Ασφάλεια στα WINDOWS VISTA.

(1)

Windows Vista Security Advancements 1

ΔΑΣΚΑΛΑΚΗΣ ΜΙΧΑΗΛ

ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΚΑΒΑΛΑΣ ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ

ΤΜΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΠΛΗΡΟΦΟΡΙΩΝ

ΗΡΑΚΛΕΙΟ, 2008

ΑΣΦΑΛΕΙΑ ΣΤΑ WINDOWS VISTA

(2)

ΠΡΟΛΟΓΟΣ ... 5

ENOTHTA 1 ... 8

ΕΙΣΑΓΩΓΗ ΣΤΑ WINDOWS ... 8

ΟΚΟΣΜΟΣΤΩΝWINDOWS ... 8

ΗΙΣΤΟΡΙΑΤΩΝMICROSOFTWINDOWS[Π1] ... 8

ΔΙΑΧΩΡΙΖΟΝΤΑΣΤΟΝΠΥΡΗΝΑΑΠΟΤΟΠΕΡΙΒΑΛΛΟΝ ... 9

WINDOWSXP ... 10

Εισαγωγή ... 10

ΘΕΜΑΤΑ ΑΣΦΑΛΕΙΑΣ ΤΩΝ XP ... 11

Προστασία των Windows XP και το Windows Update... 13

α) Προστασία αρχείων των Windows ... 13

β) Αποκλεισμό ελαττωματικών προγραμμάτων οδήγησης ... 13

ANTIMALWARE ΠΡΟΣΤΑΣΙΑ... 13

Προστασία στο Internet ... 13

Πληροφορίες σχετικά με το Windows Update ... 13

ΕΝΟΤΗΤΑ 2 ... 14

Microsoft

^®

Windows Vista™ Security Advancements ... 14

ΕΙΣΑΓΩΓΗΣΤΗΑΣΦΑΛΕΙΑΤΩΝWINDOWSVISTA ... 14

ΚΕΦΑΛΑΙΟ2.1 ... 16

ΠΡΟΙΟΝΤΑΑΣΦΑΛΕΙΑΣVISTA ... 16

Εφαρμοσμένη μηχανική για μια ασφαλή πλατφόρμα - Κύκλος της ζωής ανάπτυξης ασφάλειας ... 16

Χρήσιμα εργαλεία ανάπτυξης των Vista ... 17

Σκλήρυνση υπηρεσιών παραθύρων [Π7]. ... 18

Χρήση τεχνολογιών NX ... 20

ASLR, CI ΚΑΙ MIC ΣΤΟΝ ΕΛΕΓΧΟ ΑΚΑΙΡΑΙΟΤΗΤΑΣ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ ... 20

ΕΞΗΝΤΑΤΕΤΡΑΜΠΙΤΕΣ ΑΥΞΗΣΕΙΣ ΑΣΦΑΛΕΙΑΣ: Ο ΠΥΡΗΝΑΣ-ΠΡΟΣΤΑΣΙΑ ΠΥΡΗΝΩΝ ΚΑΙ ΥΠΟΧΡΕΩΤΙΚΗ ΥΠΟΓΡΑΦΗ ΟΔΗΓΩΝ ... 22

Τι είναι ο πυρήνας; ... 22

Τροποποίηση του πυρήνα ... 23

Τι είναι η προστασία των πυρήνων; ... 23

Επιδράσεις στη συμβατότητα εφαρμογής ... 24

Η Ψηφιακή υπογραφή στα Windows Vista ... 25

ΈΛΕΓΧΟΣ ΑΠΟΛΟΓΙΣΜΟΥ ΧΡΗΣΤΩΝ (UAC) ... 26

Τα οφέλη του UAC... 27

Οι ιδιότητες των λογαριασμών χρηστών ... 28

ΝΕΑ ΑΡΧΙΤΕΚΤΟΝΙΚΗ (ΣΥΝΔΕΣΗΣ) ... 29

Προϊόντα της νέας αρχιτεκτονικής ... 30

Tα GINAs αντικαθίσταται από τους νέους πιστοποιημένους προμηθευτές ... 30

Νέος πιστοποιητικός φορέας παροχής υπηρεσιών ασφάλειας, CredSSP ... 31

Τελευταίος χρόνος σύνδεσης ... 31

ΣΥΝΕΡΓΑΣΙΑ ΜΕ ΠΟΛΛΑΠΛΟΥΣ ΠΡΟΜΗΘΕΥΤΕΣ ... 31

SMART CARDS ... 32

Προστασία πρόσβασης σε δίκτυο ... 33

ANTI-MALWARE ΠΡΟΣΤΑΣΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΣΤΟ INTERNET ... 34

Κέντρο ασφάλειας των windows (WSC) ... 34

Windows Defender ... 35

Αντιπυρική ζώνη παραθύρων ... 37

Πρόοδοι ασφάλειας στον internet explorer ... 39

(3)

Προστασία ενάντια σε Malware από τον internet explorer ... 39

ActiveX® ... 40

Microsoft Phishing ... 40

ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΜΕ ΚΡΥΠΤΟΓΡΑΦΗΣΗ DRIVE BITLOCKER ... 41

Η προστασία του Bitlocker ... 41

Τα «κλειδιά» του Bitlocker ... 42

Ενσωματωμένες διοικητικές υπηρεσίες ... 44

Αυξήσεις κρυπτογράφησης αρχείων συστημάτων ... 45

Δευτερεύουσα κρυπτογράφηση πελατών ... 46

Συμπέρασμα ... 47

ΕΝΟΤΗΤΑ 3 ... 48

ΕΡΕΥΝΗΤΙΚΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΚΑΙ ΠΡΑΚΤΙΚΟ ΜΕΡΟΣ ... 48

ΚΕΦΑΛΑΙΟ 3.1ΤΥΠΟΙ MALWARE ΣΤΟ ΣΥΓΧΡΟΝΟ ΛΕΙΤΟΥΡΓΙΚΟ ΣΥΣΤΗΜΑ ... 48

Τύπος 0 Malware – ΠΡΩΤΗ ΕΠΑΦΗ ΜΕ ΤΟ MALWARE ... 48

Τυπου Ι Malware- ΕΙΣΒΟΛΗ ΣΕ ΣΤΑΘΕΡΟΥΣ ΠΟΡΟΥΣ ... 49

Τύπος ΙΙ Malware-ΕΙΣΒΟΛΗ ΣΕ ΔΥΝΑΜΙΚΟΥΣ ΠΟΡΟΥΣ ... 51

Τύπος ΙΙΙ Malware- ΠΛΗΡΗΣ ΕΛΕΓΧΟΣ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ ... 53

ΚΕΦΑΛΑΙΟ3.2ΠΡΑΚΤΙΚΟΜΕΡΟΣ ... 55

ΣΥΣΤΗΜΑ PROMIS- PROactive Malware Identification System ... 55

ΥΛΟΠΟΙΗΣΗ ... 57

Windows XP Peer-to-Peer API ... 57

Microsoft LogParser ... 58

ΚΕΦΑΛΑΙΟ 3.2 ... 58

ΕΡΕΥΝΗΤΙΚΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΤΗΣ SYMANTEC ΓΙΑ ΤΗΝ ΑΣΦΑΛΕΙΑ ΤΩΝ WINDOWS VISTA ... 58

Εισαγωγή ... 58

ASLR: Όχι τόσο τυχαίο όπως αναμενόταν ... 59

Επιλογή διευθύνσεων HeapAlloc ... 60

Ακεραιότητα πυρήνων ... 60

Ανάλυση των τεχνολογιών ακεραιότητας πυρήνων ... 61

Υπερασπίσεις ακεραιότητας του χρήστης συστημάτων ... 61

Ανάλυση των υπερασπίσεων χρήστη ... 61

Επανάσταση εξέλιξης ασφάλειας ... 62

Κακόβουλος κώδικας και τι σημαίνει στα windows Vista ... 63

Περίληψη και συμπεράσματα ... 64

Οι επιτιθέμενοι πηγαίνουν όπου υπάρχουν ευπάθειες ... 65

Τεχνικές διάδοσης που χρησιμοποιούνται από τις κορυφαίες 50 κακόβουλες απειλές κώδικα .... 66

ΚΕΦΑΛΑΙΟ 3.3 ... 67

ΕΡΕΥΝΗΤΙΚΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΣΤΟ ΚΕΝΤΡΟ ΔΟΚΙΜΗΣ CRN(ΙΟΥΝΙΟΣ 2007) ... 67

Windows XP εναντίον Windows Vista ... 67

1η ΔΟΚΙΜΗ: ΙΟΙ ... 69

2η ΔΟΚΙΜΗ: SPYWARE & ADWARE ... 69

3η ΔΟΚΙΜΗ: ΚΑΠΟΙΟ ΘΑΝΑΣΙΜΟ TROJAN ... 69

4η ΔΟΚΙΜΗ: ΟΙ ΜΑΚΡΙΝΕΣ ΥΠΗΡΕΣΙΕΣ ΣΤΟΙΧΕΙΩΝ RDS ... 70

5η ΔΟΚΙΜΗ: ΕΥΡΕΣΗ ΤΩΝ ΡΩΓΜΩΝ ΣΕ ΑΡΧΕΙΑ ΕΙΚΟΝΑΣ, ΕΞΑΠΑΤΗΣΕΙΣ SCRIPT-WRITING .. 71

6η ΔΟΚΙΜΗ: ΠΑΡΑΤΗΡΗΣΗ ΤΩΝ ΥΠΟΓΡΑΦΩΝ & ΤΟΥ ΦΙΛΤΡΟΥ PHISHING ... 71

ΕΝΟΤΗΤΑ 4 ... 73

ΑΣΦΑΛΕΙΑ ΤΩΝ LINUX ... 73

ΚΕΦΑΛΑΙΟ4.1ΕΙΣΑΓΩΓΗΣΤΑLINUX ... 73

Σύντομο ιστορικό στο Linux ... 74

Ανοικτός Κώδικας – Η φιλοσοφία του Linux ... 77

Ανατομία του πυρήνα Linux ... 79

Εισαγωγή στον πυρήνα Linux... 80

Μέθοδοι για τη διεπαφή κλήσης συστημάτων (SCI) ... 81

(4)

Ιδιότητες του πυρήνα Linux ... 81

Διαχείριση διαδικασίας ... 82

Διαχείριση μνήμης ... 83

Εικονικό σύστημα αρχείων ... 83

Οδηγοί συσκευών ... 83

Αρχιτεκτονική-εξαρτώμενου κώδικα ... 84

Ενδιαφέροντα χαρακτηριστικά γνωρίσματα του πυρήνα Linux ... 84

ΑΣΦΑΛΕΙΑΣΤΑLINUX ... 84

αντιιός-antimalware-αντιπυρική ζώνη ... 85

SUDO ΠΡΟΝΟΜΙΑ ΡΙΖΑΣ ... 85

Χρησιμοποίηση του sudo ... 85

Anti-virus και Antispyware ... 86

αντιπυρική ζώνη ... 86

ENOTHTA 5 ... 88

Η ΑΣΦΑΛΕΙΑ ΣΤΑ MAC ... 88

ΚΕΦΑΛΑΙΟ5.1ΕΙΣΑΓΩΓΗΣΤΑMAC ... 88

Ιστορία ... 88

Περιγραφή ... 89

ΤΑ LEOPARD ... 91

ΑΣΦΑΛΕΙΑΣΤΑMAC ... 91

Χρονική μηχανή ... 92

Παύση των υπερχειλίσεων απομονωτών με την Τυχαιοποίηση μνήμης ... 92

Προσδιορισμός και Defanging Apps ... 94

Άλλες ξεχωριστές βελτιώσεις ... 94

ΕΠΙΛΟΓΟΣ – WINDOWS VS LINUX VS MAC ΣΤΗΝ ΠΡΑΞΗ 98

WINDOWS ΕΝΑΝΤΙΟΝ LINUX ΕΝΑΝΤΙΟΝ ΤΗΣ MACOSΧ ... 98

Ανάπτυξη μπαλωμάτων ... 98

(5)

ΠΡΟΛΟΓΟΣ

Για περισσότερα από 30 έτη, οι πληροφορίες και οι τεχνολογίες επικοινωνιών έχουν μετασχηματίσει τη σφαιρική οικονομία και τις προσωπικές επικοινωνίες. Σήμερα, περισσότεροι του ενός δισεκατομμυρίων άνθρωποι - ένα έκτο του παγκόσμιου πληθυσμού - χρησιμοποιούν το Διαδίκτυο, το ηλεκτρονικό ταχυδρομείο και άλλες υπηρεσίες ΤΠ, σύμφωνα με το ημερολόγιο βιομηχανίας υπολογιστών. Ενώ οι υπολογιστές έχουν γίνει ακέραια μέσα των ανθρώπων και των livelihoods, η επιχείρηση και οι προσωπικοί χρήστες έχουν αυξανόμενες ανησυχίες ότι η ακεραιότητα των υπηρεσιών ΤΠ υπονομεύεται με νέους και ενοχλητικούς τρόπους.

Οι υπολογιστές είναι χρήσιμο κομμάτι στη δουλειά αλλά και παιχνίδι του Διαδικτύου, αποτελούν ένα όλο και περισσότερο σημαντικό παράγοντα στην επιχείρηση και στις προσωπικές ζωές μας, επίσης έχουν γίνει στόχοι για τους κακόβουλους χάκερς που μολύνουν τα μη προστατευμένα PC με ιούς, διαδίδουν spyware, διανέμουν spam και προωθούν τις κακόβουλες επιθέσεις, και προσπαθούν να εξαπατήσουν τους καταναλωτές στην αποκάλυψη των πολύτιμων προσωπικών πληροφοριών. Τέσσερα έτη πριν, ο πρόεδρος Microsoft® και κύριος αρχιτέκτονας λογισμικού Bill Gates επεσήμανε μια δραματική μετατόπιση στη στρατηγική της επιχείρησης, που κάνει την ασφαλή, ιδιωτική και αξιόπιστη εμπειρία του λογισμικού υψηλή προτεραιότητα της επιχείρησης. Σε έναν όλο και περισσότερο διασυνδεόμενο κόσμο των PC, των συσκευών και των υπηρεσιών, αυτή η δέσμευση για ένα αξιόπιστο λειτουργικό σύστημα είναι σημαντικότερη από ποτέ.

Η εκλέπτυνση και η οργάνωση της σε απευθείας σύνδεση εγκληματικής δραστηριότητας (phishing σχέδια, bugs, spyware, κ.λπ.), μαζί με τις ευρέως κοινοποιημένες παραβιάσεις στοιχείων στους ιδιωτικούς και δημόσιους τομείς, απειλούν να διαβρώσουν τη δημόσια εμπιστοσύνη στο ηλεκτρονικό εμπόριο και σε άλλες υπηρεσίες. Στην πραγματικότητα, οι καταναλωτικές εκθέσεις, καταλήγουν στο συμπέρασμα ότι ένας στους τρεις ανθρώπους θα γινόταν cyber-θύμα το 2006. Παρά αυτήν την απειλή, περισσότερα από 80 τοις εκατό Αμερικανών on-line στο διαδίκτυο δεν έχουν λάβει τα κατάλληλα μέτρα προστασίας υπολογιστών και είναι σε κίνδυνο για την on line εγκληματική δραστηριότητα, τους ιούς και τα spyware.

(6)

Windows Vista Security Advancements 6 Δεδομένου ότι ο αξιόπιστος υπολογισμός εισήχθη στις αρχές του 2002, η εταιρία της Microsoft έχει δουλέψει σκληρά για να αντιμετωπίσει τα ζητήματα ασφάλειας στα προϊόντα της και την ευρύτερη βιομηχανία. Η επιχείρηση έχει κάνει διάφορες προόδους από τότε, και ενθαρρύνεται από τα αποτελέσματα αυτών των επενδύσεων και τη θετική ανατροφοδότηση με τους πελάτες. Η Microsoft έχει συνεργαστεί στενά με χιλιάδες προμηθευτές ασφάλειας λογισμικών στο δημόσιο και ιδιωτικό τομέα για να παραδώσει ένα προϊόν νέων μέτρων ασφάλειας και μυστικότητας στο λειτουργικό σύστημα Vista™, που καθορίζει νέα πρότυπα του υπολογισμού της ακεραιότητας για τους πελάτες και τους ανεξάρτητους προμηθευτές λογισμικού (ISVs).

Με την απελευθέρωση των Windows Vista, η Microsoft εξουσιοδοτεί τις επιχειρήσεις και τους καταναλωτές να τοποθετήσουν τα νέα προϊόντα για τις απειλές ασφάλειας. Μέσω προσέγγισης της Microsoft στην καινοτομία τεχνολογίας - που περιλαμβάνει τη θεμελιώδη προστασία στην πλατφόρμα, το μετριασμό απειλής και ευπάθειας, και τον έλεγχο ταυτότητας και πρόσβασης στο λειτουργικό σύστημα θα επιτρέψει στο λογισμικό των χρηστών να παραμείνει ασφαλέστερο και να προστατεύεται η μυστικότητα των πληροφοριών τους. Τα Windows Vista θα παράσχουν επίσης στους ιδιοκτήτες των PC αποτελεσματικούς τρόπους να καταστούν τα δίκτυα ανθεκτικά στις επιθέσεις, συντηρώντας την εμπιστευτικότητα των στοιχείων, την ακεραιότητα και διαθεσιμότητα.

Τα Windows Vista φέρνουν ένα νέο επίπεδο εμπιστοσύνης στον υπολογισμό μέσω της βελτιωμένης ασφάλειας, της αξιοπιστίας και της διαχείρισης. Στηριγμένη σε αυτές τις προόδους, η Microsoft και το υπόλοιπο της βιομηχανίας τεχνολογίας μπορούν να λειτουργήσουν για να καταστήσουν τον υπολογισμό πιο αξιόπιστο και ασφαλή κάνοντας τα εξής:

• Χτίζοντας ένα σύστημα εμπιστοσύνης στο οποίο οι άνθρωποι, οι οργανώσεις, οι κατασκευαστές και οι συντάκτες κώδικα μπορούν να προσδιοριστούν κατάλληλα και να είναι υπεύθυνοι για τις ενέργειές τους, προστατεύοντας τη μυστικότητα του τελικού χρήστη.

• Εφαρμοσμένη μηχανική για την ασφάλεια με την καθιέρωση, την έκδοση και τη διανομή των καλύτερων πρακτικών, των διαγνωστικών εργαλείων ασφάλειας και συγκεκριμένων εξεταστικών μεθόδων.

• Απλοποιώντας την ασφάλεια των καταναλωτών και των επαγγελματιών, μέσω ενός συνδυασμού προτύπων βιομηχανίας, των κοινών εργαλείων ανάπτυξης, και ενοποιημένων πρακτικών στις πλατφόρμες, τα προϊόντα και τις υπηρεσίες.

(7)

• Παραδίδοντας μια πλήρως ασφαλή πλατφόρμα που περιλαμβάνει τις τεχνολογίες προστασίας που επιτρέπουν την ασφάλεια και την εμπιστοσύνη, βασισμένες στη multifactor επικύρωση, σε μια πολιτική βασισμένη στον έλεγχο πρόσβασης, και την ενοποιημένη έρευνα στις εφαρμογές.

Πριν αναφερθούμε στα windows vista και την ασφάλεια τους θα ήταν χρήσιμο να κάνουμε μια προεπισκόπηση στην ιστορία των windows και στην ασφάλεια των windows xp για να πάρουμε μια πρώτη ιδέα. Στη συνέχεια θα παρέχουμε συγκρίσιμα στοιχεία των ανταγωνιστών (linux και Mac) για να πάρουμε μια πλήρη εικόνα για την ασφάλεια των λειτουργικών συστημάτων σήμερα παρά τις δυσκολίες του σύγχρονου e-περιβάλλοντος.

(8)

ENOTHTA 1

ΕΙΣΑΓΩΓΗ ΣΤΑ WINDOWS

Ο ΚΟΣΜΟΣ ΤΩΝ WINDOWS

Όσοι είναι παλιοί στο χώρο, σίγουρα θα θυμούνται την προ Windows εποχή. Τότε η ευχρηστία των

υπολογιστών απείχε έτη φωτός από τη σημερινή, καθώς ο χρήστης καθόταν εμπρός σε μια οθόνη γεμάτη χαρακτήρες, ενώ για να ενεργοποιήσει τις όποιες δυνατότητες των προγραμμάτων έπρεπε να θυμάται ένα σωρό περίεργους συνδυασμούς πλήκτρων. Ακόμα και όταν έκαναν την εμφάνισή τους οι πρώτες εφαρμογές που χρησιμοποιούσαν γραφικό περιβάλλον εργασίας (δηλαδή όχι μόνο χαρακτήρες, αλλά και διάφορα σχέδια), η ευχρηστία τους περιοριζόταν από το γεγονός ότι τα λειτουργικά συστήματα της εποχής δεν επέτρεπαν τη συνεργασία των εφαρμογών ούτε επέβαλλαν ένα κοινό τρόπο χειρισμού και απεικόνισης.

Όλα αυτά άλλαξαν με την έλευση των γραφικών λειτουργικών συστημάτων, κυρίως όμως με την κυκλοφορία του δημοφιλέστερου πακέτου που εμφανίστηκε ποτέ στο χώρο του λογισμικού, των Windows. Οι εκδόσεις που έχουν παρουσιαστεί, από τον καιρό που πρωτοκυκλοφόρησαν, είναι πολλές, όπως και οι προσθήκες. Η βασική ιδέα, ωστόσο, παραμένει η ίδια: με τα Windows, ο χρήστης έχει πλέον στον υπολογιστή του ένα ενιαίο, εύχρηστο και πλήρες περιβάλλον που τον βοηθά να διεκπεραιώσει όλες τις εργασίες του. Μπορεί να δουλεύει πολλές εφαρμογές ταυτόχρονα και να μετακινεί πανεύκολα δεδομένα από τη μία στην άλλη, περνώντας, για παράδειγμα, έναν πίνακα του Excel στο Word και το αντίστροφο. Μάλιστα, όλα αυτά τα πραγματοποιεί χρησιμοποιώντας βασικά το ποντίκι, χωρίς να χρειάζεται να απομνημονεύσει στρυφνές διαδικασίες και περίεργους συνδυασμούς πλήκτρων. Ο επαναστατικός αυτός νέος τρόπος χειρισμού ήταν ένας από τους βασικότερους λόγους για τη διάδοση των υπολογιστών στο ευρύ κοινό, η οποία εδώ και μία δεκαετία συνεχίζεται με αμείωτο ρυθμό.

Η ΙΣΤΟΡΙΑ ΤΩΝ MICROSOFT WINDOWS[Π1]

Τα Windows έκαναν την παρθενική τους εμφάνιση το Νοέμβριο του 1983. Τον ίδιο μήνα του 1985 παρουσιάστηκε στην αγορά η έκδοση 1.0 και ενάμιση χρόνο αργότερα η 2.0. Το μεγάλο «μπαμ» έγινε όμως στα μέσα του 1990, όταν η Microsoft έριξε στην αγορά την έκδοση 3.0, σημαντικά

(9)

Windows Vista Security Advancements 9 βελτιωμένη και το κυριότερο, ικανή να εκμεταλλευτεί σε κάποιο βαθμό τις προχωρημένες δυνατότητες του πανίσχυρου (τότε) επεξεργαστή 80386. Έπειτα από δύο χρόνια εμφανίστηκε στα ράφια η έκδοση 3.1, πουλώντας ένα εκατομμύριο αντίτυπα μέσα στο πρώτο δίμηνο κυκλοφορίας. Σε αυτήν, το περιβάλλον εργασίας ήταν πιο ώριμο, όπως και η υποστήριξη της

«εικονικής μνήμης», η οποία υπήρχε μεν στην 3.0 ,αλλά ήταν κυριολεκτικά …κρυμμένη. Λίγο αργότερα, η Microsoft παρουσίασε την 32μπιτη έκδοση NT (New Technology), κυρίως χρήση σε διακομιστές δικτύου, η οποία είχε περιορισμένη συμβατότητα με τα «απλά» Windows.

Έπειτα από μερικούς μήνες έφτασαν τα Windows for Workgroups 3.11, προς αντικατάσταση των 3.11. Βασικές προσθήκες τους αποτελούσαν τόσο η 32μπιτη πρόσβαση στα αρχεία, όσο και οι ανεβασμένες δυνατότητες δικτύωσης. Το 1995 είχαμε το μεγαλύτερο τεχνολογικό

«άλμα» στην ιστορία των Windows, καθώς με την έκδοση 95 αφενός ένα μεγάλο μέρος του πυρήνα πέρασε στα 32bit, αφετέρου το περιβάλλον εργασίας αναβαθμίστηκε θεαματικά. Επίσης το θρυλικό DOS έπαψε να είναι απαραίτητο για τη λειτουργία τους. Το 1996 ήρθε η έκδοση 4.0 των Windows NT, που υιοθετούσε το ίδιο περιβάλλον. Το 1998 ακολούθησε η έκδοση 98, η οποία ήταν ουσιαστικά ένα φρεσκάρισμα της 95, ενώ με το πέρασμα στη νέα χιλιετία τα Windows 98 διαδέχθηκε η έκδοση Me και τα NT η έκδοση 2000.

Τέλος, μέσα στο 2001 παρουσιάστηκε η έκδοση με το όνομα Windows XP, η οποία είναι αμιγώς 32μπιτη, διατηρεί ωστόσο όσο το δυνατόν μεγαλύτερη συμβατότητα με τα προγράμματα που έχουν γραφτεί για τα παλαιότερα λειτουργικά συστήματα .

ΔΙΑΧΩΡΙΖΟΝΤΑΣ ΤΟΝ ΠΥΡΗΝΑ ΑΠΟ ΤΟ ΠΕΡΙΒΑΛΛΟΝ

Καθώς τα σύγχρονα λειτουργικά συστήματα προσφέρουν ακόμη και προγράμματα ζωγραφικής και αναπαραγωγής μουσικής, αναρωτιέται κανείς αν αυτά παραμένουν μόνο λειτουργικά συστήματα ή αν αποτελούν πλέον ένα πακέτο εφαρμογών γραφείου. Πράγματι, οι νέες συνθήκες επιβάλλουν τον επαναπροσδιορισμό της έννοιας. Θα μπορούσαμε να πούμε ότι ένα σύγχρονο λειτουργικό σύστημα απαρτίζεται από τρία τμήματα. Το πρώτο είναι ο πυρήνας του, ο οποίος αποτελεί στην ουσία τη «μηχανή» του είναι «αόρατος» στο χρήστη αλλά και ιδιαίτερα σημαντικός όπως θα δούμε και στη συνέχεια για την ασφάλεια του συστήματος. Η σχεδίαση του πυρήνα, η οποία πρέπει να είναι αντίστοιχη της αρχιτεκτονικής του επεξεργαστή που χρησιμοποιεί ο υπολογιστής (16, 32, 64bit) καθορίζει τις βασικότερες δυνατότητες του λειτουργικού (πολυδιεργασία, υποστήριξη πολλαπλών επεξεργαστών, σύστημα αποθήκευσης αρχείων). Το δεύτερο «τμήμα» του λειτουργικού είναι το παρεχόμενο περιβάλλον εργασίας. Με τον όρο αυτό εννοούμε όλα όσα σχετίζονται με την αλληλεπίδραση που έχει ο χρήστης με τον υπολογιστή (από τα χρώματα και την οργάνωση της επιφάνειας εργασίας πάνω στην οθόνη, μέχρι τον τρόπο χειρισμού του ποντικιού και των παραθύρων). Είναι προφανές πως το περιβάλλον εργασίας δεν χαρακτηρίζει μόνο το ίδιο το λειτουργικό, αλλά και όλες τις εφαρμογές που εκτελούνται κάτω από αυτό.

(10)

Windows Vista Security Advancements 10 Αυτή η ομοιογένεια άλλωστε, είναι ένα από τα πιο δυνατά σημεία των νέων λειτουργικών συστημάτων. Τέλος, σε κάθε περίπτωση υπάρχουν και διάφορες συνοδευτικές εφαρμογές, οι οποίες αποτελούν το τρίτο μέρος του λειτουργικού . Αυτές μπορεί να είναι από προγράμματα επεξεργασίας κειμένου μέχρι παιχνίδια και διαχειριστές ηλεκτρονικής αλληλογραφίας, αλλά μολονότι παρέχονται μαζί με αυτό, δεν αποτελούν αναπόσπαστο τμήμα του, καθώς είναι δυνατόν να μην εγκατασταθούν. Στην περίπτωση αυτή, οι συγκεκριμένες εφαρμογές δεν είναι διαθέσιμες, ενώ το υπόλοιπο λειτουργικό εξακολουθεί να λειτουργεί κανονικά.

ΕΠΕΠΙΙΚΚΟΟΙΙΝΝΩΩΝΝΙΙΑΑ ΧΧΡΡΗΗΣΣΤΤΗΗ--ΥΥΠΠΟΟΛΛΟΟΓΓΙΙΣΣΤΤΗΗ

Αυτά τα επίπεδα μεσολαβούν ανάμεσα σε κάθε χρήστη υπολογιστή και στο υλικό (hardware). Κάθε εφαρμογή

ή πρόγραμμα που εγκαθιστάμε «κάθεται» πάνω στο λειτουργικό και απευθύνεται σε αυτό, χωρίς να ασχολείται με το υλικό του υπολογιστή. Την εργασία αυτή αναλαμβάνει με «διαφανή» τρόπο ο πυρήνας του λειτουργικού, μέσω των οδηγιών των διαφόρων συσκευών που διαθέτει το μηχάνημα. Σε πολλές περιπτώσεις, αλλά όχι σε όλες, ανάμεσα στο λειτουργικό και στο υλικό μεσολαβεί το BIOS του υπολογιστή

Παρακάτω θα αναφερθούμε με λίγα λόγια στο πρόσφατο και παράλληλα πιο επιτυχημένο λογισμικό της Microsoft από πλευράς ασφάλειας και στις λειτουργίες που αυτό παρείχε στο χρήστη.

WINDOWS XP

Εισαγωγή

Τα Windows XP[Π2] είναι η προτελευταία έκδοση του λειτουργικού συστήματος της Microsoft.

Βέβαια οι αρχικές εκδόσεις των Windows δεν ήταν ακριβώς λειτουργικά συστήματα αλλά περισσότερο ένα γραφικό περιβάλλον εργασίας που βασιζόταν στο λειτουργικό σύστημα MS- DOS της ίδιας εταιρείας. Με αργά αλλά σταθερά βήματα τα Windows εξελίχθηκαν και πήραν την σημερινή τους μορφή οπού πλέον αποτελούν ένα αξιόπιστο και φιλικό στη χρήση λειτουργικό σύστημα που έχει τις δυνατότητες να καλύψει τις ανάγκες των απλών χρηστών, των επαγγελματιών και των επιχειρήσεων. Για να επιτευχθεί αυτό υπάρχουν διάφορες εκδόσεις των Windows XP που η καθεμία απευθύνεται και σε μια κατηγορία χρήσεων.

Υπάρχουν οι παρακάτω εκδόσεις των Windows XP:

 τα Windows XP Home Edition που απευθύνονται σε απλούς χρήστες, Χρήστης

Εφαρμογή

Λειτουργικό Σύστημα

Οδηγοί Συσκευών

BIOS

Υλικό Υπολογιστή

(11)

 τα Windows XP Professional που απευθύνονται στους επαγγελματίες,

 τα Windows XP 64-Bit Edition που προορίζονται για να καλύψουν τις ανάγκες των επιχειρήσεων και των οργανισμών ως servers.

 τα Windows XP TabletPC για μίνι-φορητούς υπολογιστές.

Τα windows XP έχουν πολλά ενδιαφέροντα χαρακτηριστικά αλλά θα αναφερθώ περισσότερο στο θέμα της ασφάλειας που παρέχουν ώστε να έχουμε συγκρίσιμα συμπεράσματα σε σχέση με τα windows vista που θα παρουσιάσουμε παρακάτω.

ΘΕΜΑΤΑ ΑΣΦΑΛΕΙΑΣ ΤΩΝ XP

Η ασφάλεια είναι η καρδιά των Windows XP τα οποία περιλαμβάνουν τις παρακάτω λειτουργίες ασφάλειας:

 Λογαριασμοί και κωδικοί πρόσβασης χρηστών. Αυτά είναι τα βασικά στοιχεία του συστήματος ασφαλείας των Windows XP. Όταν εγκαθίστανται τα Windows XP για πρώτη φορά, το λειτουργικό σύστημα δημιουργεί αυτόματα ένα λογαριασμό Administrator (διαχειριστής). Μπορεί να δημιουργηθεί επίσης ένας προκαθορισμένος λογαριασμός χρήστη. Αν αργότερα γίνει σύνδεση με τον λογαριασμό Administrator, μπορούν να προστεθούν και άλλοι λογαριασμοί.

Διαχείριση των λογαριασμών των χρηστών.

Πρόσθεση νέου λογαριασμού, αλλαγή υπάρχοντος λογαριασμού και μεταβολή του τρόπου που συνδέονται οι χρήστες (με την κλασική Logon Screen ή με την νέα Welcome Screen)

(12)

 Ασφαλής σύνδεση. Αντίθετα με τα Windows 95 και τα 98, τα Windows XP απαιτούν, εκτός και αν έχουν ρυθμιστεί αλλιώς όπως θα δούμε παρακάτω, να πατάμε το Ctrl+Alt+Del και να δίνουμε ένα έγκυρο όνομα χρήστη και αντίστοιχο κωδικό πρόσβασης στην εκκίνηση του συστήματος. Αν το όνομα χρήστη δεν υπάρχει στην τρέχουσα λίστα των λογαριασμών ή αν ο κωδικός πρόσβασης δεν ταιριάζει με αυτόν που έχει οριστεί για αυτόν τον λογαριασμό, βλέπουμε ένα μήνυμα λάθους και δεν θα μπορούμε να ξεκινήσουμε τα Windows XP. Αυτό το βήμα εμποδίζει τους μη εξουσιοδοτημένους χρήστες να μπουν στα εμπιστευτικά σας αρχεία. Επειδή αυτή η διαδικασία μπορεί να είναι περιττή και χρονοβόρα σε ορισμένες περιπτώσεις, υπάρχει, με την ευθύνη του χρήστη πάντα, η δυνατότητα απενεργοποίησης του Ctrl+Alt+Del και αυτόματης σύνδεσης στο λειτουργικό σύστημα με την επιλογή ενός εικονιδίου που αντιστοιχεί σε κάποιον χρήστη.

Αυτό είναι ιδιαίτερα χρήσιμο για οικιακούς υπολογιστές όπου οι απαιτήσεις ασφαλείας είναι μειωμένες.

Η οθόνη καλωσορίσματος (Welcome Screen) που είναι νέο χαρακτηριστικό των XP, όπου ο χρήστης επιλέγει έναν λογαριασμό σύνδεσης κάνοντας κλικ στο αντίστοιχο εικονίδιο.

Η κλασική οθόνη σύνδεσης που πρωτοεμφανίστηκε στα Windows NT. Ο χρήστης πληκτρολογεί ένα όνομα και ένα κωδικό για να μπορέσει να συνδεθεί. Ανάλογα με την περίπτωση μπορεί να επιλέξει και τον τομέα (domain) που θα συνδεθεί.

 Δικαίωμα πρόσβασης αρχείων. Σε μονάδες που είναι μορφοποιημένες με το σύστημα NTFS, επιλέγονται χρήστες και ομάδες έχουν πρόσβαση σε αρχεία, φακέλους και ολόκληρες ομάδες.

 Λογαριασμοί ομάδων. Ορίζοντας ομάδες από χρήστες, ελέγχοντας έτσι την πρόσβαση σε πληροφορίες που βασίζονται σε μέλη ομάδων.

Πολιτική ομάδων. Ο διαχειριστής του συστήματος μπορεί να διαμορφώσει πολιτικές που εφαρμόζονται σε όλους τους χρήστες ενός υπολογιστή ή σε όλα τα μέλη μίας ομάδας. Με την πολιτική, για παράδειγμα, μπορούμε να απαιτήσουμε από τους χρήστες να αλλάζουν τους κωδικούς πρόσβασης κάθε 30 ημέρες, να τους εμποδίζουμε να εγκαθιστούν νέα προγράμματα οδήγησης συσκευών και να ελέγχουμε ποιοι χρήστες συνδέονται σε ένα τοπικό υπολογιστή.

(13)

Προστασία των Windows XP και το Windows Update

Τα Windows XP προσφέρουν:

α) Προστασία αρχείων των Windows

Τα Windows XP αποτρέπουν την αντικατάσταση βασικών αρχείων του συστήματος, όταν εγκαθίστανται νέα προγράμματα. Εάν ένα αρχείο έχει αντικατασταθεί, η Προστασία αρχείων των Windows θα επαναφέρει τη σωστή έκδοση.

β) Αποκλεισμό ελαττωματικών προγραμμάτων οδήγησης

Η τοποθεσία του Microsoft Windows Update στο Web διατηρεί βάση δεδομένων που ενημερώνεται σε τακτά χρονικά διαστήματα και η οποία περιέχει προγράμματα οδήγησης συσκευών με γνωστά θέματα. Καλό είναι να επισκεφθούμε πρώτα την τοποθεσία του Windows Update πριν να εγκαταστήσουμε νέο υλικό και η δυνατότητα αποκλεισμού των ελαττωματικών προγραμμάτων οδήγησης στα Windows XP θα αποτρέψει την εγκατάσταση προγραμμάτων οδήγησης που είναι γνωστό ότι προκαλούν σφάλματα.

ANTIMALWARE ΠΡΟΣΤΑΣΙΑ

Προστασία στο Internet

Τα Windows XP έχουν από μόνα τους μία προστασία για το internet που εμποδίζουν τους Hackers (εισβολείς), να μπαίνουν και να καταστρέψουν ή να βλέπουν τα αρχεία μας, και μας ειδοποιεί για τυχόν παρουσία τους. Το πρόγραμμα αυτό διατίθεται δωρεάν με την αγορά των Windows XP και είναι γνωστό ως Firewall.

Πληροφορίες σχετικά με το Windows Update

Το Windows Update είναι η ηλεκτρονική επέκταση των Windows, η οποία μας βοηθά να διατηρούμε ενημερωμένο τον υπολογιστή μας. Χρησιμοποιούμε το Windows Update για να επιλέξουμε ενημερωμένες εκδόσεις για το λειτουργικό σύστημα, το λογισμικό και το υλικό του υπολογιστή μας. Νέο περιεχόμενο προστίθεται τακτικά στην τοποθεσία, ώστε να μπορούμε πάντα να αποκτήσουμε τις πιο πρόσφατες ενημερωμένες εκδόσεις και ενημερώσεις κώδικα, οι οποίες προστατεύουν τον υπολογιστή και διασφαλίζουν την ομαλή λειτουργία του.

(14)

ΕΝΟΤΗΤΑ 2

Microsoft

^®

Windows Vista™ Security Advancements

ΕΙΣΑΓΩΓΗ ΣΤΗ ΑΣΦΑΛΕΙΑ ΤΩΝ WINDOWS VISTA

Τα Windows Vista είναι η πρώτη έκδοση των Windows® που αναπτύσσεται χρησιμοποιώντας τον κύκλο ζωής ανάπτυξης ασφάλειας της Microsoft, ο οποίος κάνει την ασφάλεια κορυφαία προτεραιότητα από την αρχή, με τον καθορισμό μιας επαναλαμβανόμενης διαδικασίας εφαρμοσμένης μηχανικής που κάθε υπεύθυνος για την ανάπτυξη πρέπει να ακολουθήσει, ώστε να ελέγχει έπειτα εκείνη την διαδικασία. Τα Windows Vista μειώνουν επίσης τον κίνδυνο ευπαθειών υπέρβασης απομονωτών μέσω των βελτιωμένων διαδικασιών δοκιμής και ανάπτυξης, και προσθέτουν αυξήσεις ασφάλειας στα εξηντατετράμπιτα συστήματα.

Με τον έλεγχο απολογισμού χρηστών, τα Windows Vista διευκολύνουν τους καθημερινούς χρήστες να τρέξουν τους απολογισμούς με τις τυποποιημένες άδειες, που μειώνουν τη «περιοχή επιφάνειας» για τις επιθέσεις. Η αρχιτεκτονική σύνδεσης των windows έχει ξανασχεδιαστεί επίσης για να βελτιώσει την αξιοπιστία και να επιτρέψει εναλλακτικές ισχυρές μεθόδους επικύρωσης. Οι βοήθειες προστασίας πρόσβασης στο διαδίκτυο συντηρούν την ασφάλεια των εταιρικών δικτύων με το να δώσουν τη δυνατότητα στους διοικητές δικτύων να κρατήσουν προστατευμένα από ιούς τα pc. Η βελτιωμένη υποστήριξη με τις έξυπνες κάρτες διευκολύνει τις οργανώσεις να συμπληρώσουν τους κωδικούς πρόσβασης για μία multifactor επικύρωση.

Τα Windows Vista παρέχουν την καλύτερη προστασία από το ενδεχομένως ανεπιθύμητο λογισμικό malware, και τις παρεισφρήσεις μέσω της ολοκλήρωσης της malware τεχνολογίας Windows Defender, μιας ενισχυμένης, αμφίδρομης αντιπυρικής ζώνης παραθύρων, και των προόδων στο κέντρο ασφάλειας των Windows Vista που απλοποιεί τη διαδικασία και τη θέση ασφάλειας του PC ενός χρήστη.

Τα Windows Vista χαρακτηρίζονται επίσης από διάφορες αυξήσεις που βοηθούν να προστατεύσουν τα ευαίσθητα στοιχεία, συμπεριλαμβανομένης της κρυπτογράφησης Drive BitLocker™ που προστατεύει καλύτερα τα στοιχεία όσον αφορά τα χαμένα, κλεμμένα ή

(15)

Windows Vista Security Advancements 15 αφοπλισμένα PC, τις επεκταθείσες διοικητικές υπηρεσίες δικαιωμάτων παραθύρων και βοηθούν τον έλεγχο οργανώσεων που έχει πρόσβαση στα ευαίσθητα στοιχεία, και τις βελτιώσεις στο σύστημα κρυπτογράφησης αρχείων. Οι πολιτικές ομάδας για τους διοικητές των λογισμικών έχουν ενισχυθεί για να περιορίσουν την εγκατάσταση του νέου υλικού και τη χρήση των κλειδιών USB και άλλων μετακινούμενων συσκευών αποθήκευσης. Ο Internet Explorer ® 7 των Windows Vista αντιπροσωπεύει ένα σημαντικό βήμα προς τα εμπρός στην ασφάλεια μηχανής αναζήτησης και την προστασία μυστικότητας.

Η νέα αρχιτεκτονική της μηχανής αναζήτησης των Windows Vista έχει ως σκοπό να δώσει στους χρήστες περισσότερη εμπιστοσύνη στην ασφάλεια της δραστηριότητας του σερφαρίσματος βοηθώντας επίσης να προστατεύσει τα προσωπικά στοιχεία του χρήστη από επιθέσεις ψευδών ιστοχώρων. Οι πρόοδοι περιλαμβάνουν έναν προστατευμένο σερφάρισμα στο διαδίκτυο βοηθώντας να αποτρέψει τους χάκερ από τη λήψη της μηχανής αναζήτησης του χρήστη και την εκτέλεση του κώδικα.

Το χαρακτηριστικό γνώρισμα τοποθετήσεων βοηθά τους χρήστες να κρατήσουν την προστασία ασφάλειάς τους στο κατάλληλο επίπεδο κατά την εγκατάσταση και το χρησιμοποίηση ποικίλων εφαρμογών Διαδικτύου. Ένας φραγμός θέσης ασφάλειας βοηθά τους χρήστες να διαφοροποιήσουν γρήγορα μεταξύ των αυθεντικών, ύποπτων ή κακόβουλων ισόχωρων, με το φίλτρο της Microsoft Phishing το οποίο βοηθά τους χρήστες να σερφάρουν ακίνδυνα με τη συμβολή του στην ανίχνευση ύποπτων ή γνωστών phishing ιστοχώρων. Τα Windows Vista έχουν ως σκοπό όχι μόνο να μετριάσουν τις σημερινές απειλές, αλλά να εξελιχθούν για την αντιμετώπιση των μελλοντικών απειλών. Οι αναπροσαρμογές διανέμονται αυτόματα, το νέο malware και οι ενδεχομένως ανεπιθύμητοι ορισμοί λογισμικού θα απελευθερώνονται ανάλογα με τις ανάγκες του Windows Defender, και ο εξερευνητής Διαδικτύου θα προειδοποιεί τους χρήστες για τις πιο πρόσφατες phishing περιοχές.

Οι πρόοδοι στο υλικό υπολογιστών - συμπεριλαμβανομένου των μοναδικών ικανοτήτων των εξηντατετράμπιτων επεξεργαστών νέας γενιάς, καθώς επίσης και οι λύσεις υλικού όπως η εμπιστευμένη ενότητα πλατφορμών (NX) [Π3] - έχουν επιτρέψει τις βελτιώσεις ασφάλειας που δεν ήταν προηγουμένως δυνατές σε πλατφόρμες windows. Τα ακόλουθα κεφάλαια παρέχουν λεπτομερείς περιγραφές αυτών των αυξήσεων ασφάλειας όπως εφαρμόζονται στις τρέχουσες εκδόσεις Windows Vista. Δεδομένου ότι η διαδικασία ανάπτυξης συνεχίζεται, η Microsoft αναμένεται να ενισχύσει και να επιδιορθώσει αυτά τα χαρακτηριστικά γνωρίσματα απαντώντας στη δοκιμή των πελατών που ανατροφοδοτούν. Οι μελλοντικές εκδόσεις θα καλύψουν τις πρόσθετες αλλαγές και θα παράσχουν μια περιεκτικότερη επισκόπηση αυτών των χαρακτηριστικών γνωρισμάτων.

(16)

ΚΕΦΑΛΑΙΟ 2.1

ΠΡΟΙΟΝΤΑ ΑΣΦΑΛΕΙΑΣ VISTA

Εφαρμοσμένη μηχανική για μια ασφαλή πλατφόρμα - Κύκλος της ζωής ανάπτυξης ασφάλειας

Αρχικά το 2003, η Microsoft καθιέρωσε τις ισχυρές εσωτερικές διαδικασίες σχεδίου και ανάπτυξης ασφάλειας για να βοηθήσει τις ομάδες εφαρμοσμένης μηχανικής να δημιουργήσουν ασφαλέστερα προϊόντα. Ο κύκλος της ζωής ανάπτυξης ασφάλειας (SDL) [Π4] είναι μια εξελισσόμενη διαδικασία όπου οι βοήθειες εξασφαλίζουν ότι το λογισμικό και οι λύσεις της επιχείρησης χτίζονται από το μηδέν και μειώνουν αρκετά τον κίνδυνο ασφάλειας. Το SDL εφαρμόζει μια αυστηρή διαδικασία σχεδίου ασφαλείας: της κωδικοποίησης, της δοκιμής, της αναθεώρησης και της απάντησης για όλα τα προϊόντα της Microsoft που επεκτείνονται σε μια επιχείρηση, τα οποία χρησιμοποιούνται συνήθως για να χειριστούν τις ευαίσθητες ή προσωπικές πληροφορίες, ή που επικοινωνούν τακτικά μέσω του Διαδικτύου. Οι βοήθειες SDL αφαιρούν τις ευπάθειες και ελαχιστοποιούν τη

«περιοχή επιφάνειας» για τις επιθέσεις, βελτιώνουν την ακεραιότητα συστημάτων και εφαρμογής, και βοηθούν τις οργανώσεις να απομονώσουν τα δίκτυά τους ώστε να διαχειριστούν ασφαλέστερα. Αν και το SDL έχει χρησιμοποιηθεί εκτενώς σε διάφορα βασικά προϊόντα της Microsoft, τα Windows Vista είναι το πρώτο λειτουργικό σύστημα πελατών που αναπτύσσεται από την αρχή.

Η διαδικασία εφαρμοσμένης μηχανικής πήρε όλα τα μαθήματα από τις αναθεωρήσεις ασφάλειας των προηγούμενων εκδόσεων Windows, την ανάλυση των κεντρικών (MSRC- miscrosoft security responce) δελτίων ασφάλειας της Microsoft, και των πρακτικών εφαρμοσμένης μηχανικής από τους κύκλους ανάπτυξης SP2 windows XP της Microsoft και SP1 το 2003. Από την αρχή, οι ομάδες συνεργάστηκαν με σύμβουλο την ασφάλεια που χρησίμευσε ως οδηγός σε ένα σημείο επαφής για το πρόγραμμα από την αρχική σύλληψη ως την ολοκλήρωση και την τελική αναθεώρηση ασφάλειας. Οι αναθεωρήσεις ασφάλειας και οι δοκιμές χτίστηκαν σε κάθε βήμα του κύκλου ανάπτυξης των windows. Η ομάδα πρωτοβουλίας ασφάλειας επίθεσης στα παράθυρα (SWIAT) διεύθυνε εκτενείς

(17)

Windows Vista Security Advancements 17 αναθεωρήσεις σχεδίου και δοκιμές διείσδυσης στα windows vista, με στόχο τα μέρη του κώδικα ή του σχεδίου του προϊόντος που χρειάστηκαν την πρόσθετη εργασία να επιτύχουν ένα αποδεκτό επίπεδο αντίστασης στις επιθέσεις. Η ομάδα SWIAT των «εσωτερικών χάκερ»

συμπληρώθηκε από ερευνητικούς αναδόχους ασφάλειας που προήλθαν από τις κορυφαίες εξεταστικές επιχειρήσεις έρευνας και διείσδυσης ασφάλειας. Περισσότερα από 1.400 πρότυπα απειλής αναπτύχθηκαν για τα Windows Vista ώστε να εξασφαλίσουν τον προσδιορισμό των κινδύνων που απαίτησε το μετριασμό του συστήματος, τον κώδικα που χρειάστηκε τη πρόσθετη προσοχή, και τα μέρη του λειτουργικού συστήματος που απαιτούσαν εντατική δοκιμή. Η ομάδα πρωτοβουλίας ασφάλειας παραθύρων (SWI) παρείχε στις ομάδες προϊόντων την κατάρτιση και τα εργαλεία να υποστηριχθεί η διαδικασία διαμόρφωσης απειλής, και η ομάδα αναθεώρησε τα πρότυπα απειλής με σκοπό την πληρότητα και το βάθος του κώδικα.

Σε όλη τη διαδικασία ανάπτυξης, τα Windows Vista ελέγχθηκαν σε σχέση με τις ευπάθειες που ανακαλύφθηκαν στα windows XP. Και τα δύο λειτουργικά συστήματα επιδιορθώθηκαν συγχρόνως, και οι διαδικασίες και τα εργαλεία ασφάλειας που περιλαμβάνονται επαναξιολογήθηκαν και βελτιώθηκαν όπου ήταν δυνατόν. Η αυτοματοποίηση ήταν μια βασική εστίαση στη διαδικασία εφαρμοσμένης μηχανικής. Οι ομάδες προϊόντων χρησιμοποίησαν επίσης τα εργαλεία που ανέπτυξε η Microsoft για να βρει ορισμένους τύπους ευπαθειών κώδικα - συμπεριλαμβανομένου του PREfix και PREfast [Π5], τα οποία είναι εργαλεία ανάλυσης κώδικα πηγής που ανιχνεύουν ορισμένες κατηγορίες λαθών τα οποία δεν βρίσκονται από χαρακτηριστικούς μεταγλωττιστές. Τα εργαλεία ενσωματώνονται καθαρά μεσ’

τη διαδικασία κατασκευής, μειώνουν το χρόνο ανάπτυξης, βελτιώνουν την αναθεώρηση κώδικα, και τη γενική ποιότητα και αξιοπιστία. Η ομάδα Windows σχολίασε όλες τις λειτουργίες των Windows Vista που περιέχουν τους αναγνώσιμους ή writeable απομονωτές χρησιμοποιώντας την τυποποιημένη γλώσσα σχολιασμών (SAL) [Π6], η οποία επιτρέπει σε αυτά τα αυτοματοποιημένα ποιοτικά εργαλεία κώδικα να αξιολογήσουν τη χρήση των μεταβλητών και των απομονωτών-buffers- που βοηθούν τους υπεύθυνους για την ανάπτυξη ώστε να ανιχνεύσουν και να αφαιρέσουν τα εκμεταλλεύσιμα λάθη κωδικοποίησης.

Χρήσιμα εργαλεία ανάπτυξης των Vista

Ένα από τα δοκιμασμένα εργαλεία των windows είναι τα fuzz τμήματα [Π6] των Vista τα οποία αναλύουν και επεξεργάζονται εκτενώς τις εισαγωγές από τις ενδεχομένως επικίνδυνες πηγές. Η Fuzz δοκιμή αυτοματοποιεί στη διαδικασία της τα αλλοιωμένα ή malformed στοιχεία για να δει πώς εξετάζουν τις ενδεχομένως κακόβουλες εισαγωγές, και είναι πολύ αποτελεσματική στην ανίχνευση των ευπαθειών που ένας επιτιθέμενος θα μπορούσε να εκμεταλλευτεί για να τρέξει τον κακόβουλο κώδικα ή να αναγκάσει ένα τμήμα λογισμικού να αποτύχει. Η Fuzz δοκιμή στους ιδιαίτερα σύνθετους

(18)

Windows Vista Security Advancements 18 κατατμητές συμπληρώθηκε από μια αναθεώρηση κώδικα ασφάλειας και ένα βαθύτερο επίπεδο σχολιασμών -SAL annotations.

Ένα άλλο αναπτυγμένο εργαλείο της Microsoft, λέγεται FxCop, όπου οι διοικούμενες ανιχνεύσεις εφαρμογές κώδικα για τις ευπάθειες και τις βοήθειες αποτρέπουν τον κακόβουλο κώδικα να εκμεταλλευτεί τις υπερβάσεις απομονωτών στις εφαρμογές.

Επιπλέον, η visual C++® της Microsoft προσθέτει στους ελέγχους απομονωτών (buffer control) λειτουργίες που είναι άτρωτες στην επίθεση. Αυτά τα εργαλεία αναπτύχθηκαν αρχικά για εσωτερική χρήση στη Microsoft αλλά είναι επίσης διαθέσιμα στην κοινότητα υπεύθυνων για την ανάπτυξη στο οπτικό Studio® 2005. Η βάση του κώδικα αναπτύχθηκε για διάφορα ζητήματα που οδηγούν συνήθως στις ευπάθειες ασφάλειας. Όλες οι περιπτώσεις κρυπτογραφικών αλγορίθμων αναθεωρήθηκαν για να αξιολογήσουν οποιεσδήποτε αδυναμίες στην επιλογή του βασικού αλγορίθμου. Περισσότερο από 100 προγραμματισμένα APIs που έχουν χρησιμοποιηθεί με μη αποτελεσματικό τρόπο στο παρελθόν αφαιρέθηκαν συστηματικά από τη βάση κώδικα και αντικαταστήθηκαν με τις ασφαλέστερες εκδόσεις. Επιπλέον, τα τμήματα τρίτων που στέλνονται στα Windows Vista αναθεωρήθηκαν ως προς το SDL. Η Microsoft παρέχει επίσης τις λεπτομερείς οδηγίες σχετικά με το SDL στους ανεξάρτητους προμηθευτές για την ανάπτυξη λογισμικού και την παγκόσμια κοινότητα ασφάλειας, που θα επιτρέπει σε άλλους να βελτιώσουν την ασφάλεια των προϊόντων τους.

Για να βοηθήσει να εξασφαλιστεί ένα ασφαλέστερο υπολογιστικό περιβάλλον, η Microsoft εργάζεται επίσης προς την κοινή πιστοποίηση κριτηρίων (CC). Τα Windows Vista θα εξεταστούν ανεξάρτητα στα εργαστήρια τρίτων χρησιμοποιώντας κριτήρια που τίθενται από την οργάνωση διεθνών προτύπων (ISO), με το στόχο την επίτευξη EAL4 και των ενιαίων πιστοποιήσεων σχεδιαγράμματος προστασίας επιπέδων OS.

Σκλήρυνση υπηρεσιών παραθύρων

[Π7].

Οι υπηρεσίες συστημάτων είναι διαδικασίες υποβάθρου που τρέχουν πάντα για να υποστηρίξουν τη βασική λειτουργία. Είναι ένας σημαντικός στόχος για τις κακόβουλες επιθέσεις λογισμικού επειδή τρέχουν χαρακτηριστικά με τα υψηλότερα πιθανά προνόμια συστημάτων (καλούμενα LocalSystem). Μια κακόβουλη επίθεση που εκμεταλλεύεται τις υπηρεσίες συστημάτων θα μπορούσε να προκαλέσει προβλήματα με το τρέξιμο του αυθαίρετου κώδικα σε προνόμια διοικητών στη μηχανή του χρήστη. Για να μετριάσουν αυτήν την απειλή, τα Windows Vista εισαγάγουν την έννοια των «περιορισμένων υπηρεσιών»

που τρέχουν κάτω από τα λιγότερα πιθανά προνόμια και περιορίζουν τις δραστηριότητές τους στo τοπικό pc ή το δίκτυο. Ένα περιορισμένο πρόγραμμα υπηρεσιών τρέχει από την αρχή με τα ελάχιστα προνόμια και τις ικανότητες. Η περιορισμένη προσέγγιση υπηρεσιών μειώνει

(19)

Windows Vista Security Advancements 19 σημαντικά τον αριθμό των υπηρεσιών που είναι σε θέση να εκμεταλλευτεί ο κακόβουλος κώδικας και έτσι μηδενίζεται η απεριόριστη ζημία στη μηχανή ενός χρήστη.

Η προσωπική αντιπυρική ζώνη των Windows Vista ευθυγραμμίζεται με τη πρωτοβουλία σκλήρυνσης υπηρεσιών Windows πλατφόρμων, η οποία επιτρέπει στην αντιπυρική ζώνη να επιβάλει τους εισερχόμενους και εξερχόμενους περιορισμούς πρωτοκόλλου για τις διαδικασίες δικτύωσης. Επιπλέον, οι μεμονωμένες υπηρεσίες μπορούν να προσδιοριστούν μεμονωμένα, το οποίο επιτρέπει τη σφιχτότερη χρήση ανά-υπηρεσία των καταλόγων ελέγχου πρόσβασης, όπως η άδεια των διαδικασιών για να γράψει μόνο σε συγκεκριμένους τομείς του συστήματος αρχείων, τo script-writing. ή άλλων πόρων συστημάτων. Αυτό βοηθά να αποτραπεί μια συμβιβασμένη υπηρεσία από τις μεταβαλλόμενες σημαντικές τοποθετήσεις διαμόρφωσης στο σύστημα ή το script αρχείων, ή τη μόλυνση άλλων υπολογιστών στο δίκτυο.

Οι υπηρεσίες παραθύρων πυρήνων που περιλαμβάνονται στα Windows Vista έχουν τα σχεδιαγράμματα υπηρεσιών που καθορίζουν τα απαραίτητα προνόμια ασφάλειας για την υπηρεσία, τους κανόνες για τους πόρους συστημάτων, και εξερχόμενους λιμένες δικτύων που οι υπηρεσίες έχουν την άδεια να χρησιμοποιήσουν. Εάν μια υπηρεσία προσπαθεί να στείλει ή να λάβει τα στοιχεία όσον αφορά έναν λιμένα δικτύων στη Microsoft είναι επίσης διαθέσιμα στην κοινότητα υπεύθυνων για την ανάπτυξη σε οπτικό Studio® 2005. Ότι δεν εξουσιοδοτείται να χρησιμοποιηθεί, η αντιπυρική ζώνη εμποδίζει την προσπάθεια πρόσβασης στο δίκτυο. Παραδείγματος χάριν, η υπηρεσία μακρινής κλήσης διαδικασίας στα Windows Vista περιορίζει την αντικατάσταση των αρχείων συστημάτων, την τροποποίηση του registry, ή την τοποθέτηση μιας άλλης διαμόρφωσης υπηρεσιών στο σύστημα (όπως τα αρχεία διαμόρφωσης λογισμικού αντιιών και καθορισμού υπογραφών). Ένας συγκεκριμένος στόχος της υπηρεσίας παραθύρων που σκληραίνει είναι να αποφύγει τη διοικητική πολυπλοκότητα για τους χρήστες και τους διοικητές συστημάτων.

Κάθε υπηρεσία που περιλαμβάνεται στα Vista παραθύρων ήταν μέσω μιας αυστηρής διαδικασίας που καθορίζει το σχεδιάγραμμα σκλήρυνσης υπηρεσιών των παραθύρων της, το οποίο εφαρμόζεται αυτόματα κατά τη διάρκεια της εγκατάστασης των Windows Vista και δεν απαιτεί καμία διαχείριση, συντήρηση ή αλληλεπίδραση από τον τελικό χρήστη.

Η υπηρεσία των windows vista που σκληραίνει έχει ως σκοπό να χρησιμοποιηθεί από τους ανεξάρτητους προμηθευτές λογισμικού (ISVs). Η Microsoft συνεργάζεται με ανεξάρτητους προμηθευτές για την τεχνολογία του λογισμικού έτσι τα τμήματα υπηρεσιών που παράγουν να είναι ασφαλέστερα κατά την τρέξιμο των Windows Vista. Αυτή η υποδομή χρησιμοποιείται από υπηρεσίες συστημάτων «opt-in» στη βάση, έτσι δεν υπάρχει κανένας αντίκτυπος συμβατότητας εφαρμογής με τις υπηρεσίες συστημάτων κληρονομιών (όπως οι υπηρεσίες που συνοδεύουν το λογισμικό τρίτων)