Пара слов о безопасности Windows 10
Несколько дней назад корпорация Microsoft организовала прямую трансляцию презентации, на которой был представлен новейший «опыт» («experience») компании – операционная система Windows 10, релиз которой ожидается в этом году. Предполагается, что это будет не просто операционная система для настольных компьютеров: новая версия Windows должна обеспечить действительно широкий охват вычислительных платформ. Microsoft утверждает, что заложила в Windows 10 «более индивидуальные вычислительные возможности» («more personal computing»). Компания предприняла амбициозную попытку объединить в единую «бесшовную» среду персональные компьютеры, голографическую дополненную реальность (круто!!!), мобильные устройства, игровые платформы и интернет вещей. При этом взят курс на переход к модели «магазина» («Store») приложений, межплатформенную интеграцию приложений для работы с данными (productivity applications), внедрение сервисов на основе анализа и совместного использования «Больших данных» (big data), применение новых аппаратных технологий, создаваемых партнерами корпорации, и широкое использование облачных вычислений для обеспечения «мобильности опыта» («mobility of experience»).
На презентации были лишь вскользь затронуты вопросы «доверенной» среды («Trust») – только в свете определенных проблем, связанных с раскрытием личных данных. По моему опыту, уход вопросов безопасности на второй план – это неприятная особенность всех презентаций, на которых разработчики рассказывают о возможностях своих новых продуктов, а не только показов Microsoft. При этом с одной стороны новый код операционной системы содержит огромное количество функций, призванных повысить ее безопасность, а с другой, новых возможностей для проведения атак эта новая платформа тоже дает предостаточно.
В новой версии Windows Microsoft пытается усилить контроль безопасности приложений, блокируя установку недоверенных приложений в системе и не позволяя им подтверждать свою «благонадежность» с помощью цифровой подписи. Эта модель, основанная на подписывании приложений доверенной цифровой подписью, – шаг вперед по сравнению с тем, что было раньше, однако ей далеко до совершенства. Кампании APT-класса, такие как атаки Winnti на крупных разработчиков, а также множество других связанных с ними крупных кампаний, активных в данный момент, продемонстрировали, что злоумышленники успешно крадут цифровые сертификаты и затем используют их в новых атаках. Причем не только в атаках, проводимых самой группировкой Winnti. Сертификаты попадают в распоряжение различных APT-группировок, которые совместно используют эти чрезвычайно ценные ресурсы для собственных целей, разрушая саму модель доверенных приложений ради собственных целей, связанных с кибершпионажем.
Учитывая «бесшовную» интеграцию сервисов совместного использования данных с различными вычислительными ресурсами, нельзя допустить утечку данных, используемых при аутентификации, таких как учетные данные и маркеры доступа, при смене сервисов, приложений и устройств. Вот уже почти десять лет организации, использующие компьютеры под управлением Windows, страдают от атак, основанных на передаче хеша (pass-the-hash attack techniques), которые часто применяются киберпреступниками при проведении целевых атак. Необходимо обеспечить более надежную защиту от подобных методов кражи учетных данных. А система кибершпионажа Flame вывела атаки с подложными учетными данными на новый уровень, так что мы, вероятно, столкнемся с атаками на Hyper-V и новейшие типы контейнеров, реализованные в Windows 10, с целью получения доступа к этим маркерам и их неправомерного использования для дальнейшего заражения сети и доступа к данным. До сих пор попытки обеспечить защиту от подобных атак не отличались скоростью реакции. Злоумышленники создают все новые атаки на Active Directory с целью полностью взять под контроль систему аутентификации организаций, используя для этого своеобразные «отмычки». Поэтому конкретная реализация систем управления учетными данными и работы с маркерами доступа в новой версии Windows потребует пристального внимания экспертов по компьютерной безопасности: новые возможности для проведения атак, создаваемые технологиями и компонентами Hyper-V, будут в центре внимания в ближайшие годы. То, что в Windows 10 реализована технология защиты от утечки данных (DLP) для безопасного совместного использования корпоративных данных, не может не радовать, однако насколько мощной может быть подобная защита на мобильных устройствах с их слабыми источниками питания?
Если учесть, что в 2014 году в разных версиях Internet Explorer было обнаружено более 200 требующих исправления уязвимостей, «Project Spartan», представляющий собой минималистичное обновление этого кода, – это хорошая новость. Проще говоря, в браузере Internet Explorer в 2014 году уязвимости обнаруживались одна за другой в версиях – даже новейших – для всех платформ Windows. AEP и другие наши технологии позволили в прошедшем году защитить наших пользователей от массовой эксплуатации этих уязвимостей. Серьезного пересмотра потребовала не только основанная на компонентах ActiveX модель и ее архитектура, но и масса более нового кода и функционала, содержащего критические уязвимости типа «use-after-free» (использование освобождаемой памяти), позволяющие удаленно выполнять произвольный код на уязвимом компьютере. Новый браузер проекта Spartan – это большой объем нового кода, реализующего обмен данными и их совместное использование. Это заставляет вспомнить о том, что в новом коде, разрабатываемом Microsoft для своего браузера, из года в год обнаруживались сотни уязвимостей, которые необходимо было закрывать. Можно надеяться, что команда, занятая разработкой нового браузера, не взяла этот багаж с собой в дорогу, однако, учитывая объем нового функционала, верится с трудом. В презентации Microsoft я не нашел упоминания новых защитных функций, передовых методов разработки или «песочниц», так что остается только ждать, когда готовый код будет доступен для анализа.
Необычно большое количество времени было потрачено на презентацию «интеллектуального помощника» Cortana. Презентация началась с достаточно несвязного и странного диалога между представителем Microsoft и «помощником» Cortana, запущенным на установленном на сцене компьютере. Когда речь идет о реализации средств обеспечения безопасности при доступе к данным с использованием таких труднопредсказуемых сервисов, как этот, действительно дьявол в деталях.
Конечно же, наши продукты будут готовы вступить в бой. Потребительские продукты «Лаборатории Касперского» будут поддерживать Windows 10 уже к моменту официального релиза системы. Клиентам не нужно будет переустанавливать решения «Лаборатории Касперского» при переходе на новую платформу. Все эти продукты получат соответствующие обновления и будут обеспечивать на новой операционной системе Windows тот же высочайший уровень защиты, что на ее предыдущих версиях.
Windows 10 Preview и безопасность