[vc_row][vc_column width=”2/3″][vc_wp_text]

[xyz-ips snippet=”metadatatitle”]

 

[/vc_wp_text][/vc_column][vc_column width=”1/3″][/vc_column][/vc_row][vc_row][vc_column width=”2/3″][vc_column_text]

Kisebb újdonságokra és nagy koncepció-váltásra épít a Microsoft új operációs rendszerének védelme.

A Windows 8 operációs rendszer nyilvános megjelenése alkalmából Chet Wisniewski, a brit Sophos antivírus cég rangidős tanácsadója rövid értékelést tett közzé az új generációs Microsoft platform infobiztonsági fejlesztéseiről, azok erényeiről és hátrányairól. A netes támadások jelenlegi alakulását ismerve elmondhatjuk, hogy a védelmet érintő változtatások ugyan kevésbé látványosak, de nem kevésé fontosak, mint az érintés-érzékeny színes csempék!Az új rendszerre felkészített számítógépeknek a Windows 8 minősítés elnyeréséhez először is rendelkezniük kell a következő generációs UEFI mikrokóddal. Ezt a több éve bevetésre váró, modern rendszerindító környezetet a nyolcvanas évek óta használt, régimódi karakter-grafikus BIOS felváltására fejlesztették ki, de eddig inkább csak az Apple cég gépein volt használatban.A “Windows 8 kompatibilis” minősítést a gyártók úgy szerezhetik meg, ha a számítógép UEFI chipjében megbízhatóként rögzítik a Microsoft által használt digitális aláírásokat. A szabad szoftverek hívei szerint így a profit javára ki lehetne zárni a telepítésből a többi operációs rendszert (pl. Linux). A szoftveróriás álláspontja szerint nincs akadálya, hogy az alaplap-gyártók más platformok indító-kulcsait is felvegyék a hiteles UEFI-aláírások közé – vagy maga a felhasználó felvihesse a szerinte megbízható aláírásokat az UEFI grafikus kezelő-felületén.

Rút megoldás, de megéri a rootkitek ellen

A Sophos szakértői úgy vélik, hogy a fejlesztők szabadságának esetleges korlátozása ellenére az UEFI bevezetése nagy jelentőségű biztonság-növelő lépésnek számít a Windows környezetben. Segítségével kiküszöbölhetők lesznek azok a “boot-szektor” avagy MBR típusú fertőzések, amelyek a 80-as évek végén, a 90-es évek elején olyan gyakoriak voltak – és amelyek az utóbbi néhány évben, fejlettebb formában visszatérve ismét megkeserítik a felhasználók életét.

A Windows 8 beépített UEFI támogatása lehetővé teszi az ELAM (korai indítású kártevő-szűrés) alkalmazását, amelyben a Microsoft és a külső biztonsági gyártók termékei az érvényes digitális aláírás meglétének ellenőrzésével és alapszintű vírus-keresés futtatásával vizsgálhatják a rendszer-indítás során betöltődő, nem a Windows-hoz tartozó meghajtó-programok veszélytelenségét. A ma létező fejlett fenyegetésekkel szemben e megoldás gyakorlati hatékonysága még nem bizonyított, azonban egy jó irányba tett lépésről van szó.

Újabb muníciót kapott a TPM-vita

Ha a hardver rendelkezik alaplapi TPM chippel – ami egyelőre csak a számítógépek kisebb részére, elsősorban a drágább laptopokra érvényes – akkor a Windows 8 egy további, rendszer-indítást védő funkciója is elérhető “Measured Boot” néven. Ez egy olyan naplózási szolgáltatás, amely feljegyzi a betöltődő komponensek sorrendjét, inicializálási időtartamát és más olyan jellemzőket, amelyekből később egy külső szakértő meggyőződhet arról, hogy az adott gépen csak a kívánt programok indultak el és azok rendeltetésszerűen működtek.

A Sophos labor véleménye szerint ez az új funkció sok tévesztési lehetőséget hordoz, költséges és még nem nyilvánvaló, hogy az előnyei felülmúlják az esetleges hátrányait. Az ASLR és a DEP képességek további fejlesztése viszont olyan előny a Windows 8 rendszerben, amely bár a felhasználók számára szinte láthatatlanul működik, mégis nagy jelentőséggel bír az operációs rendszernek a puffer-túlcsordulás típusú és a verem elleni támadásoktól való megvédésében.

A Windows 8 esetében immár nem csak az Internet Explorer böngészőre, de a teljes operációs rendszerre és minden a gépre letöltött állományra is kiterjed a SmartScreen szűrés. Ez az ellenőrző-összeg alapú technológia hálózati felhő alapú netes lekérdezésekkel vizsgálja az alkalmazások jó, rossz vagy ismeretlen reputációját – az utóbbi két esetben futtatás előtt figyelmeztetésekkel látva el a felhasználót.A Microsoft állítása szerint ez a rendszer már az IE9 böngészőre korlátozódó korábbi változatában is felhasználók millióit védte meg a káros tartalmaktól. A Sophos szakértői azonban teszteléskor olyan jelentős számban találkoztak vétlen fájlokat sújtó téves detektálással, ami miatt egy idő után már minden SmartScreen riasztást figyelmen kívül hagytak – köztük néhány később valósnak bizonyuló tételt is!

Grátisz vírusvédelem, kisebb hiányosságokkal

A korábbi Windows verziókba gyárilag beépített, csak kémprogramokat irtó Defender helyét a Windows 8 megjelenésével átveszi az alapszintű, de teljes körű kártevő-felismerést nyújtóMicrosoft Security Essentials technológia. Ez a változás keveseknek fog feltűnni, mert az otthoni netezők összezavarását a bejáratott Defender név megtartásával kerüli el a Microsoft – míg a vállalati üzemeltetőket nem érdeklik az olyan megoldások, amelyekben a kiváló védelem mellett nincs központi vezérlés, frissítés vagy állapot-figyelési képesség.

Az eddig a netről letölthető, ingyenes Windows-víruskeresőként funkcionáló MSE egyébként az utóbbi időkben nem szerepelt kimagaslóan a vírusvédelmi összehasonlító teszteken. Képességei azonban így is elegendőek számos otthoni felhasználó számára, ráadásul a most gyárilag beépített Windows 8 Defender változata fontos szerepet kaphat abban, hogy az első 20 percben megvédje az azonnali hálózati feltöréstől a frissen telepített és még az utólagos biztonsági javító-foltok letöltésével foglalatoskodó számítógépeket.

Hálózati biztonság az öltönyös felhasználóknak

A Windows 8 a hálózati infrastruktúra terén újabb kísérletet tesz arra, hogy bevezesse a VPN jellegű, de annál kényelmesebb távoli hozzáférést nyújtó DirectAccess technológiát. Ez a remek találmány a Windows 7-tel egy tipikus tyúk vagy tojás probléma miatt nem tudott áttörni, használatához ugyanis a gyakorlatban még alig létező IPv6 támogatásra lett volna szükség – így senki nem kért belőle, pedig éppenséggel az IPv6 adoptálás egyik húzó-alkalmazása lehetett volna…

A Windows 8-ban bemutatkozó új, immár IPv4 alapú DirectAccess várhatóan komoly karrier előtt áll az üzleti utazók körében, akiknek valós igényük van a cégük felé állandóan elérhető és biztonságos virtuális magánhálózatra – a gyakorlatban viszont sokszor csak kétes biztonságú reptéri, szállodai vagy netkávézós vezeték nélküli hálózatok, ún. Wi-Fi hotspotok segítségével tudnak felcsatlakozni a netre.

A szintén újonnan debütáló Windows to Go technológia egy másik, szintén üzleti jellegű igényt elégíthet ki. Az otthonról dolgozók számára készített, teljes mértékben USB memóriakulcsról futtatható Windows 8 Enterprise kiadás komoly vetélytársa lehet a virtualizációs megoldásoknak. Használatával elkerülhetjük, hogy a vállalati VPN-elérést meg kelljen nyitni a teljes otthoni hálózat számára – beleértve ebbe a gyerek vagy a feleség által játékra használt, nem ellenőrzött, esetleg fertőzött gépeket is.

Nem tölthetsz be akármit!

A Windows 8 rendszer legszembetűnőbb újdonsága a korábban Metro UI néven emlegetett “modern” grafikus felhasználói felület bevezetése. Ez nem csak érintőképernyőre termett színes csempéket vagy Post-It lapokat helyez a Windows asztalára, de olyan ellentmondásos koncepciókat is bevezet a Microsoft világába, amelyeket korábban a versenytárs Apple tökéletesített (más nézetek szerint orwellesített) az iPhone és iPad rendszeren.

Az Application Store modell bevezetésével az alkalmazói szoftvereket kevés kivétellel csak a Microsoft által üzemeltetett “zártkertből” (walled garden) szerezhetik majd be a Windows-felhasználók – oda pedig csak olyan programok nyernek bebocsátást, amelyek megfelelnek a szoftveróriás által támasztott biztonsági és adatvédelmi feltételeknek.

Ebben a tekintetben a Microsoft inkább az Apple szigorú elveit követi, mintsem a Google Andorid Play megengedőbb és egyben anarchikusabb, több biztonsági incidenst eredményező hozzáállását. Egy pipa behúzása nem lesz elegendő a telepítéshez – a vállalati üzemeltetőknek is saját megbízható tanúsítványt kell felvinniük a Windows 8 gépparkjukra, mielőtt módjuk nyílna kerülő úton, saját maguknak programokat terjeszteni.

A Windows 8 azonban nem teljesen “Modern”, mivel a Microsoft fejlesztői idő szűke miatt nem tudták mindenütt “kicsempézni” az új operációs rendszert, így pl. a beépítettwebböngésző, az Internet Explorer 10 is kétarcú formában áll rendelkezésre. Klasszikus kezelőfelülettel futtatva alig különbözik az ismert IE 8/9 kiadásoktól, míg a “Metro” arculat sokkal korlátozottabb funkciókat nyújt – ami a Sophos labor szerint nem feltétlenül jár együtt az online biztonság növekedésével!

Az új grafikus felületen futó IE10 az Adobe Flash webanimáció kivételével nem támogat plug-in beépülő modulokat – ráadásul azt a verziót is a Microsoft felügyeli és csak a szoftveróriás által biztonságosnak minősített webhelyeken használható. Ez egyfajta kompromisszum a védelem és az eladhatóság között, hiszen a versenytárs Apple divatos kézigépei elvből nélkülözik a Flash-támogatást, ami számos felhasználót a Windows 8 / RT alternatíva felé terelhet.

Biztonság-elvonás szabad futtatásért, tudatos netezésért?

Egyéb plug-in modulok egyáltalán nem kerülhetnek be a “metrózó” IE10-esbe, ami valóban kiküszöböl számos, harmadik gyártótól eredő biztonsági rést – feltéve, hogy például a Java-kompatibilitásra vágyó üzleti felhasználók nem kényszerülnek emiatt vissza a régi ikonos nézetbe, ahol elveszítik a Windows 8 számos biztonsági előnyét.

A Sophos kutatóinak másik fő panasza, hogy az IE10 új böngésző-felülete környezeti információkban kifejezetten szegény, ami megfosztja a felhasználókat a tudatos webezés lehetőségétől! Az élmény-tartalom megjelenítésének oltárán a Microsoft feláldozta a címsort, így nem fogjuk tudni, hogy vajon éppen lakattal titkosított oldalon járunk-e, vagy egyáltalán azon a címen vagyunk-e, ahová szörfölni szándékoztunk. Ennek a kockázatnak az elterjedt adathalászat (phishing) korában sajnos igen nagy a jelentősége!

Csend-rendelet helyett kézi kapcsolás

A Windows 8 rendszerben a futó programok egymással való kapcsolata szintén tartogat újdonságokat. Ezen a téren a Microsoft is az alkalmazásonkénti elkülönítés híve, azonban nem lépett olyan szigorú útra, mint az Apple – amely tilt bármilyen, az adott programsandbox futtató-környezetéből kifelé irányuló tevékenységet. A Metro felület esetén egy alkalmazás ún. manifest kód formájában előre deklarálhatja, hogy működéséhez mely API hívásokra tart igényt és később csak ezeket érheti el.

A szoftverek ezen kívül egy Contract (Szerződés) nevű interakciót is létesíthetnek egymással a Windows 8 rendszerben. Itt például egy Twitter-ügyfélprogram adatfogadóként definiálhatja magát az IM üzenetküldés és a kapcsolati portálok témakörében – lehetővé téve, hogy képszerkesztő alkalmazások megosztásra szánt fotókat küldjenek a számára. A Sophos labor szerint az élénk alkalmazás-szövet a Windows 8 előnyére válhat az Apple-vel szemben, de bevezetésével a Microsoft egyben komoly biztonsági kockázatot is vállalt.

Valós fejlesztések – feltételezett vásárlóknak

Azt csak a jövőbeni e-incidensek számának és súlyosságának változása alapján fogjuk tudni megmondani, hogy a két szoftveróriás közül melyikük döntött helyesen. Bár nem tör teljesen új utakat, az nyilvánvaló, hogy a Windows 8 a Microsoft műhelyéből valaha kikerült legbiztonságosabb PC operációs rendszer lett. A modern Metro UI környezetben számos védelmi célú fejlesztés található és ezekkel szemben – az új IE10 felületet kivéve – a szakértők sem találnak igazán komoly kifogást.

A boldog összképből már csak a fizetőképes felhasználók hiányoznak: egyes felmérések szerint az intézményeknek és vállalatoknak eddig alig fele végzett a Windows 7-re történő átállással, amelyhez képest az utód kibocsátása túl hamar történik. A világgazdasági válságot figyelembe véve nyilvánvalóan nem az új szoftver-biztonsági fejlesztések fogják eladni a Windows 8 rendszert – amelynek bevezetése jelentős hardver-cserét és képzési beruházást igényelne a nem naprakész üzemeltetőktől.

[/vc_column_text][/vc_column][vc_column width=”1/3″][vc_wp_text][xyz-ips snippet=”metadatatime”]

[/vc_wp_text][/vc_column][/vc_row]

Pin It on Pinterest