PatchGuard: угроза руткитам или угроза антивирусам?

Когда Microsoft представила Vista, компания сообщила о серьезных изменениях в принципе работы Windows. Возможно, самым заметным из этих изменений была функция под названием PatchGuard.

Она была разработана с целью создания более безопасного компьютерного окружения, но стала причиной дискуссий между производителями и пользователями. В данной статье мы протестируем PatchGuard и узнаем, почему несмотря на спорную реализацию, данная функция помогает сделать Windows более безопасной.

Перед тем, как начать тестировать PatchGuard, необходимо поговорить о внесении изменений в ядро. Внесение изменений или исправлений в ядро, также известный как подключение к ядру, - процесс по модифицированию поведения ядра операционной системы или перехвату определенных событий. Некоторые производители продуктов по обеспечению безопасности, в частности McAfee и Symantec, используют подключение к ядру для реализации своих антивирусных служб, защиты ОС и своих приложений путем перехвата обращений и блокирования потенциально вредоносных процессов и служб.

PatchGuard, иначе известная как Kernel Patch Protection, стала причиной дискуссий потому, что блокирует такой тип модификации операционной системы. PatchGuard проводит мониторинг кода ядра и системных ресурсов, используемых ядром, и инициирует автоматическое выключение системы в случае обнаружения неавторизированных изменений.


PatchGuard и защита от руткитов
У Microsoft есть серьезная причина, чтобы блокировать ядро ОС: предотвращение работы руткитов. По сути дела, руткит - вредоносный файл, который позволяет реализовать доступ к компьютеру или сети с администраторскими правами. Так как руткиты подключаются к ядру, это повзоляет им избегать обнаружения, при этом они имеют неограниченный доступ ко всем ресурсам системы.

В 2005 году весь мир узнал, что Sony BMG Music Entertainment использовала ПО для защиты от копирования на основе руткита. Руткит от Sony использовал подключение к ядру, чтобы препятствовать и блокировать попытки записи копий диска. Чтобы заблокировать возможность руткитам или другому вредоносному ПО подключаться к ядру, Microsoft усилила защиту своего ядра с помощью PatchGuard.


Является ли PatchGuard средством обеспечения безопасности?
Сторонние производители программного обеспечения, в частности разработчики антивирусов и продуктов по обеспечению безопасности бурно возмущались тем, что они не будут иметь возможности подключатся к ядру, что, в свою очередь, привело бы к необходимости созданию их программного обеспечения с нуля. Они заявляли, что блокируя независимых разработчиков Microsoft может оставить ядро открытым для атак вредоносного ПО. Как и любая функция безопасности PatchGuard неидеальна, но вместе с тем сможет выявить манипуляции с ядром вне зависимости от того, кто их проводит - вредоносное или антивирусное ПО, так что возмущения антивирусных компаний о том, что данная технология блокирует только хороших парней бессмысленны.

Некоторые производители продуктов безопасности до сих пор заявляют, что без неограниченного доступа к системному ядру они не могут проводить комплексные функции, необходимые для предотвращения вторжений в систему. По определению - системы предотвращения вторжений должны уметь проводить мониторинг и анализ всего, что входит и выходит из компьютера, а также всех запускаемых служб и процессов, включая те, которые принадлежат ядру, чтобы иметь возможность правильно их оценить и соответствующе отреагировать. Производители продуктов по обеспечению безопасности должны развить свои модели безопасности так, чтобы полностью доверять ядру и инспектировать все другие процессы и события, при этом Microsoft уже работает с производителями продуктов безопасности над новыми API, которые бы позволили им работать с ядром в авторизированном режиме.

Хотя стратегия Microsoft вынуждает производителей продуктов безопасности изменить способы защиты компьютеров, кажется бессмысленным просить Microsoft нарочно оставить ядро открытым, чтобы облегчить производителям ПО для обеспечения безопасности защитить ОС. В конечном итоге, PatchGuard - взаимоисключающее условие для для индустрии программного обеспечения для организации защиты: пользователи Windows и независимые разработчики в одинаковой степени требовали, чтобы Microsoft встроила больше функций безопасности в Windows, результатом чего стала функция PatchGuard. Однако, несмотря на то, что внутренне Windows стала безопасней, PatchGuard вынудил некоторых производителей переосмыслить свою стратегию безопасности Windows после того, как они потеряли возможность модифицировать ядро операционной системы. Некоторые производители антивирусов, к примеру Sophos, поддерживают новую модель безопасности Microsoft и заявляют, что их конкуренты тратят время на войну с Microsoft, вместо того, чтобы разрабатывать работающие программы. Хорошо то, что PatchGuard реализована только в х64-редакциях Windows Vista, доля которой на рынке растет, но которой пользуется малая толика от общего процента пользователей Windows Vista.

В компаниях суть проблемы отпадает, так как они доверяют Microsoft самой создавать продукты безопасности. При условии, что ядро действительно защищено PatchGuard, Microsoft надеется, что большая часть того, что реализуют независимые разработчики не будет необходима. У разработчиков продуктов безопасности есть несколько успешных разработок по обходу PatchGuard, которые предполагают, что атакующие также смогут обойти PatchGuard. Компании, которые используют Vista х64 и полагаются на PatchGuard, должны удостоверится в том, что у них установлены новейшие обновления от Microsoft, чтобы смочь избежать таких атак. Однако, они также должны заставить своего производителя продуктов по обеспечению безопасности рассказать компании, как их продукт работает с PatchGuard и нет ли какого-либо сокращения функциональности или уровня безопасности из-за нарушенной безопасности ядра, обеспечиваемой PatchGuard.

Вместо того, чтобы толкать Microsoft к тому, чтобы вернуться к более слабой модели безопасности, оставив ядро ОС открытым, компании должны поощрять своих разработчиков продуктов по обеспечению безопасности разрабатывать продукты, которые смогут работать в тандеме с PatchGuard. Производителям необходимо постоянно обновлять свой подход к безопасности и адаптироваться к изменения в самой Windows. Им нужно методично эволюционировать в понимании того, что необходимо защищать и как это делать, а разработчикам необходимо сотрудничать с Microsoft, чтобы получить необходимую им функциональность. Но гораздо разумнее потребовать, чтобы независимые разработчики развивали свое видение безопасности вместе с Microsoft вместо того, чтобы требовать, чтобы Microsoft стала инертной или вернулась к менее безопасным системам.


Безопасность ядра
Ядро - это сердце и душа операционной системы. В то время, как малейшая ошибка при внесении изменений в ядро может привести к нестабильности и ненадежности системы, наличие руткита, скрыто ингегрированного в ядро операционной системы, чтобы избежать его обнаружения самой операционной системой или сторонними продуктами безопасности - намного больший риск для компаний. Именно по этой причине PatchGuard представляет собой наиболее эффективный способ борьбы с сегодняшним вредоносным ПО и наиболее совершенной защитой ядра.


Источник: http://searchsecurity.techtarget.com
Перевод: Zloy Kak Pё$