общо взето е малкото братче, което е само spyware/general malware решение, в уин виста, и еволюцията на firewall до пълен контрол на layer 3 и layer 7 и пълен контрол на входящ и изходящ трафик.
Появава се уиндоус 7. Уиндоус 7 ще е последният уиндоус който ще има 32 битов вариант. В уин 7 се появяват нови защитни мерки. в 32 битовия вариант се проявява и ASLR - Address Space Layout Randomization, както и SEHOP - Structured Exception Handling Overwrite Protection, което значително засилва имунната система на уиндоус. В 64 битовата версия, нещата се засилват значително. всички защитни мерки от виста са пренесени и развити до трето поколение. 32 битов уиндоус 7 общо взето разполага с добро ниво на защита, срещу експлойти, което се подобрява значително ако компютъра е оборудван с процесор с хардуерна поддръжка на ДЕП, и с хардуерна виртуализация, от които офис 2010 и ИЕ 8 и 9 пряко се възползват. 64 битовата версия на уин 7 е още по-брутална. това което предляга уин 7 32 бита като защита е 3 поколение ДЕП, 1 поколение ASLR, 1 поколение SEHOP, 2 поколение UAC който е значтилно по-умен и зачително по-ефективен, и далеч по-малко досаден, фабрична поддръжка на TPM - trusted platform module и подобренконтрол над акаунтите и правата, и кога ти трябва администраторски акунт и кога не. 64 битовият уин 7 е наистина брутален. Като основа разполага с всичко което разполага 32 битов уин 7, с приятни и полезни добавки. уин 7 64 бита разполага с 3 поколение ДЕП, 2 поколение ASLR, 2 поколение SEHOP, 2 поколение UAC 3 поколение контрол над акаунтите и правата, системен супервайзер, който следи общото състояние на ресурсите и системните файлове на ОС - blue pill, 3 поколение защита на ядрото срещу хукване и пачване, 3 поколение проверка за подписани драйвери, и нищо което не е подписано не се приема. С излизането на сп1 за уин 7, микрософт решават категорично проблема с още една голяма група вредители - autorun malware. На този етап, само master boot record rootkit е реална сериозна заплаха за уин 7 64 бита SP1.
говорейки за уиндоус, не можем да го разделим от Интернет експлорер. Нито в дискусия, нито реално на ниво файлове и регистри. Проблмът е че интеграцията между уиндоус и интернет експлорер, е много голяма и много сериозна и напрактика ИЕ е интегриран модул от ОС уиндоус. много системни модули на уиндоус които търсят интернет връзка, дори windows update, microsoft update използват Интернет експлорер да направи връзката и да свали информацията и пачовете, уин сам си ги инсталира, но офис и уиндоус използват и рендериращите енджини, например на windows update и MNicrosoft update това е аплет който използва ИЕ както за врзъзка така и да ти покяже какво е намерило. за това е добре да разгледаме ИЕ като част от ОС
във всички ОС преди уин виста и всички версии преди ИЕ 8, нещата се чистеха на парче, не беше нещо сериозно. чистеха се единични пробиви, като общо взето се правеха лениви крачки в произволни посоки. промяната дойде с ИЕ 8 и уин виста. там вече от микрософт започнаха да работят за защитена работна среда, и защитена ОС. дефакто, докато версиите на ие, предлагаха единични решения, например появата на забрана за прескачане между зоните, за сигурност, поява на табове, блокиране на изкачащи прозорци, и правила за появата им но нищо сериозно, което реално да промени картинката. под уин виста и уин 7, ИЕ 8, показва сериозен потенциал, с ясно дефииран контрол над javascript и tracking behavior filter - тоест ако ходиш по различни сайтове, но винаги има референции към един и същи сайт, този сайт бива възприет като 3rd party trackеr в смисъла на рекламен партньор advertisement tracker и бива блокиран автоматично. Други полезни екстри са Smart screen filter което е проверка за сайтове участващи във phishing измами. С излизането на ИЕ 9, обаче играта загрубява. ИЕ развива всички защитни мерки които има ИЕ 8 до следващото поколение, като добавя още от себе си към общата картинка. ИЕ 9, се записва да се пази сам с всички защити на уин виста и уин 7, има ново ядро, сам се подлага memory protections - всичките DEP, ASLR, SEHOP, с което сам намалява риска до значителна степен от успешни атаки от капанчета заложени в кофти страници, и въвежда още една новост новост и то сериозна protected mode с което общо взето сам се поставя в sandbox подобно на гугъл хром, и използва хардуерната поддръжка на виртуализация на процесора, за да подсили този защитен режим. Друго полезно което въвежда е забрана за използване на незащитени или забранени по друг начин протоколи за прехвърляне на активни елементи от една страница в друга страница все едно са част от другата стрница, което до някъде решава проблема със злонемерено използване на XSS - Cross Site Scripting. Друга полезна промяна в ИЕ 9 е компилирането на javascript и JIT елементи - JIT - Just Intime Complile - компилиране в последния момент, до интелски двоичен код, а не като интепретиран код, което подбага кода на директен контрол от защитните мерки на ниско ниво от процесора - ограничаван от хардуерната виртуализация, и защитен от хардуенрния деп на процесора, и пряко следен в стека и в heap от ОС и нейните защитни механизми.
това е общо казано за уиндоус и ИЕ от гледнаточка на уиндоус, представено в стегнат сбит вид, в който ксъм представил нещата без ненужни подробности.
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.