Napi Online

Mennyire biztonságos a Vista?

Bár a minél teljesebb kompatibilitás érdekében kompromisszumokat is kellett kötni, azért a Windows Vista külön kategóriát jelent a Microsoft asztali rendszerei között - állítja Szabó Gábor, a Microsoft Magyarország biztonsági szakértője. Mint elmondta, ma már olyannyira a fókuszba került az operációs rendszerek biztonsága, hogy ezeknél jóval több veszélyt rejtenek az egyedileg fejlesztett alkalmazások.

Szemben a Windows 95-tel és utódaival, amelyek a biztonsági szakembereket még hangos kacajra fakasztották, az NT és leszármazottai egyre inkább megfeleltek a biztonsági elvárásoknak. A Vistáról pedig az olvasható a Microsoft honlapján, hogy az eddigi legerősebb védelemmel rendelkezik. Hogyan sikerült ezt elérni?
- A Microsoft még 2002 elején indította el Trustworthy Computing (TwC) programját, főként azért, hogy válaszoljon az akkorra már kritikussá váló biztonsági kihívásokra. A TwC egyik alappillére a Secure Development Lifecycle (SDL), ami röviden annyit jelent, hogy valamennyi 2002 utáni Microsoft-alkalmazás fejlesztésekor a biztonság az egyik legfontosabb alapelv. Nemcsak az a fontos ugyanis, hogy egy alkalmazás újabb funkciókat tartalmazzon a megelőző verzióhoz képest, hanem biztonságosnak is kell lennie.

Az XP-t is megerősítették ezen elvek alapján.
- A Windows XP két évvel a TwC előtt született, ezért annak fejlesztése során a TwC által lefektetett biztonsági irányelvek még nem kaptak olyan hangsúlyt, mint a Vista esetében. De a Windows XP életpályáján is megtaláljuk az SDL első eredményeit, a második szervizcsomagban. Itt jelentek meg először a biztonságra hangolt alapbeállítások. A Windows Vista azonban már e szellemben készült, és már a szoftver tervezésekor is a biztonság volt az egyik legfontosabb szempont.

A "secure by default" és a "secure by design" - ahogy az előbb említett két irányelvet a művelt informatikusok emlegetik - mit jelent konkrétan a Vista esetében?
- A legfontosabb, hogy a teljes rendszermagot, a kernelt újraírták. Az egyes hardverelemekhez tartozó meghajtóprogramok sok esetben ellenőrizhetetlen forrásból származnak, és akár kártékony, hibás kódot is rejthetnek. Az ilyen módon terjedő rosszindulatú kódok kiszűrésének egyik lehetséges módja, hogy csak ellenőrzött forrásból származó meghajtókat használunk.

Ez azért különösen fontos, mert a meghajtók kernel-módban futnak. Míg egy felhasználói módban futó kód hiba esetén csak a programot fagyasztja le, egy kernel-módban futó kód a rendszer stabilitását veszélyezteti, ami a "kék halálhoz" vezethet. Pedig leggyakrabban egy olyan eszközmeghajtó okozta a leállást, amelyhez a Microsoftnak semmi köze. A magas minőségi követelményeknek a kötelezővé tétele - a piacon már régóta futó 32 bites rendszerek miatt - azonban nem könnyen kivitelezhető, hiszen a jelenlegi meghajtóprogramok jelentős része - még neves gyártók esetében is - aláíratlan, így ellenőrizhetetlen azok eredetisége. Az inkompatibilitást elkerülendő, az aláírt kernel-módú eszközmeghajtók csak a 64 bites Vista-verzió esetén kötelezőek.

Ebben az esetben minden, kernel-módban futó kódnak digitális aláírással kell rendelkeznie, ami egyértelművé teszi, ki a program kiadója, továbbá hogy a kód eredeti és azt senki nem változtatta meg. Windows Vista x64 esetén a nem aláírt, kernel-módú kód nem töltődhet be - még rendszergazdai jogosultsággal sem.

Ezek szerint itt engedményt kellett tenniük a biztonság rovására.
- Igen, egy kevés engedményt kellett tennünk, hogy a régebbi eszközök működhessenek a Vista alatt is. A 32 bites változatban az aláírt kód használata nem kötelező, kivéve a jogvédett tartalmak lejátszásához szükséges meghajtók esetében. De hogy ezen a téren mégiscsak legyen előrelépés, bevezettük a kernel-védelmet, amit Kernel Patch Protectionnak, vagy más néven PatchGuardnak nevezünk.

Ez egyébként nem kifejezetten új technológia, ugyanis még a Windows Vista előtt, a 64 bites Windows Server 2003 Service Pack 1-ben debütált, és megtalálható a Windows XP Professional x64-ben is. Tovább fokozza a Vista biztonságát az is, hogy a betöltődő meghajtóprogramok véletlenszerűen helyezkednek el a memóriában, hogy az esetleges - tipikusan veremtúlcsordításos - támadások ne tudják pontosan memórián belüli elhelyezkedésüket, és ne tudják kihasználni az esetleges sérülékenységet.

Értem. Tegyük fel, hogy az operációs rendszer biztonsága közelít a tökéleteshez. Nekem azonban az a tapasztalatom, hogy ha az XP-re nem telepítget a felhasználó össze-vissza mindent fel, akkor a rendszer stabilitásával nincs gond. A Vista stabilabb lesz?
- Biztosan stabilabb lesz, mert a korábban elmondottak értelmében a rendszer védi a saját integritását. Sőt, a Vistában a rendszergazda olyannyira nem rendelkezik mindenható jogokkal, hogy egyes fontos összetevőket a rendszer nem enged kitörölni a legmagasabb jogosultsággal sem. Amit a kérdése első részében állít, azzal egyetértek. Nem mindig, sőt egyre kevésbé az operációs rendszerekben, inkább az alkalmazásokban lévő hibák a gyakoriak, az egyre kritikusabbak. Sokszor a házon belül fejlesztett programok ütnek rést az operációs rendszer pajzsán. A Vista esetében ez sem okozhat katasztrófát.

Mivel próbálják meg tovább fokozni szoftvereik biztonságát?
- Kevés olyan cég van, amelyik a titkolózás helyett nyíltan vállalja az esetlegesen feltárt hibákat. A Microsoft az egyik ilyen. Az ingyenes értesítő szolgáltatással a Microsoft saját termékeivel kapcsolatos biztonsági információkat juttat el az igénylőknek. A szolgáltatás célja pontos és hiteles információk biztosítása a felhasználóknak, amelyek alapján tájékozódhatnak és megvédhetik rendszerüket a támadásoktól.

Biztonsági munkacsoportunk a közvetlenül a Microsoftnak jelentett hibákat, illetve az ismert biztonsági hírcsoportokban felmerülő kérdéseket egyaránt megvizsgálja. Ingyenes programokkal segítjük a védekezést a kártevők ellen, ilyen szoftver például a Windows Defender vagy az Internet Explorer adathalász szűrője. Vannak kevésbé látványos biztonsági megoldásaink is. Például minden egyes frissítés telepítésekor lefut a háttérben egy rosszindulatú szoftvereket eltávolító program.

Újdonság az is - és néhány hónapja Magyarországon is bevezette a Microsoft -, hogy a lopott, vagy szebben mondva másolt szoftverek nem frissülnek. Így az otthoni, biztonsági szempontból amúgy is elhanyagoltabb számítógépek lesznek a támadások fő célpontjai, majd zombigéppé válva, a forrásai. Jó lépés volt a frissítések szelektálása?
- Azt azért tudni kell, hogy a kritikus biztonsági frissítéseket továbbra is letölthetővé tesszük mindenki számára. Az említett korlátozást azon vállalatok miatt kellett megtennünk, amelyek még mindig használnak illegális szoftvert. Ezeknek a vállalatoknak a saját érdekükben is rá kell ébredniük a jogtiszta szoftverek előnyeire.

A jövőben a biztonság a számítástechnikai iparág legnagyobb és legfontosabb kihívásai közé tartozik. Nem oldható meg annyival, hogy befoltozunk pár rést, aztán továbblépünk. A vírusok és a férgek károkozásának elfogadható szintre történő csökkentéséhez alapvetően meg kell változtatni a szoftverek minőségéről való elképzeléseinket, folyamatosan fejlesztenünk kell az eszközöket és az eljárásokat, és állandóan további összegeket kell áldoznunk olyan új, ellenálló biztonsági technológiák kialakítására, amelyek még azelőtt útját állják az ártalmas és kártékony programoknak, mielőtt azok kifejthetnék romboló hatásukat.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • MrImy #116
    Akar a fene programot futtatni!
    Célt akarok elérni és a cél elérése lehet, hogy programok futtatását is megköveteli. Windows-os program esetén az ember joggal várja el, hogy windows alatt működjön azaz Vista alatt is meg Win98 alatt is.
    Mondjuk a Linuxnál is előfordulnak inkompatibilitási problémák, csak ott a "frissítés" ingyen van.
    Minden esetre ez az erőltetett dolog, hogy mindenholy megkövetelik a Windows Használatát ott is ahol erre egyáltalán nem lenne szükség pl. Középiskola, Általános. Oda nem vonatkozik a Campus nem igaz?
    Kicsit DEJA VU érzésem van a Vistaban.
    Az élsimítás a betűtípusoknál.
    A Linux alatt egészen biztos hogy a betűtípusok élsimítása csak akkor lép életbe, ha újra bejelntkezünk, vagy az adott alkalmazást újraindítjuk.
    A Vista esetén ugyanez a helyzet.
    Csak nem az X.org motort használja?
  • remark #115
    "Esélyed sincsen a kettő között kiadni terméket, hála az opensource-nak."
    "erre vannak a template-ek, ehhez semmi szükség sem opensource-ra, sem amögé bújó mammutvállalatokra (pl ibm) akiknek segitségével irtják ki a kis cégeket."

    Mindezt azok utan hanytorgatja fel az MS az OpenSource kozossegnek hogy o a mamutta valasa soran szepen lassan kinyirt egy nagy kupac ceget...
  • remark #114
    "ez nem hit kérdése, ez tény. Nézzél már körül a világban, hol találsz olyan helyet ahol win-es tudás nélkül felvesznek?"

    Nemreg meg fentvolt a Greenpeace oldalan egy allasajanlat. Az amsterdami nemzetkozi kozpontba, de nem emlekszem pontosan mire, az Open Source alapokon nyugvo gepparkjukhoz kerestek valakit.
    Szamtalan allas van amihez eleg az hogy mar lattal windows-t.
  • Match #113
    "Kikérem magamnak az óvodást, ott még nem járok."

    Akkor talán ne írj ekkora éretlen dolgokat: "És szőrös már?"!


    Ezt poénnak szántam, úgy látszik nem jött be.

    Azonban jelen esetben, néhány fanatikust és az MS számára ellenséges mamut céget leszámítva senkinek sem érdeke, hogy tönkre mennyen az MS.


    Ki mondta hogy menjen tönkre? Attól hogy szídom a rendszereiket, mert rákényszerítenek (vagy így, vagy úgy) és a vasamnál fogva elég sokszor ellehetetlenítik az életemet még nem kívánok atomot redmondra.


    A többire, meg valamenyíre az előzőekhez is csak annyít, hogy azért írom le a rendszer működését, hogy mások is megértsék és esetleg ne írjanak később égbekiáltó hülyeséget, mint kifogást a Vista ellen.


    Ehhez már egyszer írtam, hogy ez népsport. De végülis nemes cél, csak fölösleges fáradoznod, mert 100 emberből aki olvas, 98 úgyis csak a felmenőidet fogja szídni.

    Egyébként ha ie7-et használsz, akkor ajánlom a firefox 2-t, van benne helyesírás-ellenőrző is. Kicsit sok memóriát zabál, de ha vistára telik, akkor marad erre is.
  • turul16 #112
    Lentebb írtam, hogy MS. fontok kellenek az OOo -hoz, hogy MS kompatibilis legyen a doksi. Nos RedHat most tett közzé ingyenes, kompatibilis fontokat.
    "The fonts are currently released under the GNU Lesser General Public License (LGPL),"
  • turul16 #111
    "leg rosszabb esetben .exe és .dll nézegetéssel jár."
    kernel:
    Leg roszabb esetben forrás kód nézegetés szerintem még mindig jóval barátságosabb, tekintve megjegyzések beszédesebbek, bár sok kernelel foglalkozó oldalon mindig van cikk, a kernel új beálításairól.
    Reverse enegineringel, hogy áll License ?

    Szerverek:
    Config file teljesen dokumentált.

    Gnome Desktop: beálításai egy gconf-editorbol érhetőek el, amik mezei gui-n nincsenek kivezetve azok is, ez nagyából egy regeditre hasonlít, azzal a szerintem lényeges eltéréssel, hogy a mezők dokumentálva vannak helyben is.
  • A1274815 #110
    "Mellesleg, Hol van dokumentálva registry ?"

    Részleges dokumentációt, rendszer adott tulajdonságainak a beállításáról, általában találni az MSDN-nen, de soha sem szükséges a regitry-t folyton buherálni. A kulcsok egy részének illetve a változóknak beszédes nevük, illtve elérési utvonaluk van. A {121232-...-167654} típusú regitry kulcsokban, pedig vagy szerepel valami leírást tartalmazó változó vagy a registry többi részéről kell kideríteni, leg rosszabb esetben .exe és .dll nézegetéssel jár.
  • A1274815 #109
    "... de a registry-ben lévő beállítások többsége elérhető GUI-ról, ami nem erélhető azzal általában jobb nem is kisérletezni."

    Ezt kicsit elcsesztem. Úgy értettem, hogy ami GUI-ról nem érhető el, az a registry-ből még elérhető.
  • turul16 #108
    Mivelhogy szinte minden beállítás a registribe kerül :)
    Többség szerintem nem elérhető. Mellesleg, Hol van dokumentálva registry ?
  • A1274815 #107
    "Azért mert lassú,..."

    Driver függő. majd lesz jobb is.

    "... nem biztonságos,..."

    Ez így azért érdekes kijelentés, de legyen.

    "...időpazarló,..."

    Hát ez attól függ mit értesz alatta.

    "... helypazarló ..."

    Ez sajnos 100%-ig igaz.

    "... stb."

    Ez pedig tényleg érdekes lett volna.

    "A Vista 5 év múlva használható lesz talán. De a 3 is reálisnak tűnik."

    Én kb. max 1,5-re tippelek, bár már most is használható, ha nem akar kizárólag Vista inkompatibilis programokat futtatni, vagy ha számít az a néhány FPS különbség játékoknál.