На фронта на РС сигурността, има известно раздвижване, откакто Microsoft
пуснаха инстлумента ЕМЕТ – Enhanced Mitigation Experience Tooltik. Започвайки с цялата линия в която се развива защитният софтуер като цяло, и
от точката в която Microsoft се включва в тази линия, става доста интересно,
защото повече от 125 големи производители от ранга на Lenovo, Intel, AMD/ATI, Compaq,
HP, Acer, Asus, Abit, Nvidia, Microsoft, Gigabyte, MSI, Apple, Mozilla, Skype от скоро AMD/ATI засили участието си и всички останали които
пропускам по един или друг повод… се намесиха с амбиция да
създадат следващото поколение, стабилна и защитена РС платформа. Обединиха се и
основаха групата TCG
– Trustworthy Computing Group, и работят върху общи
изисквания, с общи цели и общи спецификациии направиха доста неща, които
генерално увеличиха защита на РС платформата, до много голяма степен. Това е
рограмата TC
– Trustworthy Computing. Някак макар в очитена
хората да има, някакви впечатления, че една технология реално доминира, и останалите са нещо като помощни технологии
които обслужват тази водеща технология, истината е че няма една технология
която да доминира над останалите. Всяка технология и хардуерна и софтуерна,
допринася с нещо, но резултатът който може да се постигне като потенциал, може
да е изключително висок, стига да се използват всички възможности на новата
платформа върху която работи TCG. Всеки производител
допринася с нещо, от своя страна, което позволява, да се достигне до много
висок краен резултат. Както по–надолу в мателиала ще се види, всички промени, и
подобрявания на сигурността са направени по програмата Trustworthy Computing създадена от групата Trustworthy Computing Group, и те се натрупват едно върху друго с всяко ново нещо, засилвайки общият
си ефект с всяко нещо което се добавя, така програмата TC и групата TCG трупат сила и позиции на пазара, и стават все по силни.
До скоро например, всеки компютър с Видеокарти AMD/ATI със стари драйвери не можеше да постигне високо ниво на защита, защото драйверите не
поддържаха всички защитни технологии, което значеше, че заради видеокартите AMD/ATI, част от защитните технологии, трябваше да бъдат умишлено притъпявани, за
да може компютъра да остане работоспособен. Това убиваше общият ефект на
защита, който можеше да се постигне. Доста дълго време драйверите за видеокарти
карти AMD/ATI наистина не можеха да работят с висшите степени на защита на ASLR разбирайте opt
out и Always
On. На 28.06.2012, AMD/ATI пуснаха първият драйвер каталист
версия 12.6 бета версия, съвместим с EMET и всички системни защити на паметта в
Windows 7 и Windows 8. На 17.07.2012 пуснаха втора версия на драйвера, 12.7
бета, като разликата между двете бета версии, е че версия 12.7 предлага по–голяма
стабилност, и по–добра производителност в някои игри, но още не е официално
завършен. AMD/ATI обявяват че драйверите им в Windows 8 ще бъдат готови,
завъшени, и че ще са съвместими с всички нива на защита на всички защитни
технологии в Windows Vista, Windows 7 и Windows 8. Под натиска напартньорите от TCG с мотива
че драйверите на AMD/ATI възпрепрядстват програмата, AMD/ATI оправиха драйверите си, като вече приноса им към програмата от частичен
стана пълен. Акос чудите как ще помогне – ами много просто, ще разшири
значително диапазона от компютри които ще могат да се възползват от EMET и пълната силана защитните мерки в Windows Vista и Windows
7 и наближаващият Windows 8.
Други интересни неща, които са станали в РС фронта, са:
I. Преминаването от 32 към 64 бита
II. Hardware
DEP в процесорите
III. Hardware
virtualization в процесорите а някъде и в чипсета
IV. EMET – Enhanced Mitigation Experience Toolkit
V. Windows 64 bit
VI. Windows XP SP2
VII. Windows Vista
VIII. Windows 7
IX Internet Explorer
Х. – Microsoft Office
XI. TPM – Trusted Platform Module
I. Преминаването от 32 към 64 битова платформа откъм хардуер и откъм софтуер, е
това което дефакто е повратен момент, и поставя началото на новата ера, и е
края на старата ера, защото всички в TCG си казаха, така
и така преминаваме към нова платформа, дай да видим какво можем да измислим за
нея, за да подобрим сигурността. Отк към хардуер, излиза че DEP работи по–добре на 64 битова платформа. Защо? Защото последният бит – 64–тият бит, всъщност е флаг, който указва дали парчето информация на този адрес
в паметта е изпълним код или не. При Intelските процесори този бит се нарича XD – eXecute Disable, а при AMD процесорите, този бит с нарича NX – NoеХecute. Когато този бит е установен на 0, това значи че в този адрес паметта има
парче изпълним код, а когато е установен на 1, значи че в този адрес на паметта
има парче данни. До някъде AMD/ATI дразнят пазара, като NX технлогията им я рекламират като EVP – Enhanced Virus Protection или AVP
– Advanced Virus Protection. Не че няма истина в това
твърдение, има, защото тази технология има за цел, и при определени условия
тотално изкоренява целия клас Buffer Overrun/Buffer Overflow атаки, като много голяма част от червеите, като Blaster, Sasser,
Nimda, Zotab ползват точно този тип атака, за да се стартират
първоначално и да стартират първоначално заразяване на компютъра. Това е първата крачка на участниците в Trustworthy Computing Group да уважат Групата TrustWorthy
Computing Group и програмата Trustworthy
Computing.
II. Харуерният DEP в процесорите, е технология която има базова функционалност
в един 32 битов процесор, и успява да развие пълният си потенциал и пълната си
сила при 64 битовите процесори. При Intelските процесори този бит се нарича XD – eXecute Disable, а при AMD процесорите, този бит с нарича NX – NoеХecute. Когато този бит е установен на 0, това значи че в този адрес паметта има
парче изпълним код, а когато е установен на 1, значи че в този адрес на паметта
има парче данни. Принципа на работа е много прост, цялата памет на ниско ниво
на ниво физически адрес в памета, изришно се маркира като неизпълнима, и само отделни
адреси в които трябва да има код се маркират като изпълними. Когато процесора
започне да изпълнява команда, първото което прави е да провери стойността на 64
бит. Ако 64 бит е установен на 1, процесора сам спира изпълнението преди да е
започнало, и подава system
exeption на операционната система, че е спрял изпълнението,
защото нещо не е наред – трябваше да изпълни код от адрес в паметта обозначен
като неизпълним. Ако 64 бит е 0, тогава процесора вижда че изпълняма код от адрес
в паметта който е обозначен като изпълним. Тогава, процесора вижда че всичко е
наред, и че от него се иска да направи нещо нормално, и си изпълнява задачата.
С въвеждането на хардуерен DEP
от страна на
Intel и AMD/ATI е един начин по който Intel и AMD/ATI уважават програмата Trustworthy Computing и групата Trustworthy Computing Group, и дават своя принос за развитието на
групата и програмата.
III. хардуерна виртуализация, с поддръжка на основната технология в AMD процесорите, и широко застъпена в Intel–ски процесории чипсети,
с общо име Vpro което всъщност представлява:
Intel®
Virtualization Technology (VT–x) – Основната технология за виртуализация,
която създава и управлява виртуализирана среда за нуждите на софтуера и ОС.
Intel®
Virtualization Technology for Directed I/O (VT–d) Допълнителна технология за
виртуализация към основната, която допълва и разширява възможностите на
основната технология за виртуализация. Тази технология позволява поддръжка и
контрол над входно–изходните операции във виртуална среда. Това подобрява
стабилността и скоростта на работа във виртулантата среда, за всички прогпрами
и ОС които я използват. Контрола над входно–изходните операции позволява по–добра
сигурност, и по–добри възможности за ограничаване на щетите ако нещо се обърка,
или нещо зарази система във виртуалната среда.
Intel® Trusted
Execution Technology – Още едно допълнение към основната технология за виртуализация, от Intel.
Тази технология следи какво се стартира, къде се стартира, къде иска да отиде,
какво иска да вземе какво иска остави и защо иска всичко това. За да може тази
технология да работи, е необходимо предните 2 технологии да са активирани.
Силата на Vpro идва от там, че всичко това е
хардуерно заложено не само в процесора, а и е хардуерно реализирано в чипсета.
По този начин контролът става абсолютен. Максимален ефект се постига когато трите технологии са активирани
едновременно и в процесора и в чипсета. По този начен контролът вече се налага
върху всички програми които работят и върху всички ресурси на компютъра.
До тук това позволява всяко приложение, да работи в
собствена област от ресурси, хардуерно контролирани от процесора. Крайният
резултат всеки си знае мястото и седи там където му се полага, използва това
което му се полага и не може да излезне и да създава проблеми, или да се опита
да заграби нещо което не му се полага. Така ако имаме вирс или червей, той
остава ограничен само в тази част на системата в която е в момента, заради
виртуализацията. Това не може да стане, ако ОС и приоложенията под ОС не
поддъжат виртуализация, за да може софтуера и хардуерада се синхронизцират и
координират. Това зтначи че поколението на Windows ХР и по–старите версии, не
могат да се справят с виртуализацията, те порсто я претнебрегват и изобщо не я
отчитат, че е там, и нея използват. За разлика от Windows ХР, Windows Vista има
поддръжка която позволява виртуализацията на ниво процесор да с оползотвори, а
в Windows 7, и на ниво чипсет. В Windows 8, поддръжката ще бъде засилена.
С въвеждането на хардуерна виртуализация, от Intel и AMD/ATI
е още един начин по който Intel и AMD/ATI уважават програмата Trustworthy Computing и групата Trustworthy Computing Group, и засилват участието си и общият
полезен ефект за програмата TrustWorthy
Computing, и групата Trustworthy Computing Group
а в последствие, въвеждането на Vpro от страна на Intel, е още един начин по който Intel уважава програмата Trustworthy Computing и групата Trustworthy
Computing Group, и засилват
участието си и общият полезен ефект за програмата TrustWorthy Computing, и групата Trustworthy
Computing Group.
IV. ЕМЕТ – Enhanced
Mitigation Experience Toolkit. Това е инструмент създаден от Microsoft по програмата Trustworthy
Computing започната от TCG – Trustworthy computing group. Това e инструмент, който общо взето, представлява графичен
интерфейс, който дава достъп до част от системата за сигурност на Windows, и
позволява финото и настройване. Инструмента с разпространява безплатно от Microsoft,
и с търсене в Yahoo, Ging, Google и другите основни търсачки, може да се намери свободно достъпен за сваляне и ползване
почти навсякъде.
Операционната
система, инсталираните драйвери и хардуерната конфигурация, указват пряко
влияние върху това как работи ЕМЕТ и как работи цялата система под влияние на
ЕМЕТ. Поддържаните операционни системи са малко, Windows ХР сервиз пак 3, и
нагоре, като 64 битовите ОС, имат предимство при ползването на ЕМЕТ, спрямо 32
битовите, заради допълнителните защити срещу пачване на ядрото, и задължиелното
изискване за подписани драйвери. Друго предимство за ЕМЕТ е наличието на
хардуерен DEP в процесора, и наличието на хардуерна виртуализация в процесора. Наличието и на двете дава допълнително
предимство и сила не само на основните защитни мерки на ОС но и на
ЕМЕТ. ЕMET постига максималния си ефект и максималната си силата, при
постигането на определени условия както от страна на софтуера така и от страна
на хардуера:
Минимални
изисквания, за да може ЕМЕТ изобщо да се стартира и да сработи:
32
битов процесор без хардуерни DEP ивиртуализация, и Windows ХР 32 бита сп3, но това е МИНИМАЛИСТИЧЕН резим под
който ще работи ЕМЕТ, и ще предлага МИНИМАЛНИ защитни способности. На този етап
не очаквайте много от ЕМЕТ нито от раздела който генерално конфигурира ОС, нито
от раздела, който конфигурира отделни приложения.
Препоръчителни
изисквания, при които ЕМЕТ постига пълния си потенциал:
64
битов процесор който има хардуерен DEP и хардуерна виртуализация, Windows 7 64
бита, Windows сървър 2008 R2 64 бита, видеокартана Intel или по–ново поколение
Нвидия, защото драйверите са съвместими и работят безпроблемно с ASLR.
Не си правете наивната илюзия че ЕМЕТ е нещо
непробиваемо, или че ще направи системата ви непробиваема, макар и на пръв
поглед да оставя подобни впечатления. Няма непробиваема система, няма
непробиваема защита.
ЕМЕТ
има прост и ясен интерфейс, който позволява бърза и лесна настройка на
програмата. Не всички опции на ЕМЕТ са видими под графичния интерфейс на ЕМЕТ,
има някои, които са считани за опасни, и са умишлено скрити, но те могат да
бъдат отворени в случай че ви е зор да си занимавате с тях.
ВНИМАНИЕ!
Преди
да започнате да се занимавате със скритите опции, е необходимо да спомена че
тези опции са скрити, с повод. Тези опции могат да направят системата
нестабилна, и да предизвикат син екран по време на зареждане на системата, така
че имайте го наум преди да пипате там.
До скоро, Най–честият
причинител на проблем, това са драйвери за устройства, които не са написани да
са съвместими със системните защити на Windows и в частност ASLR – Address
Space Layout Randomization. Най–често драйвери за устройства не могат да се
справят с високите нива на ASLR и предизвикват забивания и сини екрани, за това
нивото по подразбиране е Opt–In, и скритите настройки които се считат за опасни
и предизвикват нестабилност в системата са ASLR – Opt–out и ASLR – Always on.
За сведение, системи базирани на видеокарти АТИ са особено уязвими, на високите
нива на защита, които ЕМЕТ може да осигури, при наличие на широк диапазон
конфигурации: скорощно поколение процесор Intel или AMD/ATI със скорошно дъно и
чипсет с актуални и обновени драйвери, видео, Intel или скорошни модели на
нвидия и обновени и актуални драйвери, са устойчиви на прекаляване с ЕМЕТ, и се
възползват дори от най–високите мерки за защита които има ЕМЕТ, включая и
отключени скрити настройки, и позволяват ЕМЕТ да бъде настроен на максимална
сила и да осигури максимална защита на компютъра ви.
От скоро този проблем отпада, защото АТИ са пуснали вече
2 бета версии на драйвери, които работят и поддържат ВСИЧКИ системни защити на
паметта, ВКЛЮЧИТЕЛНО ASLR, което е добре за нас потребителите.
Отключването
на заключените настройки става ръчно през регистри, като се промени стойността
на ключа EnableUnsafeSettings от шестнадесетично 0 на шестнадесетично 1.
Точният път до
настройките е:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EMET\EnableUnsafeSettings. Това
е шестнадесетична Reg_DWORD променлива, чиято стойност по подразбиране е 0 и
трябва да промените на 1. Щом го направите пуснете ЕМЕТ отново, този
път скритите опции, ще са достъпни за ползване.
Главния
прозорец показва всички текущи процеси, и кои прочеси се ползват от защитата на
ЕМЕТ, и какви са глобалните настройки за защита на системата. Освен това
главнтия прозорец ви дава, 2 бутона за настройки, първият е configure
system, който отваря раздела за глобални
настройки на цялата система, я втория е configure apps, който позволява да се запишат приложения по
избор на потребитеря в ЕМЕТ, и да се избере на кои защити приложенията да бъдат
подложени. Раздела за настройка на приложенията към момента поддържа 7 системни
защити, предназначени да подсилят приложенията и тяхната устойчивост на атаки и
експлойтване, като Microsoft правят следната забелжка:
Най–доброто
решение е да нямате въпросния бъг в софтуера си, Ако имате възможност за
изтегляне на пач да коригира бъг, използвайте я, но ако нямате тази възможност,
по различни причини, ЕМЕТ ще ви помогне да го защитите, но не си правете
наивната илюзия че ще сте неуязвими. Няма напълно непробиваем компютър, няма
напълно непробиваема ОС, Няма напълно непробиваема защита, няма напълно
непробиваеми приложеиня.
Първият
раздел e, System, configuration се отваря от бутона Configure system. В този
раздел са досъпни тези, системни защити които са включени фабрично в ОС. В Уин
ХР СП3 е включен само DEP, а във уин Vista сп 1, уин 7 и сървър2008 R1 и R2 са
включени DEP, ASLR, SEHOP, и отговарят глобално за цялата система ОС и всички
процеси и дайвери и приложения под ОС. Някои заглавия като MalwareBytes
Antimalware изпитват известни неудобства, с настройката на защитата на максимално
ниво. Други заглавия като Avira, Microsoft Security essentials, Windows
defender, пък работят коректно във всякакви условия на глобална системна
защита, така че внимавайте, със ставащото в този раздел. Сритите опции на ЕМЕТ
които са опасни за системата, и водят до нестабилност се отнасят за този
раздел. И трите скрииншота на емет включени в тази статия, са правени под
изцяло Intelски базирана система на леново с уин 7 64 бита, която има процесор
покриващ препоръчителните изисквания към хардуера споменати по–горе, и
позволява на ЕМЕТ да достигне пълната си сила, и да работи надеждно и стабилно
и да се възползв от високите степени на защита на ЕМЕТ, включително и
отключените скрити настройки на ЕМЕТ.
Следващият
раздел е Application configuration. Отваря се от бутона Configure Apps. В Този
раздел, можете да задаватe на кои приложения, системата за сигурност на Windows,
искате да обърне по–специално внимение. В този раздел са включени всички
системни защити които ЕМЕТ поддържа, и може да се настройва за всяко приложение
по отделно, кои защити да се пуснат икои да се спрат.
DEP
– Data Execution Prevention – противодейства на Buffer Overrun exploitation
ASLR
– Address Space Layout Randomization – Противодейства на Return Oriented
programming exploitation
SEHOP – Structured Exception Handling Overwrite Protection – противодейства на SEH exploitation
NullPage
Allocation Protection – противодейства на цяло семейство червеи да заразят
системата използвайки некоректно заделени области от паметта
HeapSpray
Protection – противодейства на Heap Spray Exploiation
EAF
– Export Address Table Filtering – противодейства на shell code exploitation –
Скайпе, не може да се стартира с тази защита ако я поставите върху skype.exe.
Скайпе работи добре с всички останали системни защити.
Bottom
Up Randomization – помощна защита, която подсилва ASLR и допълнително
затруднява Return Oriented Programming Exploitation.
ЕМЕТ
е постоянно развиващ се проект, който има за цел да намали успеваемостта от
опити за експлойтване на системата. Целта на проекта е до такава степен да
затрудни откриването, създаването и използването на експлойти, че да няма
смисъл от правенето и прилатагенето им, просто защото създаването и прилагането
им ще е достатъчно голямо затруднение само по себе си и резултатите от
успешното създаване и прилагане, на експлойти, няма да оправдаят времето и
усилието за създаването им. ЕМЕТ Разчита да намери подкрепа от процесора с
хардуерните функции за виртуализация и хардуерния DEP както и от ОС, като общо
взето се опитвада обедини собствения си полезен ефект, полезния ефект на
вградените в ОС системни защини и тези хардуерно вградени в процесора, като
единни системни защити, които се поддържат и подсилват една друга, с разумната
цел, до толкова да повдигне летвата, за успешно експлойтване, че да откаже по–голямата
част от нападателите, следвайки правилото че колкото повече повдигате летвата,
колкова по–малко хора ще се опитат да я прескочат.
Това е още един принос от страна на Microsoft към програмата Trustworthy
Computing и към групата Trustworthy Computing Group.
С най–новите си драйвери, макар и бета варсии, каталист
12,6 и 12,7 в които AMD/ATI коригират драйверите си да са напълно
съвместими и да могат да работят напълно с всички системни защити на паметта, AMD/ATI до принасят с още едно нещо, към програмата Trustworthy Computing и към групата Trustworthy
computing group.
V. 64 битов Windows, е част от повратна
точка при софтуера. В 64 битовите версии, се появяват 3 нови неща, които
драстично повишават сигурността. В Windows ХР 64 бита, за пръв път се появяват:
1. задължителен DEP за всички 64 битопи приложения, на
ниво ОС, и ако процесора поддържахардуеро DEP, това позволява на ОС да постигне още
по–висок резултат, с налагането на DEP.
2. Driver Sigature Enforcement – товае нова технология която има за
цел да следи ВСИЧКИ драйвери които се инсталират на ОС, и при стартиране, да
зарежда, само такива които имат които са подписани от производителя. Това би
трябвало да гарантира че самолегитимни драйвери ще се зареждат на системата и
че не всеки софтуер под път и над път който се представя за драйвер, ще бъде зареждан.
3. Kernel patch protection. Появата на тази технология макар и в
базова форма, също много допринася за сигурността, защото, възпрепядства,
всякакви опити, ядрото да бъде пипано, пачвано, хуквано или всякак
манипулирано. Това ене само добра идея за сигурността на ОС, а и помага за
запазване на нейната стабилност, и на скоростта с която работи ядрото и
обработва ставащото в ОС.
С развитието на Windows в следващите сервиз пакове и в
следващите версии на Windows и техните сервиз пакове, технологиите за защита на
ядрото и контролиране на драйверите се засилват с всеки сервиз пак и с всяка
версия, стават все по–силни и все по–надеждни. Тези технологии узряват и улагат
до нещо надеждно с времето. Към днешна дата, тези технологии, до толковаса се
развили че вече само основното им предназначение е същото, а начина по който
постигат същият резултат е с далеч по–надеждни и далеч по–силни механизми. 64
битовите версии на Windows предлагат, засилена поддръжка на DEP заради факта че вече и ОС има 64 бит, който изпълнява същата роля като 64
бит при хардуерния DEP на процесора. Това помага на ОС, да
постигне по–силен контрол от страна на DEP, и по–трудното саботиране на DEP.
VI. Windows XP SP2
Windows XP SP 2 внесе някои промени, които бяха първата сериозна крачка от страна на Microsoft към повишаване на сигурността.
1. Microsoft
най–после активираха, Windows Firewall по подразбиране, и вече работеше на общо основание, осигурявайки реална и
смислена защита на потребителите.
2. Microsoft добавиха софуерен DEP в уиндоус, който можеше да работи в базов режим, осигурявайк минимална
зещита, на компютър чиито процесор не поддържа хардуерно DEP и даваше много добри резултати, на компютър чиито процесор поддържаше DEP.
3. Тихомълком премахнаха Raw Sockets от Windows.
В момента в който пуснаха Windows Firewall да работи по
подразбиране, и премахнаха Raw sockets, тотално елиминираха, и
напълно изкорениха първата и най–голяма група атаки срещу Windows – Атаки отвън навътре. Вече няма масово успешни атаки които да пращат нещо
директно, и да разчитат че то ще стигне до назначената цел. Ако все още има
някоя атака тук–там да успее, то е срещу необновяван и незащитен компютър,
заради безотговорен или мързелив а може би и двете потребител, но като цяло
основното множество потребители много отдавна направиха тази крачка, което
остави този сценарии безполезен. Тези новости, не са кой знае колко сериозни,
макар че не са за подценяване, буквално промениха пейзажа за почти една нощ.
Тук по–скоро виждаме как гиганта бива подразнен, и как показва че е подразнен,
като реагира по–твърдо на ставащото. Тези три новости, са пореднатата реална
стъпка, която Microsoft направи, за да уважи програмата, Trustworthy Computing, и да уважи групата Trusted
Computing Group.
VII. Windows Vista
Тук Microsoft
наистина настъпват педала. Стават адски много промени,
които наистина показват, че Microsoft са решили да играят
сериозно. Тук Microsoft
казват на повечето софтуерни разработчици, стига,
достатъчно ни лазихте по нервите, и щом като не разбирате от дума, ще вкараме в
правя път с по–твърди мерки, с, които ще ви ударим една гръмка плесница, та дълго
да ви държи влага, за да видите че не се шегуваме а сме сериозни. Така и стана.
Започвайки с 64 битовата версия на Windows XP, и после продължи в 64 битовата
версия на Windows
Vista, беше отнет достъпа до ядрото, и и нищо не може да пачне
или хукне ядрото, и да се инсталира като kernel driver, а за останалите драйвери се наложи система за налагане на подписи. Много
арогантни софтуерни разработчици, получиха първата си наиситна гръмка плесница,
когато видяха че нямат достъп до ядрото и не могат да си слагат нещата като kernel driver. Разбира се в началото беше голям рев и анти–монополни дела срещу Microsoft, но Microsoft
ги отнесе с втора гръмка плесница, или си сядайте на
зандиците и си изчистете кода и си го напишете коректно, или ще се первърнете в
аутсайдери. Известно време софтуерните врещелници врещяха нечути, и не им се
обръщаше внимание, накрая когато играта загрубя, и кода им беше спиран от
различни модули на ОС или на процерора, изведнъж, се оказа че не викат само
срещу Micorosoft а срещу цялата група TCG и че не ритат само
срещу защитата на ядрото, и на драйверите, а ритат срещу цялата програма TC, и тогава TCG им удари още една гръмка плесница като ги направи аутсайдери, и ги постави
на мястото им, с условието или си пишете програмите както трябва или сте
аутсайдери. В този момент всичките врещелници осъзнаха че са аутсайдери и че с
врещене нищо няма да постигнат, и с подвити опашки си седнаха на задниците, и
си налегнаха парцалите, и почнаха да си чистят кода.
Подкрепям Microsoft напълно и безрезервно за щедрото шамаросване, и слагането на софтуерните врещелници
на място. Всичкият този хаос с нестабилни системи, със забивания, сини екрани,
бавна работа, беше защото всеки можеше да пачва ядрото, без повод и без
необходимост и без смисъл, всеки можеше да си слага kernel drivers когато си поиска и където си поиска, и всеки можеше да слага код в стека,
където не му е мястото. Това не само правеше ОС нестабилна, но и бавна, а и
отваряше хиляди възможности и пробиви, защото не знам си какво си парче код
може да се запише в стека и да се изпълни, можем да сложим този рууткит, и
прочието в система в която никой няма никакво уважение към нея и модулите и.
Това вече го няма. Това е едно от нещата които дефакто защитиха ОС, и я
направиха по–стабилна и по–надеждна основа. Това е едно от нещата които не се
хареса на разработчиците. До тук със софтуерните врещелници и тяхното врещене.
Много новости се появиха във Windows Vista. Тъй като в Windows
Vista всичко старо беше пренебрегнато и всичко започна от
нулата, и тази версия на Windows не беше просто поредното развитие
на операционната система и ядрото а е изцяло нова операционна система започната
и изградена от нулата и изцяло ново ядро изградено от нулата. Много нови и интересни
функции, се появиха в Windows
Vista и заради това, заедно с хубавите работи, Windows Vista дойде и с много болежки, които са нормални за нещо ново, което не е имало
време да узрее. Заради тези болежки, хората заплюха Windows Vista за боклук, и не можаха да видят потенциала който тази ОС предлага. Може би
не искаха да видят потенциала? Все едно, тук не обсъждаме психологията на
хората, които въпреки че не могат да включат компютъра без ръководтвото за
потребителя си позволяват да дават мнения с такава крайност и категоричност, от
които дори истинските експерти, и разбирачи и познавачи ги побиват тръпки и нигога
не биха казали тези неща, просто защото знаят достатъчно, за да не сe правят прибързани изводи.
Защитата от пачване и хукване на ядрото е засилена, в Windows Vista както и системната политика за налагане на подписани драйвери е променена,
вече не се изисква подпис а валиден сертификат с който драйвера да бъде
подписан. Това увеличава защитният ефект на тази технология. Тези 2 защитни
технологии
ги има само и единствено в 64 битовите версии на Windows
Vista, и ги няма в 32 битовите
версии, на Windows
Vista. Това прави 64 битовата версия на Windows Vista по–сигурна и по–защитена от 32 битовата версия, а до не малка степен и по–стабилна
спрямо 32 битовата версия.
Всички тук описани защити, са общи както за 32 така и за 64 битовата версия
на Windows
Vista. Вече Windows Vista не работи с
административни права, дори акаунта да е администраторски. Всички акаунти
работят с права, на обикновен потребител но администраторски акаунт може да
бъде временно повишен до администраторки права само при необходимост, и щом
това отмине, веднага да се върне в нормални права. Идеята е че системна функция
изисква тези права, и Windows дава правата избирателно, само за тази функция, до приключване на
работата. Всичко извън тази функция остава с нормални права, докато използвате
временните администраторски права, за тази функция. Windows Firewall освен че работи по подразбиране, вече е развит, до много добро ниво.
Еволюирал е от Level
3 SPI Firewall до layer 3/7 SPI/Application layer Firewall който вече не седи само входящият поток, а и изходящият поток. Вече имате
не само общото ниво на защита което layer 3 spi осигурява, но върху него надграждате с ясни и конкретни правила за защита,
и контрол над всяко приложение което искате, както за входящ поток така и за
изходящ поток. Друга новост е вграждането на Windows Defender койтопредставлява базов anti–malware защитен софтуер, който
работи и пази компютъра ви само от spyware, adware и други подобни гадини от този род. Това е малкото и по–слабото братче, и
то работи само и независимо от windows Firewall. AppLocker
представлява функция която следи дали файловете на дадено приложение се
променят, и ако се променят не дава тяхното стартиране и изпълнение, докато
администратор не потвърди, че всичо е наред. Друга новост, е BitLocker. Това е Приложение на Microsoft за пълно криптиране на
диска, което се възползва от наличието на TPM ако компюъра е
снабден с такъв. BitLocker работи и без ТРМ, но дава базови резултати а с ТРМ, постига пълната си
сила. BitLocker има и преносим вариант – BitLocker to go което е криптиране
за преносими устройства, например флашки, външни хард дискове.... и отново има
предимство при наличие на ТРМ. Предимството е че ако си загубите флашката,
която е криптирана с BitLocker
to go, целият ви проблем, става само един само флашката като
материална стойност, данните са стабилно шифровани с AES 128 бита при липса на ТРМ, и AES 256 бита при наличие на
ТРМ. Има и уловка, устройство, шифровано с BitLocker или Bitlocker
to go на компютър с наличие на ТРМ, не може да се дешифрира на
компютър без наличие на ТРМ. Обартният вариант е безпроблемен.
DEP – Data Execution
Prevention е засилена на софтуерно ниво, и новият по–силен вариант
работи по–добре спрямо стария вариант в Windows XP sp 2. Тук Наличието, на процесор с hardware DEP помага значително. ОС вижда поддръжката на процесора, и използва своята
поддръжка, за да постави Stack и Heap не само под свой
контрол, аи под контрол на процесора, правейки DEP още по–трудна за саботиране.
Windows Vista въвежда нова системна защита на паметта, наречена ASLR – Address Space
Layout Randomization. Тази технология емного интересна,
тя е предназначена да разбърква местата, на вичко в stack и heap така че нещата да не се намират на един и същи адрес, всеки път когато
стартира ОС, или между отделните компютри. Активирането на hardware DEP от процесора, и активирането на ASLR от ОС на
ниво always on, и DEP на ОС, на ниво always
on, тотално елиминира и изкоренява втората най–голяма група
атаки срещу Windows
– Buffer OverRun/Buffer OverFlow.
Още от времето на Windows
NT 3.1 до ден днешен, цялата серия Windows NT ядра, поддържат едно много хубаво
нещо – всяка програма работи самостоятелно с собствена област от паметта, като
по този начин се подобри скоростта наработа на програмите и стабилността на
програмите и на ОС, защото се елиминира сценария някоя програма по погрешка, да
пормени стойност или променлива която се ползва от ОС или друга програма, и да
стане конфликт, завършващ със сини екрани, забили програми.... помните ли този
кошмар от windows
98? Windows Vista развива тази технология. Когато Windows Vista работи, на процесор който няма хардуерна виртуализация, Windows Vista постига същият резултат като класическото NT ядро. Когато Windows
Vista работи на процесор който поддържа хардуерна
виртуализация, тогава, Windows
Vista използва тези функции, за да засили контрола си, и да
направи нещо като „виртуални кутиики“, в рамките на компютъра, тотално
изолирайки програмите една от друга и от себе си, като слага себе си в една
такава „виртуална кутиика“ и отваря по една нова „виртуална кутиика“ за всяка
нова програма която стартира, и затваряйки тази на програмата която току що е
спряла да работи.
Така се ограничават още две неща. Оганичава се ефекта от използването на
експлойти върху уиндоус, и се ограничава сценария отдалечено изпълнение на код
– Remote
code execution в по–тясна област, и се затруднява излизането от тази
област и навлизането в друга.
UAC – User Access
Control е още една новост, тоято представлява Secure Desktop през който Windows
Vista пита за разрешение, или за приповдиган на правата. Той
като това е виртуален десктоп, и затъмнянето на екрана, има2 цели.
1. Тъй като щом UAC се обажда значи е важно, и за отва затъмня всичко и остава ярко само себе
си за да може да отклони внименито от ставащото върху себе си.
2. Идеята е това да е витуален секюрити десктоп, до който нищо и никой няма
достъп освен потребителя и ядрото на ОС, за да може потребителя сам да потвърди
или отрече а не някой вирус да си щрака каквото иска.
Тук виртуализацията на процесора помага да подсили това, защото процесора
сам дава подкрепление на UAC и на ОС за да държи нещата разделени, и да не се смесват.
Windows Vista поддъжа всички версии на TPM до версия 1.2 която е
текущата, но това става с добавка към определни варианти на 32 и 64 битовата версии.
За целта компютрите трябва хардуерно да имат такъм модул, и дабъде активиран,
защото по спецификация TPM трябва да е изключена по подразбиране при доставка на ОС и компютър и
дънна платка, и всеки който иска или има необходимост, може ди включи ТРМ и да
го ползва. След активиране, Windows Vista започва да използва
този криптомодул, за всичките си процедури по криптиране и декриптиране.
Одпълнителн предимство на ТРМ е това, че компютъра се превръща във втори и
трети фактор на аутентикация – нещо което знаеиш име и парола, нещо което си ти
– пръстов отпечатък, нещо което притежаваш – компютъра. Тоест на друг компютър
с вашия пръст и вашето име и парола пак няма да потигнет аутентикация, защото е
от друг компютър, не от този който системата очаква – компютъра е това нещо
което притежавате, компютъра е третият фактор при аутентикация.
Инсталирането на ЕМЕТ и настройването на ЕМЕТ може ЗНАЧИТЕЛНО да повши
защитните сили на Windows
Vista повдигайки летвата значително. Имайте предвид че ЕМЕТ е
силно зависим от избарните драйвери, избраната ОС и збрания хардуер. ЕМЕТ се държ различно, под
всички версии на Windows
XP/Vista/7/32 bit/64 bit дори под 7 32 бита и 64
бита се държи различно, както и
наличието на хардуерна виртуализаия и хардуерен DEP в процесора,също указват влияние върху EMET. Общо взето, EMET се държи различно на всеки компютър и осигурява различен резултат.
Ако си мислехте че до сега Microsoft правиха нещо по
програмата TC на групата TCG значи нещо ви убягва. С пускането на 32 и най–вече 64 битовата версия на Windows Vista Microsoft
наистина дават сила и тласък на програмата изстрелвайки я
наистина напред и нагоре. С Wndows Vista, Microsoft създават платформа, която, наистина, оползотворява всичко направено до
тук, в реално приложим вид, в който всички от чистача и метача, до главните
фигури в корпорацията могат да се възползват, в полза на сигурността си.
VIII. Windows 7 е следващата логична стъпка. Каквото е направено във Windows Vista тук е подсилено. Започвайки с ядрото и драйверите при 64 битовите версии –
тук гарда е двигнат още по–агресивно. Виртуализацията се използва на 100%. Vpro на Intel и функциите на виртуализация във високия клас чипсети, се използват, за
разлика от Windows
Vista. В
Winows Vista се изолзват само тези на процесора, а тук в Windows 7, се използват не само на процесора а и на чипсета. Разликата? ПЪЛЕН,
ТОТАЛЕН, АБСОЛЮТЕН контрол над ставащото, кой каково иска, кой какво се опитва
да вземе. ОС въвежда още мерки за сигурност, настъпвайки още повече, вече
наистина сериозно натиснатият педал с Windows Vista. Първата от новите промени е така нареченият Windows Blue Pill Supervisor. Това е един вид виртуален софтуер който не може да бъде пряко манипуиран,
защото подобно на Windows
Vista при Windows 7 всичко е затворено в собствена „виртуалана кутиика“ и този Supervisor само обикаля и следи дали в кутииките всичко е ок, и ако не е се намесва
да коригира нещата. Нападат определено приложение, или ОС, или всичко е наред.
Супервейзера не е пряко уязвим, нападението остава във виртуалната кутиика,
сипервайзора е извън виртуалните кутиики
и динамично ги променя. Колко бързо работи супервайзера? В паметта
работи с пълната скорост на паметта, в процесора, следейки какво се изпълнява –
тогава работи с пълната скорост на процесора. При процесор от 3 гигахерца, това
означава, че супервайзера прави 3 милиарда действия в секунда. Тази защита, отговаря
и за защитата на ядрото от пачване и хукване, и предотвратява безцелното
пачване и хукване на ядрото, без повод от разни софтуерни врещелници.
Добавена е собствена поддръжка на TPM направо в
ОС, вече не е нужно да добавяте каквото и да било за да може ос и приложенита
под ОС да използват ТРМ – те просто просто се обръщат директно към ТРМ и ОС
върши всичко останало, без никакви допълнителни добавки, прибавки модули и
прочието.
Добавена е нова системна защита на паметта – SEHOP – Structured Exception Handling
Overwrite Protection – същото, абсолютносъщото го има и
в Windows
Server 2008 R2 с името SafeSEH.
Засилен е и контрола над акаунтите на подтребителите в ОС, с новата версия
на Credential
Manager. Подобрен е контрола над потребители и права и е
затруднено приповдигатенот на права до администраторски. Разбира се не е
невъзможно, но е по–трудно.
Засилена е и софтуеранат DEP технология, и сега
всички с възползват от по–силната защита.
Засилена е на две сътпки технологията за налгане на подписани драйвери.
Първата стъпка, с която Windows
7 излизе от завода вече беше доста стегната, вече се
приема само драйвер подписан с 2 сертификата – един от производителя на
драйвера и един от Microsoft.
Няколко пробива, в системата за налгане на контрол над
драйверите, които позволиха на Stuxnet, Duqu, Flamer да се разпространят и на някои експлойти за повдигане на права до
администраторски, доведоха до второ подсилване на системата, за да елиминира
пропуските, като част от второто подсилване, всъщност прави така че вече
сертификатите за подписване на драйверите от Microsoft и от производителя са обвързани един с друг. Ако преди можехте да сложите
обикновен сертификат примерно на Realtek и един обикновен
на Microsoft и номера да мине, вече не можете. Сега всеки производител и Microsoft имат взаимно обвързани сертификати. Тоест
Realtek вече слагат своя сертификат, който потвърждава този на Microsoft и Microsoft
слагат свой който потвърждава този на Realtek.
Подсилена и системата за актуализиране на ОС, която вече прави само и
единстевно пряка защитена връзка със сървърите на Microsoft и след като бъде потвърдено през
защитен процес за аутентикация, за да се докажат кой кой е и кой какъв е, и чак
след това, по директна защитен връзка, започва реалната проверка има ли нужда
компютъра от актуализации или няма, и ако има нужда от кои има нужда. И ако се
наложи да сесвалят актуализации, те биват сваляни по защитена директна връзка,
след това биват проверявани пак по директна защитена връзка, за да се увери че
актуализацията нее повредена заради нестабилна и ненадеждна връзка при сваляне
или не са били променяни от някого, и чак след като проверката покаже че
всичкое наред, не е повреден от лоша връзка и ча не е пипан, чак тогава
актуализацията бива инсталирана на компютъра.
AppLocker е подсилена, BitLocker е подсилена, и сега при възможност, винаги използва TPM.
Windows 7 предлага нова защита – възможност за шифрована мрежа, както локална мрежа
– LAN така и интранет и WAN мрежи, AES 128 бита ако компютъра няма TPM и AES 256 а бита ако компютъра има TPM.
Windows
Firewall e е мислен в перспектива. Първо е разделена на 3 защитни
нива, всяко което е основа, която поставя основни правила за защита.
1 ниво е домашна мрежа, нивото на защита е най–ниско, подходящо е за дома
къдетосе приема че се пазите само от интернет но не и вътре поежду си.
2 ниво работна мрежа, нивото на защита е засилено с възможност за конкретни
правила, които да бъдат следвани
3 ниво е ниво недоверена обществена мрежа – разбирайте отворени и безплатни
и свободни Wi–fi, по летища, гари, заведения. Там защитата е максимална, и срещу всичко и
всички, като възможността за правила е сведена до минимум – ще пусне само тези
правила които позволяват функционалност беза да се компрометира в каквато и да
било степен защитата на компютъра.
Както се досещате до тук Microsoft са дали доста голяма
маса , сила и инерция на програмата Trustworthy Computing и Trustworthy Computing Group групата. И това не е всичко, има и още неща които са дали на програмата и
групата.
Windows
Firewall и антивирусната им прогарама Microsoft Security Еssentials във версия 4.0, по сила на програмата Trustworthy Computing и по силата на групата TrustWorthy Computing Group вече сe виждат и координират, и се синхронизират взаимно и си помагат един
на друг, за да постигнат по–висока и по–надеждна степен на защита. Тук вече
сценария акоедин изпусне пък друг ще го хване е вече само част, добавя се и сценария
единея вика на другия хванах нещо дето не мога да го позная, помогни ми да го
разберем какаво е и другия се намесва да помогне.
Добавянето на ЕМЕТ, на тази версия на Windows поставя EMET в позиция в която ЕМЕТ може да постигне абсолютно най–голямата си защита
която може да предложи, стига и хардуера да е на ниво, и процесора да предлага
хардуерен DEP и хардуерна виртуализация и да бъдат включени.
IX.
Internet Explorer е доста интересен случай. Ужим всички го плюят, ужким всички
го обвиняват че е бъгав и слаб, и прочието а ето че е доминиращият браузер. Internet
Explorer е като всяка прорама, ако го настроите добре, ще е устойчив и силен,
ако го настроите зле, ще е слаб и кекав, ако го позвате с настройките
подразбиране, вие го ползвате в един вид, в, който просто той показва че е там
и работи, и толкоз. Друго нещо което хората много подценяват че Internet
Explorer много отдавна е интегрирана част от Windows и че Windows го ползва за много работи. Дали му ползва рендериращият енджин, или му ползва мрежовият енджин е отделен въпрос, но все му ползва нещо. Internet Explorer,
контролира огромна част от цялата мрежова подсистема, така че дори пряко да не
го стартирате и да ползвате алтенративен браузер, актуализацията му помага Windows да се актуализира. Поправките които се внасят за Internet Explorer, се
отразяват и на операционната система, точно заради факта, че Internet Explorerе
е колкова тясно интегриран с опационната система че е станал част от нея, и част от начина
покойто операционната система работи.
Иначе на фрота на сигурността, версия 7 и надолу всичките, изобщо не са и
чували за сигурност, и си нямат понятие какво е това и защо е важно. Не че няма
актуализации, не че няма поправки, ама са някакви случайни произволни кръпки, дето
помагат, но не разчитайте на тях да свършат някаква реална работа и да ви
опазят. Съвместимост с ЕМЕТ? За версии 7, 8, 9 съм сигурен че са съвместими и работят с ЕМЕТ, за предните версии не
разчитайте. За версия 7 съм сигурен от една копирка на Интернет експлрер 7,
направена от едни копиращи типове от някаква „девелопрърска“ фирмичка от
софтуерни врещелници, тенденциозно копираща групичка, наречена NGIT–G92
дето правят всевъзможни чудати копирки на Internet
Explorer, представяйки ги за свои продукти, с нулева и никаква поддръжка, само
облекли Internet Explorer в шарен текстуриран скин и айдеее новия ни продукт. Т
тествах един от техните продукти и го пробвах с ЕМЕТ в различни конфигерации
наемет, и той си работеше, просто защото си беше Internet Explorer с нов скин.
А за версии 8 и 9 лично съм ги пробвал.
Интересното около интернет екплорер започва във версия 8. Тази версия на браузера
хем дърпа
напред хем дърпа назад. Дърпа напред уиндоус ХР, и
уиндоус ХР определено е по–зряла ОС с него и се усеща и в работата на ОС ина
браузера. Дърпа назад Windows
Vista и Windows
7. Тези версии на Windows са изцяло ново ядро, изцяло нова
концепция, А Internet Explorer 8 все още си пази съвместимостите с Windows XP което дърпа Windows
Vista и Windows
7 назад, някак усеща се че имат потенциал да се справят по–добре
но нещо ги задържа. Това се променя във версия 9. Версия 9 не може да работи с Windows XP и работи само с Windows
Vista и Windows
7. Разликата е че докато версия 8 е последната от старото
поколение, 9 е първата от новото, и оттървавайки се от старите технологи и
бидейки оптимизиран за текущите и следващите версии на Windows това му позволява да се разгърне изцяло, и с това и потенциала на двете ОС
да се разгърне, защото вече няма какво да ги задържа. И двете ОС се държат по–адекватно
и по–зряло, от ъпгрейда на браузера, заради тясната интеграция между ОС и
барузер. Ако трябва да съм честен, Инетрнет Експлорер 9 дърпа напред Windows Vista повече от колкото дърпа Windows 7 защото Windows 7 си е по начало по–зряла ОС. Докато Internet Explorer
8 си беше просто продължението на Internet Explorer 7, то Internet Explorer 9
внася няколко неща, които заслужават да им бъде обърнато внимание. Internet
Explorer 7 няма никакво участие в програмата Trustworthy Computing на групата Trustworthy Computing
Group. Internet Explorer 8 започва с базово
участие в програмата, браузера при наличието на DEP и ASLR на операционната система, браузера сам се включва и сам си влиза в
системните защити на паметта DEP и ASLR като базово участие на браузера, в програмата.
Internet Explorer 9 обаче предлага интересен набор от новости по програмата и допринасяйки за програмата
групата. Тук Microsoft настъпват педала здраво. Internet Explorer в момента
написане на статията, във версия 9.0.8 (с всичкчи актуализации за него, до една
без нито една пропусната) е изключително следващ стандартите на W3 consortium. Тази основа беше положена с излизането си в оригинална версия 9.0.0 и
развивана през версиите до 9.0.8. Във версия 9.0.0, софтуерните врещелници
получават трета гръмка плесница от Microsoft, стига сте врещяли, ами си сядайте
на задниците и си правете страниците и кода като хората. Версия 9.0.8 им
напомня за третата гръмка плесница, с всяко стартиране на браузера. Или си
пишете страниците според стандартите или няма да ви работят като хората, избора
е изцяло ваш. Отново софтуерните врещелници, си седнаха на задниците с подвити
обашки, след нечуто врещене, и започнаха да си пишат страниците като хората,
защото се оказа че пак останаха аутсайдери.
Нещата с които браузера участва са:
Сам се включва в системните защити на паметта – Opt–in този път не само за DEP и ASLR но и за SEHOP.
Ако ги има и трите едновременно, ще се включи и в трите
едновременно. Нов Javacript модул, който към момента на пускане на Internet Explorer 9 на пазара е изчистен от всички грешки и пробиви, и е тестван че е устойчив на всички
експлойти, за които Microsoft знаеха по това време.
Също така приемат и въвеждат DNT: 1 хедъра – Do Not Track хедъра, въвеждат поддръжка на TPL – tracking protection lists – възможност потребителя сам да си съставя списъци от сайтове, които са
тракери,
още въвеждат модул който следи поведението на 3rd party сайтовете, и всеки с поведение на
тракер бива блокиран, независимо дали е тракер или не. До тук веднъж тези
технологии, като поработят извество време и съберат сила, правят много добър и
силен комплект правила, за защита на потребителя от следене, като Internet explorer подхожда доста сериозно към задачата. Общо взето следи всички тракери
които сам е заловил и всички които потребителя е указал, и Internet Explorer сам отказва да се занимава с тях. Internet Explorer сам не отива
на линка ако потребителя го чукне с мишката, сам не
приема и не посещава препратки към тези сайтове, сам отказва да приеме куките,
от такива тракери, сам отказва да изтегли и изпълни скрипт от тях, и няма на
свали изображение от тях. В много отношеиня Internet Explorer взема нещата в
свои ръце, за да може Internet Explorer да се оправя с тях. Например цялата
тази истерия със следенето, тракери кукита на тракери, и прочието. За куките от
трети страни, например Internet Explorer 9 въвежда подробни настройки,
позволявайки да се създадат ясни и точни правила кога да бъдат приемани и кога
не.
Друга новост въведена от Internet Explorer, е Download File
Reputation ако сваляте файла, интернт експлорер, ще реагира на
ставащото и ако файла е наред, няа да ви пречи да го сваляте, ако Internet
Explorer не може да намери информация за файла, ще ви изкара червено съобщение
което гласи че Internet Explorer не може да намери информация за файла и ча
това би могло да е опасен файл. Ако се опитвате да изтеглите вреден и опасен
файл, Internet Explorer директно ще откаже даунлоада, без да ви дава съобщения
без да ви дава обяснения без нищо. Просто отказва без да се обяснява и без
излишни пазарлъци, и разправии. Друго ново в Internet Explorer 9 е Protected mode. В този режим, съдържанието на уеб сайта се държи в пясъчен сандък, за да
може ако на сайта има нещо нередно, или атака или червей за остане ограничен, и
да не може да се разпространи из цялата система. Тук ако имате виртуализация в
процесора имате хардурента подкрепа на тази технология, а ако имате и
виртуализация в чипсета, тази технология се превръща в изненадващо силна. Друга
новост е Private
Browsing която значи че Internet Explorer 9, няма да запомни нищо
от браузващата сесия, независимо от ставащото. Със затваряне на браузера всичко
изчезва а на диска никогат не е имало записано каквото и да било. Друго хубаво
нещо въведено в Internet Explorer 9, Абосолютно целият код и абсолютно всички
файлове на Internet
Explorer, са компилирани със Strict GS опцията на най-новият С++
компилатор от Microsoft, което ознава че абсолютно целия код, абсолютно всички
файлове биват преглеждани инструкция по инструкция и как тази инструкция седи
спрямо останалите
инструкции, и коригира всяка инструкция, която създава
предпоставка за Buffer
Overrun/Buffer
Overflow атака за да премахне предпоставката за Buffer Overrun/Buffer
Overflow атака.
Друго коетосе промени в Internet Explorer 9, е хедъра при отваряне на
страница. Всички версии от версия 8 надолу, в хедъра си писаха едва ли не
всичко което им дойде на ум като се почне кой флаш имаш, кои версии на .нет,
разделителна способност, кой Office има инсталира и прочието детайли за
компютъра давайки пъната информация за компютъра, в пълен вид, какво има и
какво няма и къде е.
В Internet Explorer 9 това е премахнато хедъра е съвсем къс и дава само
наистина необходимата информация за коректното отваряне на страницата
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0); DNT: 1
Като в този хедър се описва само
необходимото
User Aent: Mozilla/5.0 compatible; MSIE 9.0
Тук Internet
explorer 9 се представя като себе си
Windows NT 6.1
Тук казва че работи под Winows 7
Trident/5.0
Тук браузера казва че използва рендериращият енджин Тидент версия 5.0
DNT: 1
Това е Do
Not Track хедъра, с който Internet Explorer заявява на тракерите
че не желае да бъде следен по време на сърфиране. Разбира се ако тракерите не
се съобразят доброволно, винаги може да бъдат, изритани насила, и да бъдат
държани на страна насила с TPL – Tracking Protection Lists, и с функцията InPrivate
Filtering която както споменахме по-горе следи поведението на
сайтовете, и в момента в който забележи поведение на тракер, блокира сайта.
Двете функции TPL
и InPrivate
Filtering работят постоянно и се допълват една друга, така че
тракерите нямат възможност да не се съобразят с хедъра.
И това е всичката информация която интерет експлорер 9 дава за себеси и за
компютъра.
Х. – Microsoft
Office е още един фронт, на който Microsoft полага големи
усилия. Още един фронт, на който Microsoft предоставя доста, на TCG групата и ТС програмата, налагайки ТС програмата, и ТСG групата, като нещо голямо и силно, с което вече хората трябва се
съобразяват.
Всичи всички версии на Office, от ХР назад до началото на Office, изобщо
нямат никаква защита. Там проблемите се оправят „на парче“ основно на ниво
функционалност и съвместимости само фрапиращите пробиви. Повечето защитни мерки
са реализирани в Office 2010. Има важни мерки защитни мерки които са изпълнени
в Office 2003 и Office 2007, в Office 2010, Microsoft наистина настъпват педала,
зашлевявайки четвърта гръмка плесница на софтуерните врещелници – или си
правете шаблоните,докментите, таблиците и базите данни и моделите като хората,
или не се чудете, че Office не ги познава и не ги зарежда. Отново шамаросани за
четвърти път с подвити опашки врещелниците спряха да врещят и си седнаха на
задниците. Технологията на в Office с която шамаросахе врещелниците даси
оправят Office файловете се казва Gate Keeper и работи във фонов режим. За нещя ще пиша по-долу когато разглеждам новото
в Office 2010.
Всички мерки по защита на Microsoft Office, започна с Office версия 2003
нататък, докато в 2003 и в 2007, се оправят отделни проблеми по сигурността,
като в Office 2003 е въведена важна промяна, която доведе до промяна на целия
пейзаж на атаките срешу Office. Благодарение на вирусите I love you и Melissa в Office 2003, вече са забранени вскакви изпълними прикачени файлове. Ако
получите такъв, прикаченият файл бива унищожен а писмото препратено към вас без
прикаченият файл. В Office 2007 заедно със забранените изпълними файлове, се
появява нова промяна, която обрече макровирусите на изчезване е подобрен модел
за раота с макроси. В момента в който нкой макрос посегне на normal.dot шаблона, или се опита да заразява други файлове, веднага спира
изпълнението макроса още преди да е постигнал нещо смислено. Така изчезна
проблемът с макровирусите.
Тази тенденция е запазена и в 2010, както и тези промени също. Във версия 2010,
нещата са направени цялостно и завършено от началото и са доведени до край. В Office 2010 доста неща направени, започвайки
с контрола над макросите в в целия Office 2007 – word, excel, powerpoint, access,
outlook…. и с премахването на изпълними прикачени файлове в Microsoft Outlook 2003, се изкорениха тотално двете най-големи групи атаки срещу Office,
пощенски червеи и макро вируси.
В Office 2010, са запазили промените от Office 2003 и Office 2007,
работещии действащи и са надграждали върху тях, допълнителни неща. В Office
2010, всички мерки са приложени наведнъж. Всичко което на Microsoft им е минало
в главата, като проблем е помислено и е изчистено. Няма нищо прескочено, няма
нищо недогледано няма нищо недотествано. Във времето в което Office 2010,
излезна на пазара, Microsoft, са изчистили Абсолютно целият код и абсолютно
всички файлове от всички пробиви, всички грешки и всички бъгове за които Microsoft
знаеха по това време, и в абсолютно целият код и абсолютно всички файлове са и
са направили всичките си продукти, са се постарали да са устойчиви и
неподатливи на всички експлоити за които Microsoft знаеха по това време.
Абсолютно целият код и абсолютно всички файлве са написани така че да се
поддържат DEP,
ASLR и SEHOP
и всяко приложение на Office което се зарежда,
задължтелно се подлага на тези системни защити на паметта. Това автоматически
означава, че работейки под Windows Vista Office е по-слабо
защитен, от колкото под Windows 7, защото Windows Vista предлага само DEP
и ASLR като системни защити на паметта, и Office 2010 се възползва от тях, а под Windows 7, ОС освен DEP и ASLR предлага и SEHOP, и Office 2010 се възползва и от третата системна защита, на паметта,
която придава попълнителна защита.
Абосолютно целият код и абсолютно всички файлове на Microsoft office, са компилирани със Strict GS опцията на най-новият С++ компилатор от Microsoft,
което ознава че абсолютно целия код, абсолютно всички файлове биват преглеждани
инструкция по иструкция и как тази инструкция седи спрямо останалите
инструкции, и коригира всяка инструкция, която създава предпоставка за Buffer
Overrun/Buffer Overflow атака за да премахне предпоставката за Buffer
Overrun/Buffer Overflow атака.
Тук е важно да намесим и 32 и 64 битовата платформи. Заради защитата от
посегателства на ядрото и от неподписани драйвери, която в Windows 7 е значително по-силна от колкото в Windows Vista, Office 2010 под 64 битова ОС е допълнително защитен, от ОС, заради факта
че самата ОС е по-добре защитена, спрямо 32 битовите ОС, която не разполагат с
тези защити. Освен това Office също е по-добре защитен, и заради това че DEP като концепция работи по-добре върху 64 битов процесор с 64 битова ОС подволявайки
на DEP да разгърне пълният си потенциал, и да осигури пълната защита на която е
способна.
Следващата част от системната за защита на Office 2010 е доста разширена, и
включва няколко неща навързани едно за друго, като основната цел, не е
единичният ефект на отделните защитни мерки а общият ефект на всичките взети
заедно. Едно от нещата които са навързани помежду си, е функцията GateKeeper която работи заедно с функцията file format integrity
checkup и заедно с функцията Protected view, която пък се възползва от виртуализацията в процесора, и от поддръжката
на виртуализация в Windows
Vista и windows
7. GateKeeper и Outlook налагат допълнителна стапен на интеграция с Internet Explorer, като тук
версията на Internet Explorer играе важна роля. Подобно на Windows Vista и
Winfows 7, internet explorer 8 дърпа цялата система
назад, а Inernet
explorer 9 дърпа цялата система напред, като Windows 7 дърпа системата напред повече от колкото Windows Vista не само заради системната защитана паметта – SEHOP а и заради това че като цяло Windows 7 е по-зряла ос от Window
Vista.
GateKeeper е защитна функция която следи, за прозхода на файла и откъде е дошъл.
Ролята му е да реши през какво трябва да мине файла. Ако файла идва през
интернет, или по мрежата, или по електронна поща или от диск или флашка, тогава
файла задължитено минава през още една проверка от File format integrity
checkup която проверява с коя версия е създаден файла и дали е
на 100% изряден по стандартите и спецификациите на Microsoft за Office 2010.
Ако не е, файла бива отворен в пясъчен сандък, който се стартира заедно със
съответстващата програма, например Word тогава документа
излиза ограничен в пясъчен сандък без скрптове и макроси и без редактиране. Ако
отклоненията от спецификациите са прекалено големи, тогава може и изобщо да не
отвори файло под предлог че нещо не е в ред с него. Това е четвъртата плесница, за
която казах че Microsoft я забиха на софтуерните врещелници, и те пак си
седнахана задниците с подвити опашки да си оправят документите и шаблоните и
моделите по стандартите и спецификациите на Microsoft. В часта си в която Office сверява произхода на файла откъде е, се използват
зоните на сигурност на Internet Explorer, и според тях, също се решава къде и
как щесе отвори файла. Ако произхода е през интернет, файла се третира според,
правилата в раздел интернет на Internet Explorer, и File Format Integrity
checkup препраща файла в пясъчсия сандък – protected view. Ако файла идва по локалната мрежа, тогава бива третиран според правилата
зададени в intranet
групата на Internet Explorer, и може да се отвори
директно, стига правилата на груата да го указват. Ако правилата на intranet зоната не указват, изришно че това е зона с доверие и че файловете се
считат за доверени, файла отива в protected view. Ако файла идва от сайт илимясто в мрежата, поставени зоната Trusted файла директно
се отваря без никакви проверки и пясъчни кутии и сандъци и прочието. Ако файла
идва от място указано в зоната restricted, и замята да спре да се
върти, и небето
да падне и слъцето да угасне и часовника да се завърти на
обратно, файла няма да бъде отворен, ако ще и на челна стойка да виете като
чакал и койот и вълк срещу луната. Тези зони за сигурност са на Internet
Explorer, и GateKeeper както и File
format Integrity checkup ги използват за да
решат какво ще правят с файла.
На Outlook също е обарнато внимание. Когато получава писмо пое лектронна поща, се следи получателя в коя група попада, и действияата се
прилагат по същата схема както е описано по-горе, като разликата е че всеки
файл който не е изришно дефиниран в някоя зона попада автоматично в зона
интернет. Outlook също проверява с GateKeeper и с File
Format Integirty Checkup и той се възплзва от Protected View.
Друго сериозно подобрение е защитата на документите. С развитието на Office
2010 на ниво сп1, e
че Office 2010 СП1 се възползва и от ТРМ, ако го има
наличен.
Всичко до тук е поредният принос на Microsoft, към програмата Trustworthy Computing на групата Trustworthy
Computing Group.
XI. TPM – Trusted Platform Module e много иновативен
модул, който се появи в хардуера на скоро, като той беше създаден, за нуждите
на програмата TrustWorthy
Computing по спецификации на групата Trustworthy Computing
Group. Това е един криптографски процесор, който работи с
няколко алгоритъма и дължини на ключа според случая, като целта му е да бъде силен
не само в криптографските операции а и в надеждното и безопасното съхраняване
на ключове и хешове, и по спецификация, каквото и да правите не можете да
накарате чипа да ви издаде с какво работи и защо. Визможно е да има греши в
чипа, грешки в микрокода, но по спецификация, не можете по никакъв начин да
измъкнете нищо от чипа. Много лаптопи напримчер високият клас на Леново, имат
спецификация която обвързва четец за пръстови отпечтъци, с TPM и блокиране и разблокиране на лаптопа, и с искане за
администраторски права. Тази функция е обвързана и с искането на
администраторски права от Windows 7. Например правите нещо и Windows ви прекъзва и ви казва
за това ви трябват администраторски права. В този момент, ако използвате четец
на пръстови отпечатъци и TPM като метод за аутентикация на лаптопа, просто си прокарвате пръста през
четеца, и ТРМ
урежда всичко останало ред ОС и ос приповдига временно
правата, и после ги връща нормално. Друго нещо което може да е от полза това е
да изчисли и съхрани криптографския ключ за криптиран на цял диск, например Truecrypt или Bitlocker или Bitlocker
to go. Всяка портрама може да се възползва от услугите му в една
или друга форма, стига създателите на програмата да са добавили поддръжка за
ТРМ.
ТРМ модули се произвеждат от много фирми, като платки с всевъзможни
конектори, за всевъзможни дънни платки. TPM работи на
дънната платка в синхрон с чипсета и процесора, и дъното трябва да има
специална поддръжка в БИОС за ТРМ, и на дъното да имаспециален конектор
обозначен че е за ТРМ. Много производители на дънни платки, допринасят за
програмата и групата, като правят дънни платки в 2 варианта с поддръжка на ТРМ
и без такава. Товасъщо дава сила и
позиция и инерция на TCG на пазара, като сила с която трябва да се съобразяваш. Intel например, отново са едни гърди пред другите, защто поризвеждат не само
дънни платки с поддръжка на ТРМ, а си произвеждат и ТРМ модули, към дънните
платки а в чипсетите от висок клас, вграждат ТРМ в самия чип на чипсета, а не
като отделна платка. Производители на компютри и компютърни конфигурации, като
леново, НР, CompaQ например във високия си клас компютри, независимо настолни компютри или
лаптопи слагат дънни платки които имат поддръжка за TPM и в някои случаи директо слагат ТРМ модел в други случаи ви предоставят
опция за добявяне на такъв. Също така във високия клас слагат и 64 битови
процесори с хардуерни виртуализация и хардуерен деп, в случая на високите
класове на Intel и Леново, ТРМ, е вграден в чипсета, инструкции за виртуализация имане само
в процесора а и в чипсета, тоест наистина сериозна изпълнение. С тези си
действия, също се утвърждава мястото и силата на групата на пазара.
Ако се сдобиете с много добре избран компютър като хардуер във високия клас и драйвери за този хардуер във високия клас, например Lenovo ThinkCentre M58P или друг равностоен на този като хардуер и като клас в който се намира, с малко усилие от страна Windows 7 64 бита сп1, и ЕМЕТ 3.0 и Internet explorer 9.0.8 всичкитепачнати до последно, спокойно можете да постигнете крайно висок резултат като този, представен в този клип: http://www.vbox7.com/play:9d9d08cc
Ако се сдобиете с много добре избран компютър като хардуер във високия клас и драйвери за този хардуер във високия клас, например Lenovo ThinkCentre M58P или друг равностоен на този като хардуер и като клас в който се намира, с малко усилие от страна Windows 7 64 бита сп1, и ЕМЕТ 3.0 и Internet explorer 9.0.8 всичкитепачнати до последно, спокойно можете да постигнете крайно висок резултат като този, представен в този клип: http://www.vbox7.com/play:9d9d08cc
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.