Опрос
Вы участвуете в программе Windows Insider?
Популярные новости
Обсуждаемые новости

Vista и антивирус: а что если Оллчин прав?

Напечатать страницу
22.11.2006 19:19 | prymara

Давайте для начала исправим возникшие неправильные мнения, возникшие после нашей статьи, комментирующей заявления Джима Оллчина, сделанные им во время телефонной конференции в прошлую среду, в которой шла речь о выпуске Windows Vista в производство.

Для начала, нужно заметить, что Джим Оллчин никогда не советовал пользователям не устанавливать антивирус. Он сказал, что он настолько уверен в новой «Defense-in-Depth» архитектуре Windows и отказоустойчивости к определённым обстоятельствам, что позволил члену семьи работать с ОС без антивируса. Этим он хотел сказать, что при работе с новой ОС может быть не использован антивирус, но только в случае такого узкого круга пользования ПК.

«Вау! Ты описываешь определённую ситуацию, а люди вдруг переделывают написанное тобой, придавая ему абсолютно другой смысл»,- написал в своём блоге Оллчин в пятницу.

И тут я с ним полностью согласен. Вследствие изменения смысла получалось, что президент Microsoft советовал пользователям Vista выключить свои антивирусы, чем понизить уровень безопасности ПК. При распространении этой истории, ясное дело, у многих читателей возникло впечатление, что Оллчин, на самом деле, не мог дать такой совет, и поэтому решили исправить мнение наших читателей, и некоторых коллег.

Как известно, некоторые ресурсы опубликовали информацию, что на BetaNews опубликован материал, в котором Джим Оллчин советует пользователям Windows Vista не использовать антивирус, хотя он такого не говорил, и как следствие, мы такого не писали. В результате, на выходных мы написали Оллчину письмо, в котором просили помочь исправить сложившуюся ситуацию.

Один блог, процитировал заявление Оллчина, комментируя это тем, что таким образом Microsoft бросает вызов авторам malware, чтобы те написали какой либо вирус, пока идёт конференция. Опять же, ни мы, ни Оллчин такого не говорили и не имели в виду.

Основная суть заявления Оллчина – в Vista можно работать без антивируса, но только при осторожном использовании.

Сейчас вы, наверное, переваривши эту информацию, можете подумать: «А какая разница?». Для начала, я бы хотел обратить ваше внимание, на то что, было сказано, а что нет, учитывая то, какой шум был поднят вокруг этой истории. Почему многие моментально решили, что ОС сможет работать без антивирусного ПО?

Другими словами: «А что если Оллчин прав?».

Как мы знаем, вирус должен быть, по определению, запущен незамеченным, с правами, которых у него быть не должно, загружая данные, которые могут нанести вред ПК и размножая себя по сети, используя пользовательское невежество.

С целью предотвращения запуска malware при таких условиях, Microsoft специально для Windows Vista разработала множество новых технологий, одна из которых User Account Control (UAC).

Бета-тестеры уже имели опыт общения с данной технологией, причём не всегда приятный. Она – бич, но бич полезный. Фактически, это система, которая запускает программы с пониженными пользовательскими правами, то есть без прав администратора. Power User канул в лету в Vista и Windows Server 2003 R2.

Когда приложение способно внести изменения в систему, которые могут повлиять на работоспособность ОС, Windows приостанавливается – доступ к сети блокирован, и все остальные приложения приостановлены, экран становится полутёмный, за исключением диалогового окна, которое запрашивает разрешение пользователя на исполнение программы.

Суть в том, что вы не можете избежать появления данного окна, так как любой процесс, вносящий изменения в систему, должен себя идентифицировать. Вы думаете, что всё, что теперь осталось научиться делать вирусам – идентифицировать себя как «Очень важный системный процесс», хотя, вы должны понять, что теперь любое приложение должно идентифицироваться силами ОС, чтобы не вызывать окно UAC. То есть, приложение не сможет идентифицировать себя как Word, если это, в самом деле, не Word.

Для приложений предыдущих поколений (Windows XP, и ранее) Microsoft сейчас разрабатывает инструмент, который позволит им думать, что они записывают свои данные в реестр и системные папки, хотя на самом деле, это их виртуальные копии, запущенные в безопасной среде.

Ясное дело, что авторы malware, конечно же, не желающие столкнуться с новыми функциями безопасности, будут пытаться использовать самую слабую часть системы – поддержку ПО предыдущего поколения. И, в таком случае он обнаружит, что его malware запущено в виртуальной среде, которая не будет соединена с реальной без согласия пользователя.

Также, во время конференции Оллчин упомянул о еще одной новой функции безопасности, которую практически никто не освещал. Для вирусов, которые внедряют себя в специфические, непроверяемые области памяти Windows, технология Address Space Layout Randomization (ASLR) превращает ядро ОС в своеобразный кубик Рубика, разбивая его на куски и загружая каждый раз в другое, случайно выбираемое, адресное пространство.

Единственный спор по поводу ASLR, который возник на моей памяти, был на прошлой неделе, и суть которого заключалась в том, что Microsoft не была первооткрывателем ASLR, на что я хочу ответить фразой заимствованной у своих друзей из Linux сообщества: Если всё работает, кому какая разница?

Если это работает - это для определённого числа наших читателей не будет причиной полностью довериться данной технологии. К концу десятилетия уязвимости Windows и приложений были позорны и смешны, а оправдания были еще более смешными и банальными. Усиление безопасности Windows было необходимостью, даже учитывая, что у данной компании фактически нет конкурентов и соперников. Если мы обратим своё внимание на Linux и Mac, то увидим, что у Microsoft не было другого выбора, кроме серьёзного реинженеринга Windows.

Если бы еще место, я отступил от этой темы, и подискутировал бы на тему, что Microsoft специально разрабатывает небезопасную архитектуру Windows. Делается это, якобы, из-за обязательств компании, во имя справедливости, перед конкурентами, желающими разрабатывать свои продукты для исправления безопасности Windows. Но оставим эту тему для другого раза.

В то же время, не смотря на всю суматоху и шум, который принёс нам 21 век, процесс избиения Microsoft является чем-то вроде национального времяпровождения. И поэтому, они не способны понять, что этими нововведениями в ОС, компания явно откинула вирусописателей назад, к дизайну, а может быть, еще дальше, отправила их к родителям, чтобы те дали денег на новую дизайн-программу.

Мы настолько привыкли к тому, что IT пресса критикует Microsoft, что даже если мы постараемся, мы не найдём того, когда это началось. Это превратилось в рефлекс, повторяющийся у каждого, и это очень неприятно смотрится.

Перспектива того, что я смогу позволить своим детям использовать ОС с разнообразными технологиями защиты, UAC, родительским контролем и вирусо-блокирующей архитектурой – всё равно кто изобрёл это первым, но это значит, что в течение следующих нескольких лет, я смогу не надеяться на стороннее ПО, снижающее производительность, снижающее уровень безопасности ОС и позволяющее нанести вирусам вред, о котором они и не мечтали раньше, так что я смотрю в будущее с большим энтузиазмом.

«Моя цель – донести до вас, важность defense-in-depth в Windows Vista, суть которой в двух основных особенностях – комбинировании защиты и эффективности»,- написал Джим Оллчин в своём блоге.

Шесть лет назад, когда я был председателем по безопасности на конференции разработчиков на COMDEX, я спросил у основных игроков индустрии, что должна сделать Microsoft, чтобы изменить общественное мнение, и поставлять действительно безопасную ОС. Основная суть рассуждений сводилась к следующему:

Ядро должно быть переделано с бдительным учётом запускаемых процессов и сбалансированной проверкой. И это вполне реально. Если это произойдёт, я думаю, будет больше утомлённых и расстроенных, с вырванными клочками волос, пользователей, которые с чувством гордости кликнут на «Добавлении/удалении программ», и таким образом откроют для себя новый мир. Это конечно если еще интересуетесь чьим-то мнением.
Действительно, маловероятно что такое когда-нибудь произойдёт, но если и случится, то мы должны будем сказать Джиму хотя бы спасибо.

Источник: http://www.betanews.com
Перевод: prymara

Комментарии

Не в сети

А что если Жирик прав? Лонгхорн - твоя могила!

22.11.06 19:55
0
Не в сети

При желании любой вирус разрабатывается под конктректную платформу. На мой взгяд очередное хвастовство, свойственное типично американцам, дескать "у нас было несколько проверок и нету дыр..в системе у нас круче всех.." кому нужно, сделают вирус который вызовет новые эпидемии. И никакой защитный механизм не справится с ним висты, тем более система эта новая скорее всего дырявая как решето. Windows XP только только в божеский вид привели, и это спустя 5 лет после выхода системы, и дыры до сих пор находят, тогда что говорить про висту?

22.11.06 22:42
0
Не в сети

Ну ну... всётаки и дыры есть! Сегодня например... дай думаю установлю НОД32 чтоб проверить как он работает на новой ОСИ! рази любопытства... Установил естественно НОД32 2,7 для Висты и посл еперезагрузки я решы проверить на работоспособность антивируску... проверяю и удивлённо вижу Крассный екран и 6 новеньких вирусов которые есчё не занесены ьыли в Антивирусную базу сигнатур!

Если етот вирус какнить обошол систему защиты винды то дырки есть... и не просто дырки а ДЫРИЩЕ!
а где незнаю... вирус такой: NewHeur_PE virus

22.11.06 23:36
0
Не в сети

Dr@gOn он у тебя системные файлы заразил, или прото на винте волялся? Не думаю, что Виста, или любая другая система, будет отслеживать все файлы Для этого есть антивирусники. Забота хвалёной защиты Виста, охранять ядро и важные компоненты системы. Остальное она не будет проверять.

23.11.06 04:12
0
Не в сети

Snegovic, а то что виста разрабатывалась 5 лет, а ХР всего 2 года ты наверное не учел да?
Естественно я не утверждаю, что в висте нет дыр - их просто придется искать намного дольше, чем это было для ХР и не факт, что их найдут столько же по количеству.

23.11.06 06:34
0
Не в сети

Почему не факт? Да, разрабатывали 4 года, но ведь где-то в 2005-м году весь код заново написали! А активная разработка вообще только в феврале 2006 началась!

23.11.06 13:05
0
Не в сети

> Не думаю, что Виста, или любая другая система, будет отслеживать все файлы

Любые другие системы (юниксы), дают доступ на запись для системных фалов только руту. Поэтому, чтобы вирус мог размножаться в системе, он должен получить права рута. Т.е. он должен использовать найденную уязвимость в ядре. Всё намного проще. Не надо огород городить с "супер технологиями", которые в ядре бегают от вирусов...

23.11.06 14:45
0
Не в сети

> Zhooles @23.11.2006 10:05
> Почему не факт? Да, разрабатывали 4 года, но ведь где-то в 2005-м году весь код заново написали! А активная разработка вообще только в феврале > 2006 началась!
Что за бред! Какой идиот будет переписывать !весь! код? Не надо всякую ахинею нести...

23.11.06 14:51
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
420.55 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.148 секунд (Общее время SQL: 0.13 секунд - SQL запросов: 67 - Среднее время SQL: 0.00194 секунд))
Top.Mail.Ru