Vista 64: (nie)bezpieczny system

Jak wiemy, system Vista 64 reklamowany jest jako najbezpieczniejszy system z rodziny Windows. Mówi się tutaj o superdodatkach poprawiających bezpieczeństwo – UAC i KPP. Skupmy się na drugim z nich. Kernel Patch Protection (aka PatchGuard) chroni jądro systemu przed zmianami. W ten sposób zabezpieczone są tabele IDT, SDT, GDT, jak i samo jądro (kod, sprawdzany prostą funkcją crc). KPP zabezpiecza też przed technikami DKOM. W teorii wygląda to bardzo ładnie, gorzej już w praktyce.

Jak działa KPP? Gdy jakiś driver zmieni coś w jądrze V64, KPP zadziała i rzuci nam BSOD (Blue Screen Of Death) z błędem nr 109 – jądro zostało zmodyfikowane. Nie wiem, czy użytkownik się ucieszy, gdy w środku pracy komputer „wyleci mu w powietrze”. Chyba lepszym rozwiązaniem byłaby informacja o takiej zmianie, danie użytkownikowi np. 60 sekund na zamknięcie wszystkich ważnych programów i dopiero restart/BSOD.

Teoretycznie więc Vista wygląda na najbezpieczniejszy z rodziny Windows, a tak nie jest!!! Vista jest (może być) NAJNIEBEZPIECZNIEJSZYM systemem, bo KPP nie pozwala na instalację wielu użytecznych funkcji programów AV. Już teraz SecurityHooks nie przejdą. I nagle może się okazać, że XP z dobrym AV jest bezpieczniejszy od Visty z namiastką AV. Dodatkowo KPP można obejść – może to zrobić właśnie np. zaawansowany rootkit, który stosuje niedozwolone techniki. W tej sytuacji program AV jest na straconej pozycji, bo firmy produkujące AV NIE MOGĄ obchodzić KPP (wyraźna uwaga M$).

KPP na razie jest „strzałem w kolano” – jeżeli nie dla M$, to na pewno dla firm robiących software AV. Teraz M$ na szybkiego naprawia błąd i w SP1 do Visty daje jakieś API do KPP, by móc np. monitorować odpalane procesy, wątki itd. Ale mnie cały czas gnębi pytanie, co z rootkitem, który pominie KPP i zainstaluje się niżej niż ObRegisterCallbacks (nowa funkcja, dostępna właśnie od SP1, mająca być lekarstwem na całe zło)...

Marcin Gabryszewski

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

5 skomentuj »

Polecamy

Reklama

Komentarze

#1 Val 2008-07-07 09:48:23 0
Posługiwanie się zniekształconym skrótem "M$" to szczeniactwo. Aż dziw, że redakcja w ogóle publikuje takie teksty. Nie uchodzi.
None
#2 GaMar 2008-07-07 09:48:23 0
Trik poolega na tym że trzeba zapłacić Microsoftowi, by móć pisać w ogóle sterownki dla Visty64(zakup specjalnego certyfikatu).
None
#3 Matus 2008-07-07 09:48:23 0
dlatego M$ jest bardziej adekwatne niż MS
None
#4 Tomek 2008-07-07 09:48:23 0
Panu który to napisał proponuję spróbować napisać własny system, adekwatny do Windowsa, poszukamy ile będzie dziur w takim systemie.
None
#5 Krzychu2009 2009-02-14 19:15:25 0
ja uac zawsze przy instalacji wyłączam. Mam 6gb pamięci więc na 32 bitowej nie da rady. tam max 3,5-3,75 gb ech co do visty nie mam zastrzerzeń są programy co potrafią zniszczyć jądro systemu ale ich unikam jak ognia np. alkochol 120% czy stare programy co nie mają w obsłudze visty. Nie mam do niej zastrzerzeń lecz bez małego tuningu by zasmiecała za mocno dysk i spowalniała prace.
IP: 79.191.179.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.