Widoki i problemy

Windows Vista będzie systemem bezpieczniejszym niż Windows XP głównie w teorii. Zmian rzeczywiście poprawiających bezpieczeństwo systemu jest, niestety, niewiele.

Windows Vista będzie systemem bezpieczniejszym niż Windows XP głównie w teorii. Zmian rzeczywiście poprawiających bezpieczeństwo systemu jest, niestety, niewiele.

Windows Vista ma być najbezpieczniejszym systemem operacyjnym w historii Microsoftu. To samo słyszeliśmy już o Windows 2000 i Windows XP. Podskórnemu powątpiewaniu w magiczną zmianę na lepsze wtóruje ogłoszona niedawno informacja, że wersja beta Windows Vista zawierała błąd znany jeszcze z czasów Windows 95 (WMF). Dlaczego zatem firmy miałyby uwierzyć, że inwestując w Windows Vista będą bezpieczniejsze?

Projektując kampanię informacyjno-reklamową na temat Windows Vista Microsoft popełnił błąd - po raz kolejny uległ pokusie "łatwych obietnic", które nigdy nie miały i nie będą mieć pozytywnych konsekwencji. Bo jeśli z bezpieczeństwa robi się główny argument, trzeba umieć go obronić nie tylko słowem, ale i czynem. Trzeba także mieć świadomość konsekwencji w postaci wezbrania ludzkiej ciekawości i przekory albo nawet tylko poszukiwania przygód i poklasku przez "młodych-zdolnych".

Microsoft zapewnia, że nowy system jest doskonały pod względem założeń dotyczących bezpieczeństwa. Jasne, to jest postęp i to bezdyskusyjny, ale marna to pociecha dla profesjonalistów, którzy wiedzą, że doskonałymi założeniami, by sparafrazować popularne przysłowie, wybrukowane jest piekło. Pewne rysy widać jednak nawet w samych założeniach, a im bliżej się podchodzi, tym więcej znaków zapytania się pojawia. Niezrozumienie czy intuicja?

Uprawnienia nadal grożą

Implementacja mechanizmu UAP (User Account Protection) - usługi, która ma za zadanie uniemożliwić instalowanie jakiegokolwiek programu w systemie bez dodatkowego hasła, może się okazać bardzo dobrym pomysłem. Założenia zaczerpnięte zostały z doświadczeń użytkowników systemów Mac OS i Linux. Windows Vista realizuje realne oddzielenie praw administracyjnych od praw użytkowników. Administrator jest w stanie ingerować w system bez ograniczeń, natomiast użytkownik jest "zamknięty" w swoim środowisku i może instalować programy, ale tylko takie, które nie będą ingerować w jądro systemu.

Skanery antywirusowe, sterowniki do drukarek, uaktualnienia systemu, tworzenie połączeń dial-up lub połączeń VPN i wiele innych potencjalnie niebezpiecznych usług i funkcji zostaje oddzielone od jądra, aby mogły poprawnie działać z uprawnieniami zwykłego użytkownika. Takie rozwiązanie z pewnością było w nowym systemie bardzo potrzebne - powinno istotnie utrudnić działanie złośliwym programom, których celem jest instalacja na komputerze oprogramowania wykonującego operacje bez wiedzy użytkownika, np. programów szpiegujących.

Niestety, w przypadku kont użytkowników o ponadprzeciętnych uprawnieniach (np. administrator usługi lokalnej) ominięcie tego zabezpieczenia nie będzie stanowić żadnego problemu, ponieważ UAP - owo pseudowirtualne środowisko jest nadal dość mocno połączone z jądrem systemu. Dla jasności: nie mówimy tu o sprawach prawdopodobnych czy hipotetycznych, lecz metodach wywoływania błędów polegających na przepełnieniu bufora sprawdzonych na systemie Windows XP (a nawet starszych, jak błąd w bibliotece WMF) i działających analogicznie również na Windows Vista.

Przeglądarka wciąż bruździ

Następnym kamieniem milowym jest ograniczenie procesu Internet Explorer 7 dla systemu Vista. Nowa wersja tej przeglądarki będzie mogła zapisywać dane tylko do katalogu Historia i Temporary Internet Files (tymczasowe pliki pobierane ze stron internetowych). Obsługa ActiveX będzie standardowo wyłączona, a obiekty COM będą poddawane analizie bardziej szczegółowo niż dotychczas. Nowy IE będzie także posiadać nowy system wykrywania prób podszywania się i wyłudzeń.

Microsoft chce, aby komputery same zgłaszały do niego podejrzane strony. Po weryfikacji doniesień firma będzie dodawać trefne witryny do "czarnej listy", co będzie się równać z uniemożliwieniem użytkownikom łączenia się z nimi. Informacje na temat tego rozwiązania nadal są niepełne - nie jest ono jeszcze zaimplementowane. Założenia te na pierwszy rzut oka wydają się pozytywne, bowiem wyglądają na próbę wzięcia przez firmę odpowiedzialności za bezpieczeństwo użytkowników. Tak naprawdę są jednak niepokojące.

Aby mechanizm opisywany jako wzmocnienie bezpieczeństwa mógł działać zgodnie z założeniami, system będzie automatycznie wysyłać do Microsoftu adresy wszystkich odwiedzanych przez nas stron. Czy będą to wyłącznie adresy URL? Jak długie będą i jakie parametry będzie można z nich odczytać? Kto zadba o naszą prywatność i bezpieczeństwo danych osobowych? Trudno w takim świetle nie zastanawiać się nad tym, jak wyglądać będzie taka "wolność" i owe "zwiększone bezpieczeństwo".

Najgorsze jest to, że pomimo tak drakońskich środków rzeczywiste bezpieczeństwo nie będzie większe. W świecie systemów Unix istnieje mechanizm chroot, który działa analogicznie do UAP. Można go ominąć i to w całkiem prosty sposób. Możliwość aktualizacji za pośrednictwem przeglądarki WWW dowolnych składników systemu - włącznie z tymi co do których według deklaracji Microsoftu w nowym systemie są oddzielone od reszty środowiska - to de facto luka w UAP. Pozostaje jeszcze cała gama innych możliwości, jak Java z podpisem cyfrowym, JavaScript, komponenty Flash i ActiveX...

A zatem, choć możliwości szkodzenia systemowi za pośrednictwem przeglądarki zostały w Windows Vista ograniczone, nie zostały - bynajmniej - wyeliminowane. Wciąż jest szerokie pole do uzyskania dostępu do chronionych obszarów lub przejęcia kontroli za pomocą ataków polegających na przepełnieniu bufora. Dobrym rozwiązaniem byłoby wypytanie użytkownika przed uruchomieniem skryptu Java, czy zezwala na zapis na dysku, ale przecież użytkownik mógłby przestać lubić system, jeśli ten zacznie zadawać zbyt dużo "trudnych pytań".

Prawdziwy IPsec

Windows Vista szczycić ma się ponoć zwiększonym bezpieczeństwem sieci. Microsoft chwali się zwłaszcza tym, że zmienił dotychczasowy stos TCP/IP, nazywając nową architekturę "TCP/IP Następnej Generacji". Za szumną nazwą kryje się jednak tylko tyle, że wreszcie zaimplementowano w pełni działający stos zintegrowany z IPv4. Pojawiło się także porządne API i rozsądna implementacja narzędzi do zarządzania tablicami routingu. Komunikacja wewnątrz sieci ma się odbywać poprzez protokół TCP/IP z IPsec. Protokół IPsec jest odpowiedzialny za enkapsulację pakietów. Jest to standard używany przy połączeniach sieci korporacyjnych w sieciach WAN, bowiem umożliwia identyfikację i uwierzytelnianie na poziomie pojedynczego pakietu.

Windows XP używa IPsec, a dokładnie jego niezbyt udaną implementację w postaci L2TP (Layer 2 Tunneling Protocol). Komunikacja z użyciem IPsec zapewnia nie tylko uwierzytelnienie, ale także szyfrowanie transmisji, co zapewnia pełną "izolację domeny" od świata zewnętrznego, wskutek czego również komputery działające w ramach sieci nie są w stanie podsłuchiwać się wzajemnie. Za lepszą izolację ruchu w sieci zapłacimy, jak to nieraz bywało, większymi wymaganiami odnośnie do sprzętu. Właśnie z tego powodu programiści tworzący rozwiązania open source unikają szyfrowania w sieciach lokalnych. Trzeba jednak uczciwie przyznać, że z biegiem czasu, gdy szyfrowanie będzie standardowo obsługiwane sprzętowo przez procesory, chipsety lub karty sieciowe, problem ten zniknie.

Zarządzanie warstwą IPsec zostało połączone z zarządzaniem wbudowanym w system filtrem pakietów. W ramach Windows Firewall with Advanced Security oba obszary wykorzystują tę samą konsolę. Integracja zaoszczędzi problemów, które ujawniały się przy próbach utrzymania spójnej konfiguracji zapór i IPsec w Windows XP oraz Windows Server 2003. Zdarzające się nazbyt łatwo niespójności prowadziły do konfliktów i w efekcie pakiety nie dochodziły do miejsca przeznaczenia.

Zapora bez emocji

Następną nowością w rozwiązaniu firewall w Vista jest podział na ruch wchodzący i wychodzący z możliwością filtrowania w obie strony - i to zarówno nagłówków protokołów, jak i treści. Co do zasady rozwiązanie jest rozsądne, jednak implementacja i możliwości konfiguracyjne nowego "zaawansowanego firewalla" są dramatycznie proste - zbyt proste, jak na rozbudzone oczekiwania.

Nie o same oczekiwania zresztą chodzi, lecz o to, że dostępne od wielu lat rozwiązania open source i komercyjne są naprawdę znacznie, znacznie bardziej zaawansowane i działają we wszystkich warstwach. Rozwiązanie o funkcjonalności znanego z Linuxa filtra iptables w systemach Windows bardzo by się przydało. Na pewno spodobałoby się producentom , bo wreszcie można by było zarządzać przepływem pakietów bez skoków wydajności powodowanych próbami wprowadzania rozwiązań tego typu przez producenta systemu.


TOP 200