Windows Vista i wirusy

Przeczytaj także: Dziurawa beta Windows Vista

Jak podkreśla autorka nie można poważnie traktować User Account Control jako ochrony przed złośliwymi programami. Istnieje duże prawdopodobieństwo, że funkcja, która drażni użytkownika, zostanie wyłączona. Użytkownik kliknie "zezwól" lub bez namysłu wprowadzi hasło administratora.

Z drugiej strony, User Account Control zapewnia dodatkowy poziom bezpieczeństwa użytkownikom z przywilejami "Administratora". Gdy aplikacja nie wymaga dużych przywilejów, zostanie uruchomiona z minimalnymi przywilejami, nawet z konta "Administratora". Luka w takiej aplikacji będzie mniej krytyczna niż luka w aplikacji działającej z dużymi przywilejami.

Inną rzeczą przemawiającą na korzyść User Account Control jest to, że istnieje niewielka liczba wirusów, które przechwytują ostrzeżenia zapory ogniowej lub innego rozwiązania służącego do zapewnienia bezpieczeństwa o podejrzanym zachowaniu. Złośliwe programy tego typu "klikają" odpowiedni przycisk, w wyniku czego rozwiązanie zezwala na takie czynności. Okno wyświetlane jest na ekranie tak szybko, że użytkownik nie zdąży go zauważyć. Microsoft oferuje ochronę przed takimi zagrożeniami w postaci Secure Desktop: okno wymagające większych uprawnień przyjmuje tylko hasło wprowadzone przez użytkownika jako potwierdzenie zezwolenia na wykonanie czynności.

Jak podkreśla autorka, nie wolno zapominać, że każdy rodzaj ochrony można obejść, dlatego też zalety tej nowej warstwy ochrony zależą od warunków i jak pokazuje praktyka, mają charakter tymczasowy. Istnieje kilka oczywistych i dość niebezpiecznych sposobów na obejście User Account Control, które z oczywistych względów nie zostaną opisane.

Ochrona jądra systemu Vista

1. PatchGuard
Jądro Visty (tylko dla platform 64-bitowych) jest, jak twierdzą twórcy, zabezpieczone przed modyfikacjami. Ma to ogromne znaczenie, biorąc pod uwagę fakt, że rootkity w trybie jądra stają się coraz bardziej rozpowszechnione.

Rootkit w trybie jądra to złośliwy program, który ukrywa swoją obecność w systemie poprzez modyfikowanie danych jądra, lub zbiór narzędzi, które umożliwiają maskowanie obecności innego programu.

Funkcja PatchGuard monitoruje modyfikacje tablicy usług i tablicy deskryptora jądra. Na pierwszy rzut oka wydaje się, że rozwiązuje to problem trojanów maskujących swoją obecność w systemie. Jednak, w przypadku PatchGuard trudno mówić o "poważnej" ochronie przed rootkitami. Funkcja ta z samej swej natury zawiera słabe punkty, o czym świadczą udokumentowane metody wyłączenia ochrony. Główna "słabość" PatchGuard dotyczy architektury: kod, który ma zapewniać ochronę, wykonywany jest na tym samym poziomie co kod, który ma być chroniony oraz kod, przed którym PatchGuard ma chronić. Ochrona ta ma te same uprawnienia co potencjalna osoba atakująca i można ją obejść lub wyłączyć. Sposoby wykorzystania lub wyłączenia PatchGuard są już znane.

Oprócz tego, że PatchGuard zapewnia wątpliwą ochronę przed rootkitami modyfikującymi jądro, istnieją jeszcze inne rodzaje rootkitów, przed którymi ochrona ta nie oferuje zabezpieczenia. Monitorowanie PatchGuard odnosi się do statycznych struktur jądra o znanej zawartości (SST, IDT oraz GDT), nie może natomiast chronić struktur dynamicznych, tzn. wszystkiego, co nie znajduje się na poziomie jądra. Przykładem rootkita, który modyfikuje struktury dynamiczne, jest dobrze znany rootkit FU. Rootkity wykorzystujące technologię wirtualną będą zlokalizowane "głębiej" niż poziom jądra, dlatego nie będą dostępne poprzez jądro.