Vista и антивирус: а что если Оллчин прав?

Давайте для начала исправим возникшие неправильные мнения, возникшие после нашей статьи, комментирующей заявления Джима Оллчина, сделанные им во время телефонной конференции в прошлую среду, в которой шла речь о выпуске Windows Vista в производство.

Для начала, нужно заметить, что Джим Оллчин никогда не советовал пользователям не устанавливать антивирус. Он сказал, что он настолько уверен в новой «Defense-in-Depth» архитектуре Windows и отказоустойчивости к определённым обстоятельствам, что позволил члену семьи работать с ОС без антивируса. Этим он хотел сказать, что при работе с новой ОС может быть не использован антивирус, но только в случае такого узкого круга пользования ПК.

«Вау! Ты описываешь определённую ситуацию, а люди вдруг переделывают написанное тобой, придавая ему абсолютно другой смысл»,- написал в своём блоге Оллчин в пятницу.

И тут я с ним полностью согласен. Вследствие изменения смысла получалось, что президент Microsoft советовал пользователям Vista выключить свои антивирусы, чем понизить уровень безопасности ПК. При распространении этой истории, ясное дело, у многих читателей возникло впечатление, что Оллчин, на самом деле, не мог дать такой совет, и поэтому решили исправить мнение наших читателей, и некоторых коллег.

Как известно, некоторые ресурсы опубликовали информацию, что на BetaNews опубликован материал, в котором Джим Оллчин советует пользователям Windows Vista не использовать антивирус, хотя он такого не говорил, и как следствие, мы такого не писали. В результате, на выходных мы написали Оллчину письмо, в котором просили помочь исправить сложившуюся ситуацию.

Один блог, процитировал заявление Оллчина, комментируя это тем, что таким образом Microsoft бросает вызов авторам malware, чтобы те написали какой либо вирус, пока идёт конференция. Опять же, ни мы, ни Оллчин такого не говорили и не имели в виду.

Основная суть заявления Оллчина – в Vista можно работать без антивируса, но только при осторожном использовании.

Сейчас вы, наверное, переваривши эту информацию, можете подумать: «А какая разница?». Для начала, я бы хотел обратить ваше внимание, на то что, было сказано, а что нет, учитывая то, какой шум был поднят вокруг этой истории. Почему многие моментально решили, что ОС сможет работать без антивирусного ПО?

Другими словами: «А что если Оллчин прав?».

Как мы знаем, вирус должен быть, по определению, запущен незамеченным, с правами, которых у него быть не должно, загружая данные, которые могут нанести вред ПК и размножая себя по сети, используя пользовательское невежество.

С целью предотвращения запуска malware при таких условиях, Microsoft специально для Windows Vista разработала множество новых технологий, одна из которых User Account Control (UAC).

Бета-тестеры уже имели опыт общения с данной технологией, причём не всегда приятный. Она – бич, но бич полезный. Фактически, это система, которая запускает программы с пониженными пользовательскими правами, то есть без прав администратора. Power User канул в лету в Vista и Windows Server 2003 R2.

Когда приложение способно внести изменения в систему, которые могут повлиять на работоспособность ОС, Windows приостанавливается – доступ к сети блокирован, и все остальные приложения приостановлены, экран становится полутёмный, за исключением диалогового окна, которое запрашивает разрешение пользователя на исполнение программы.

Суть в том, что вы не можете избежать появления данного окна, так как любой процесс, вносящий изменения в систему, должен себя идентифицировать. Вы думаете, что всё, что теперь осталось научиться делать вирусам – идентифицировать себя как «Очень важный системный процесс», хотя, вы должны понять, что теперь любое приложение должно идентифицироваться силами ОС, чтобы не вызывать окно UAC. То есть, приложение не сможет идентифицировать себя как Word, если это, в самом деле, не Word.

Для приложений предыдущих поколений (Windows XP, и ранее) Microsoft сейчас разрабатывает инструмент, который позволит им думать, что они записывают свои данные в реестр и системные папки, хотя на самом деле, это их виртуальные копии, запущенные в безопасной среде.

Ясное дело, что авторы malware, конечно же, не желающие столкнуться с новыми функциями безопасности, будут пытаться использовать самую слабую часть системы – поддержку ПО предыдущего поколения. И, в таком случае он обнаружит, что его malware запущено в виртуальной среде, которая не будет соединена с реальной без согласия пользователя.

Также, во время конференции Оллчин упомянул о еще одной новой функции безопасности, которую практически никто не освещал. Для вирусов, которые внедряют себя в специфические, непроверяемые области памяти Windows, технология Address Space Layout Randomization (ASLR) превращает ядро ОС в своеобразный кубик Рубика, разбивая его на куски и загружая каждый раз в другое, случайно выбираемое, адресное пространство.

Единственный спор по поводу ASLR, который возник на моей памяти, был на прошлой неделе, и суть которого заключалась в том, что Microsoft не была первооткрывателем ASLR, на что я хочу ответить фразой заимствованной у своих друзей из Linux сообщества: Если всё работает, кому какая разница?

Если это работает - это для определённого числа наших читателей не будет причиной полностью довериться данной технологии. К концу десятилетия уязвимости Windows и приложений были позорны и смешны, а оправдания были еще более смешными и банальными. Усиление безопасности Windows было необходимостью, даже учитывая, что у данной компании фактически нет конкурентов и соперников. Если мы обратим своё внимание на Linux и Mac, то увидим, что у Microsoft не было другого выбора, кроме серьёзного реинженеринга Windows.

Если бы еще место, я отступил от этой темы, и подискутировал бы на тему, что Microsoft специально разрабатывает небезопасную архитектуру Windows. Делается это, якобы, из-за обязательств компании, во имя справедливости, перед конкурентами, желающими разрабатывать свои продукты для исправления безопасности Windows. Но оставим эту тему для другого раза.

В то же время, не смотря на всю суматоху и шум, который принёс нам 21 век, процесс избиения Microsoft является чем-то вроде национального времяпровождения. И поэтому, они не способны понять, что этими нововведениями в ОС, компания явно откинула вирусописателей назад, к дизайну, а может быть, еще дальше, отправила их к родителям, чтобы те дали денег на новую дизайн-программу.

Мы настолько привыкли к тому, что IT пресса критикует Microsoft, что даже если мы постараемся, мы не найдём того, когда это началось. Это превратилось в рефлекс, повторяющийся у каждого, и это очень неприятно смотрится.

Перспектива того, что я смогу позволить своим детям использовать ОС с разнообразными технологиями защиты, UAC, родительским контролем и вирусо-блокирующей архитектурой – всё равно кто изобрёл это первым, но это значит, что в течение следующих нескольких лет, я смогу не надеяться на стороннее ПО, снижающее производительность, снижающее уровень безопасности ОС и позволяющее нанести вирусам вред, о котором они и не мечтали раньше, так что я смотрю в будущее с большим энтузиазмом.

«Моя цель – донести до вас, важность defense-in-depth в Windows Vista, суть которой в двух основных особенностях – комбинировании защиты и эффективности»,- написал Джим Оллчин в своём блоге.

Шесть лет назад, когда я был председателем по безопасности на конференции разработчиков на COMDEX, я спросил у основных игроков индустрии, что должна сделать Microsoft, чтобы изменить общественное мнение, и поставлять действительно безопасную ОС. Основная суть рассуждений сводилась к следующему:

Ядро должно быть переделано с бдительным учётом запускаемых процессов и сбалансированной проверкой. И это вполне реально. Если это произойдёт, я думаю, будет больше утомлённых и расстроенных, с вырванными клочками волос, пользователей, которые с чувством гордости кликнут на «Добавлении/удалении программ», и таким образом откроют для себя новый мир. Это конечно если еще интересуетесь чьим-то мнением.
Действительно, маловероятно что такое когда-нибудь произойдёт, но если и случится, то мы должны будем сказать Джиму хотя бы спасибо.

Источник: http://www.betanews.com
Перевод: prymara