Kernel patch protection w Windows Vista - walka z konkurencją?

Eksperci ostrzegają, iż wprowadzona przez Microsoft w nowych wersjach Windows ochrona modyfikacji jądra systemu (kernel patch protection) utrudni życie bardziej dostawcom rozwiązań z zakresu bezpieczeństwa niż hakerom.

Wprowadzana przez Microsoft w nowych wersjach Windows ochrona modyfikacji jądra systemu (kernel patch protection) uniemożliwia wprowadzanie do jądra systemu uprawnionych modyfikacji, wykorzystywanych dotychczas glównie przez producentów firewalli programowych. W tej sytuacji pozostaje im jedynie korzystanie z nieuprawnionych modyfikacji, w taki sam sposób jak robią to autorzy koni trojańskich i rootkitów. Czy Microsoft celowo "zapomnial" o producentach firewalli po to, by utrudnić im życie i promować wlasne rozwiązania?

- Jako twórcy Outpost Firewalla, musimy mieć możliwość instalacji na poziomie jądra, twierdzi Alexey Belkin, główny programista Agnitum. Rozwiązując potencjalny problem niekompatybilności z nowymi 64-bitowymi wersjami Windows, odkryliśmy iż możliwe jest ominięcie nowych zabezpieczeń wprowadzanych przez Microsoft - jeśli użyjemy technik zbliżonych do hakerskich. To szeroko otwarta dziura. Skoro my to odkryliśmy, z pewnością odkryją to również hakerzy i wykorzystają do instalowania wrogiego oprogramowania - dodaje Belkin.

Kernel patch protection ma za zadanie poprawę ochrony działania systemu na niskim poziomie - jak operacje na plikach i modyfikacje rejestru dokonywane przez jądro systemu Windows, najgłębszej warstwy systemu operacyjnego (www.microsoft.com/whdc/driver/kernel/64bitpatch_FAQ.mspx). Każdy program, który uzyskuje dostęp do jądra, może np. ukryć folder na dysku twardym i uniemożliwić jego usunięcie z użyciem standardowych narzędzi Windows. Ponieważ wrogie oprogramowanie może modyfikować jądro systemu w celu ukrycia się w systemie i wykradania informacji, twórcy rozwiązań bezpieczeństwa również potrzebują dostępu do jądra dla zapewnienia odpowiedniej ochrony użytkownika.

- Microsoft podjął logiczny ruch w celu ochrony Windows przed rootkitami - komentuje Mikhail Penkovsky z firmy Agnitum, producenta Outpost Firewall. - Niestety nie rozwiązuje to problemu, ale mocno utrudnia innym producentom utrzymanie pełnej kompatybilności z Windows. Nikt nie wie, czy Microsoft zrobił to celowo, ale nie możemy uniknąć podejrzenia, iż zmiana została wprowadzona, by zmusić użytkowników do skupienia się na rozwiązaniach bezpieczeństwa dostarczanych przez Microsoft. Jak dotąd rozwiązania innych producentów wykazywały się wyższą efektywnością i stopniem bezpieczeństwa, dlatego też te zmiany mogą najbardziej zaszkodzić zwykłym użytkownikom.

W 64-bitowych Windows i w nowym Windows Vista kernel patch protection uniemożliwi dokonywanie legalnych modyfikacji jądra. Oznacza to, iż żaden z dostawców nie będzie mógł zainstalować rozwiązania, dokonującego modyfikacji jądra z użyciem akceptowanych przez Microsoft technik programistycznych. Nie powstrzyma to jednak hakerów przed stosowaniem technik "reverse engineering" w celu wykorzystania nieuprawnionego dostępu do jądra do instalowania rootkitów.

- Problem polega na tym, iż te "nieoficjalne" sposoby dostępu zadziałają tylko przy wybranych wersjach jądra Windows - mówi Penkovsky. - Jeśli legalni dostawcy rozwiązań bezpieczeństwa będą zmuszeni do stosowania takich technik, to z każdą większą aktualizacją systemu operacyjnego trzeba będzie wprowadzać zmiany w sposobie instalacji. Stanie się to koszmarem dla legalnych dostawców oprogramowania, pozostając małym problemem dla hakerów, którzy nie muszą martwić się o stuprocentową kompatybilność.