PLNÁ VERZE
Secunia Personal Software Inspector UpdateStar – aktualizace aplikací uzavírání bezpečnostních děr
7 šokujících faktů o Windows
Pojďme se zblízka podívat na nepříjemné stránky a problémy Windows, za které může Microsoft. Ukážeme vám, co se nám na produktech z Redmondu nelíbí…
MARKUS MANDAU
Přestože běžné problémy známé z XP, jako jsou pády a bezpečnostní mezery, byly ve Windows 7 z větší části vyřešeny, uživatelé důvěřují svým Windows jen částečně. Není se čemu divit, neboť nákup Windows se zcela liší (například) od nákupu tiskárny nebo pevného disku. Z právního hlediska totiž software nekupujete do "svého vlastnictví", ale nákupem pouze získáváte přesně určená práva, jak se softwarem můžete nakládat. Pro vážné zájemce o tento komplexní problém doporučujeme článek na serveru jednoho z partnerů Microsoftu (www.daquas.cz/articles/340-vsechno-co-bystemelivedet-o-licencich-windows-7).
Bohužel ale vždy platí, že jako "bonus" dostanete k softwaru i celou řadu chyb a zranitelností – a software od Microsoftu není žádnou výjimkou (viz grafika vpravo). Ukážeme vám nebezpečné chyby, jejichž oprava trvala Microsoftu "příliš dlouho", a poradíme vám, jak se jich zbavit.
BEZOHLEDNÉ
Windows XP odstraní data Visty a Windows 7
Tomuto bodu by měli věnovat zvýšenou pozornost především ti, kdo chtějí na svém počítači souběžně používat Windows 7 a starší Windows XP. Bez zásahu uživatele totiž dojde k podstatnému omezení ochrany systému. Už více než čtyři roky (od představení systému Vista) je známo, že při startu Windows XP se přepíší body obnovy novějšího operačního systému. Podrobnější informace o problému také naleznete na stránkách Microsoftu (http://support.microsoft.com/kb/926185/en-us).
Příčina problému: Ve Windows Vista upravil Microsoft systém zabezpečení a zálohovaná data se ukládají do stínových kopií. Jsou kombinovány s ovladačem Volsnap.sys, který pomáhá Windows připojovat a integrovat oddíl (partition). Pokud XP přistupují k disku pomocí VolSnap ovladače, pak nerozpoznají body obnovení a data mohou snadno přepsat.
Smutný konec: Microsoft tvrdí, že oprava by byla příliš drahá, protože by to znamenalo zavést techniku "stínových kopií" na XP. Místo toho najdete v textu technické podpory alternativní řešení: před nabootováním Windows XP odpojit disk se systémem Windows Vista nebo 7. Pokud ale máte oba systémy na jednom fyzickém disku, toto řešení použít nelze. My doporučujeme skrýt oddíl s Vistou nebo Windows 7 před "zraky" Windows XP. Pro tento účel musíte v registru (ve větvi "HKEY_LOCAL_MACHINE\SYSTEM\ Mounted devices") vytvořit tzv. off-line klíč. Například pokud máte nová Windows na disku D, musíte do zmiňované větve přidat DWORD klíč "\DosDevices\D:" a jeho hodnotu nastavit na 1.
Další nesoulad mezi XP a jejich nástupci: Starý systém na NTFS disku začíná v sektoru 63, zatímco Vista a Windows 7 až v sektoru 1 024. Pokud vytvoříte nový diskový oddíl ve Windows XP nebo pomocí starého "Partition Manageru", pak zmizí všechny disky dříve vytvořené s Windows Vista nebo Windows 7.
Řešení od Microsoftu: Nevytvářejte nové oddíly pomocí Windows XP. Naše řešení: Partition Wizard, který je kompatibilní jak s Windows Vista, tak i s Windows 7.
POCHYBNÉ
Zranitelné systémové komponenty
Mezi obzvláště chráněné části systému Windows patří bezesporu jádro. Pokud se v něm něco "pokazí", je v ohrožení celý systém. O to víc určitě uživatele překvapí, že až donedávna bylo možné ohrozit modul jádra (konkrétně Win32k.sys) pouze pomocí jednoduché změny hodnoty registru. Na základě této chyby mohl útočník získat nejvyšší systémová práva, a to i v nejnovějších Windows 7 a při aktivované "Kontrole uživatelských práv". Tento nedostatek byl objeven na konci listopadu a oprava se objevila až na počátku února – po více než dvou měsících!
Chyba byla v modulu systému RtlQueryRegistryValues, který spravuje registr hodnot pro paměť RAM. Modul obsahuje záznam (v podobě řetězce DWORD) o velikosti aktuálně přidělené paměťové oblasti. Pokud je ale tento typ položky registru převeden (i s omezenými právy) na binární hodnotu, změní se přidělené paměťové oblasti a dojde k přetečení vyrovnávací paměti. Není příliš překvapivé, že hackeři mají už od loňského roku k dispozici exploit zneužívající tuto chybu. Podrobnější informace najdete (včetně odkazu na exploit) na webu www.eeye.com (do vyhledávání zadejte číslo 20101124 – datum objevení zranitelnosti). Za zmínku stojí, že soubor Win32k.sys se stal cílem hackerů již v létě loňského roku – modul bylo možné zneužít přes API GetClipboardData (www.securityfocus.com/bid/43773/info). Zajímavé je, že jen v loňském roce Microsoft opravil více než deset chyb souvisejících s jádrem systému.
"Nezaznamenáváme všechny zranitelnosti ve Windows."
Mike Reavey, vedoucí "Microsoft security team"
Další problematickou komponentou, která však nesouvisí s jádrem, ale s připojením k internetu, je ActiveX. Tu Microsoft představil již v minulém tisíciletí spolu s Internet Explorerem 3, kde měla rozšířit schopnosti prohlížeče. ActiveX moduly byly přednostně používány výrobci softwaru především k nahrání doplňků prohlížeče nebo souborů s aktualizacemi pro lokálně nainstalované programy. Fakt je, že již patnáct let chybí pro ActiveX přísnější bezpečnostní politika, místo toho se objevuje stále více různorodých ActiveX modulů. Zkušenosti uživatelů a statistiky ukazují logické důsledky této strategie: poslední tři roky vede ActiveX seznam nejčastějších zranitelnosti prohlížeče. Například databáze zranitelností americké vlády obsahuje záznamy o 338 chybách v ActiveX komponentách. Sám Microsoft odhaduje, že přibližně polovina ovládacích prvků ActiveX, které jsou určeny pro práci a webovými stránky, nemá standardní zabezpečení a může být zneužita. Dalo by se tedy říci, že cesta k bezpečnějšímu surfování vede přes prohlížeč nepoužívající ActiveX. Lze tedy doporučit zakázat ActiveX v Internet Exploreru nebo přejít k Firefoxu, Opeře či Chrome.
NEJISTÉ
Zranitelná místa zůstávají nezazáplatovaná řadu let
Každé první úterý v měsíci se pravidelně objevují nejnovější bezpečnostní záplaty od Microsoftu. Ani uživatelé, kteří nevynechali ani jednou aktualizaci, si však nemohou být jisti, že v jejich Windows nezůstala žádná známá zranitelnost. Některá (dle Microsoftu nedůležitá) slabá místa totiž někdy zůstávají bez záplat celé roky. Například známá WFP (Windows File Protection – ochrana souborů systému Windows), která brání programům v nahrazení důležitých systémových souborů, používá ve Windows XP digitálním certifikátem podepsané soubory. WFP má zabránit průniku malwaru do systému – pokud malware smaže systémový soubor (nebo ho modifikuje), WFP ho pomocí kontroly digitálního podpisu nahradí originální verzí (ta je uložena ve složce /system32/dllcache). Podrobnější informace o této zranitelnosti najdete například na webu firmy Juniper (www.juniper.net/security/auto/vulnerabilities/vuln6482.html).
V létě roku 2010 firma FSecure, zabývající se bezpečnostními technologiemi, zjistila, že stále více malwaru určeného pro manipulaci se systémovými soubory používá digitální podpis s cílem překonat zmiňovanou ochranu ve Windows XP. V databázích FSecure je v současnosti již přibližně 400 000 vzorků malwaru opatřených digitálním podpisem. A to není pro uživatele Windows XP příliš povzbudivé číslo…
PROBLEMATICKÉ
Reklamní kampaň pro zastaralý IE8
V březnu 2010 rozjel Microsoft čtyřměsíční reklamní kampaň, propagující Internet Explorer 8 jako bezpečný prohlížeč s celu řadou bezpečnostních funkcí – v zahraničí se objevila dokonce kontroverzní "zvracecí" reklama (www.youtube.com/watch?v=W6D7CjbrieE), upozorňující na "soukromý režim" prohlížení. Pravda sice je, že ve srovnání s IE7 došlo opravdu ke zlepšení a zmiňovaný soukromý režim skutečně konkurence (v té době) nenabízela. Některé bezpečnostní funkce však byly vázány na novější operační systémy (od Visty výše) a některé, jako například ochrana proti Cross Site Scriptingu, způsobily uživatelům (a správcům sítí) obrovské problémy (viz odstavec Nefunkční). Na začátku listopadu 2010 se objevil další problém – zcela selhal Smart Screen Filter. Úkolem tohoto filtru je varovat surfaře před phishingovými weby, ten však místo toho zablokoval stránky bank a dalších finančních služeb (jako je například Visa).
To by nebyl až takový problém, kdyby bylo řešením pouze odinstalovat prohlížeč. Zádrhel je totiž v tom, že i když se "teoreticky" Internet Exploreru zbavíte, operační systém využívá jeho engine pro připojení k webu – například pro aktualizace.
Tomu ale můžete zabránit: Spusťte Internet Explorer a v nabídce "Nástroje | Možnosti internetu" přejděte na kartu "Připojení". Poté klikněte na tlačítko "Nastavení místní sítě", přidejte zatržíko u položky "Použít pro síť LAN server proxy" a do políčka pro adresu zadejte položku "0.0.0.0".
Upozornění: Toto je poněkud problematické řešení, protože existuje celá řada jiného softwaru (který nechcete blokovat) využívajícího nastavení Internet Exploreru. Zda tedy opravdu stojí za to deaktivovat IE, to se musí každý rozhodnout sám.
NEFUNKČNÍ
Problematické bezpečnostní funkce
Reklamní kampaň pro IE8 ale měla i další "chybu": kromě funkce Smart Screen Filter by měl surfaře před útoky z webu teoreticky chránit ještě XSS (cross-site scripting) filtr. Technika XSS umožňuje útočníkovi spustit škodlivý kód i na důvěryhodných stránkách, obvykle pomocí zmanipulovaného odkazu. Bohužel webů zneužitelných pomocí XSS je (i v oblasti financí) poměrně dost, použití filtru je tedy rozumné řešení. Když reklamní kampaň začínala, musel Microsoft pomocí záplaty filtr již potřetí opravovat. Chyba ve filtru totiž zapříčinila, že některé bezpečné stránky (například vyhledávání na Googlu) mohly být znovu zranitelné XSS útoky…
Na rozdíl od jiných nástrojů na blokování XSS, jako je například známý doplněk pro Firefox jménem NoScript, filtr od Microsoftu nezasahuje, pokud je XSS kód odeslán z prohlížeče na server. Ten se stává aktivním až v okamžiku, kdy se serverem zpracovaný skript vrací zpět do prohlížeče. Toho využili hackeři a dokázali zmanipulovat XSS filtr pro své vlastní potřeby. Za tuto nepříjemnou chybu získal Microsoft v roce 2010 na bezpečnostní konferenci Black Hat negativní ocenění "Most Epic FAIL". Podobnou ostudu utržil při svém příchodu na trh Onecare – nový antivir Microsoftu. Jako jeden z mála totiž nedokázal v prestižních testech časopisu Virus Bulletin rozpoznat 100 % známých škůdců. Při prvním testu v roce 2007 nedokázal rozpoznat přibližně 18 % malwaru (většina konkurence nerozpoznala méně než 1 % škůdců)! Mezitím byl ale tento bezpečnostní nástroj přejmenován na Security Essentials a z hlediska detekce malwaru na základě signatur je už na stejné úrovni s konkurencí. Stále mu ale chybí celá řada bezpečnostních funkcí – například detekce neznámých virů na základě chování.
SCHIZOFRENNÍ
Zmatené směry vývoje…
Ve společnosti Microsoft pracuje na různých produktech a službách celá řada týmů. Zajímavá situace nastala, když se tým vývojářů rozhodl "vypustit" finální verzi prohlížeče Internet Explorer 8 s aktivním filtrováním "InPrivate". Tato funkce umožňuje snadno blokovat "sdílené informace", které mohou být zneužity ke špehování uživatele, k reklamním aktivitám nebo u nástrojů na "měření webu".
Protože je ale Microsoft aktivní také v reklamní oblasti, byla tato funkce implicitně deaktivována a musíte ji manuálně zapnout při každém spuštění Internet Exploreru. Pokud chcete filtr InPrivate používat implicitně, musíte upravit záznam v registru. Spusťte regedit, přejděte do větve "HKEY_CURRENT_USER\Software\ Microsoft Internet Explorer\Safety\PrivacIE" a zde vytvořte klíč DWORD s názvem "Start mode" s hodnotou "1".
Je také možné implicitně zapnout surfování v "soukromém režimu" (procházení se službou InPrivate).
Stačí zkopírovat na plochu ikonu IE a upravit její "Vlastnosti": do položky "Cíl" přidat na konec atribut "private". Celý záznam pak může vypadat například takto:
C:\Program Files\Internet Explorer\ iexplore.exe –private.
K zajímavému "zmatku" zřejmě v Microsoftu dochází také mezi některými divizemi. Obrovská diskuse se například strhla nad otázkou dalšího vývoje "flash alternativní" platformy jménem Silverlight. Celou kauzu odstartovala keynote Steva Ballmera na Professional Developers Conference na konci loňského roku, který ve své přednášce (www.microsoft.com/presspass/exec/steve/2010/1028PDC10.mspx) zdůrazňoval zaměření na HTML 5 a o platformě Silverlight se téměř nezmínil. Důležitost HTML 5 byla znát i při představování Internet Exploreru 9. Olej do ohně nakonec přilil i Scott Barnes, který v rozhovoru potvrdil, že "cross-platform/cross-devices" je pro Microsoft HTML5 (www.zdnet.com/blog/microsoft/microsoft-our-strategy-with-silverlighthas-shifted/7834).
Tato nová strategie by měla pravděpodobně dalekosáhlé následky například pro Windows Presentation Foundation (WPF) – a především pro platformu Silverlight. Nyní se tedy zdá, že Silverlight bude využíván pouze pro zvláštní úkoly nebo pro Windows Mobile 7. Do budoucna by tedy mohl standard HTML5 nahradit i WPF jako programové rozhraní pro Windows.
ZASTARALÉ
Příslušenství tvoří odpad
Už od svého vzniku obsahují standardní Windows celou řadu jednodušších nástrojů, jako jsou Poznámkový blok nebo Malování. Toto "příslušenství" ale může jen velmi těžko soutěžit s externím (i bezplatným) softwarem. V operačním systému Windows 7 byla nejen přidána výbava v multimediální oblasti, ale také došlo k částečnému vylepšení některých základních programů. I tak lze ale tyto nástroje označit spíše za zbytečný odpad, protože stále nabízejí pouze základní funkce. To je škoda, protože Microsoft má k dispozici celou řadu kvalitních nástrojů – typickou ukázkou je Paint.NET. Tento elegantní grafický nástroj, vyvinutý ve spolupráci s Washingtonskou univerzitou, by uspokojil naprostou většinu obyčejných uživatelů pracujících s grafikou. Pomocí PSD doplňku v něm lze dokonce přímo pracovat se soubory z Photoshopu.
V podobné situaci je Poznámkový blok, který lze označit za pouze nouzový nástroj. Jeho "open-source" varianta Notepad++ nabízí nejen kontrolu pravopisu, ale jeho možnosti lze rozšířit pomocí celé řady doplňků.
Windows nabízí komprimační funkci, která však pracuje s formátem "zip". Na webu jsou ale nyní používány především formáty RAR a 7z. Uživatel je tedy nucen použít alternativní nástroj – například v podobě programu 7zip. Dalším omezením u Windows XP je možnost zápisu pouze na CD: opět je nutné využít alternativní software – například nástroj Burning Studio. Pro práci se soubory není příliš elegantní použít standardní nástroj v podobě Průzkumníka Windows, doporučujeme spíše alternativu v podobě QDir, nebo Průzkumníka alespoň vylepšit pomocí doplňku QTTabBar.
Můžeme tedy jen doufat, že v budoucnu Microsoft nabídne v rámci systému alespoň částečně použitelné nástroje, aby uživatelé nemuseli sami hledat alternativy pro lepší využití počítače.
AUTOR@CHIP.CZ
CHYBY MICROSOFTU: BEZ ZÁPLAT OD ROKU 2002
Microsoft neuzavřel všechny známé mezery ve Windows a Internet Exploreru. Některé zůstaly otevřené více než osm let.
Windows 7 67
Vista 223
XP 370
IE8 67
IE7 141
IE6 217
PÁD SYSTÉMU: CHYBY V SYSTÉMOVÝCH KOMPONENTÁCH
Které soubory jádra jsou zodpovědné za chyby nalezené ve Windows XP
MEZERY V PROHLÍŽEČI
Moduly ActiveX jsou zodpovědné za téměř polovinu zranitelností v prohlížeči.
ActiveX 42,0 %
Mozilla Add-ons 1,0 %
Flash Player 7,0 %
QuickTime 8,0 %
Adobe Reader 15,0 %
Java 26,0 %
Špehují vás Windows?
O tom, že velké korporace typu Google či Facebook shromažďují o svých uživatelích velké množství dat, jste se již v Chipu mohli dočíst mnohokrát. Určitě vás proto nepřekvapí, že i Microsoft, respektive jeho Windows odesílají do Redmondu celou řadu informací. Prozradíme vám, jaké informace to jsou a jak toto "nevyžádané odesílání" vypnout.
WINDOWS GENUINE ADVANTAGE
Kontrola pravosti by měla zajistit, že používáte legálně získaná Windows. Operační systém za tímto účelem provede kontrolu hardwaru a vytvoří balík informací, obsahující například kontrolní součet BIOS, MAC adresu nebo sériové číslo pevného disku. Také sbírá informace o systému – jako je ID produktu nebo aktivační klíč. Odstranit Windows Genuine Adavantage (WGA) manuálně je mimořádně složité; pokud se k tomuto kroku odhodláte, doporučujeme spíše využít specializované nástroje (například muBlinder), které tento úkol zvládnou rychleji a spolehlivěji. Je ale nutné upozornit, že vzhledem k tomu, že jde o odstranění ochrany a zásah do softwaru, není tato úprava legální. Také je nutné si uvědomit, že pokud odstraníte WGA, budete váš systém dostávat pouze důležité aktualizace zabezpečení.
MICROSOFT SPYNET
Pomocí integrovaného antispywarového softwaru Defender a volitelného antiviru Security Essentials se může stát každý uživatel součástí komunity SpyNet. Pokud se objeví u jednoho z programů potenciální riziko, odešlou se informace týkající se hrozby do Microsoftu. Jde o informace o IP-adrese, verzi Windows a prohlížeče. Součástí balíku dat jsou i další informace, například o vyhledávaných pojmech, "mini-dump" paměti, nebo informace, odkud hrozba pochází. Pokud ale nechcete tyto informace sdílet, můžete se ze SpyNetu odhlásit. V Defenderu kliknete na "Nástroje Komunita Microsoft SpyNet" a označíte položku "V tuto chvíli se nechci připojit ke komunitě Microsoft SpyNet". Alternativním řešením je přímo úprava registrů – zde je nutné v sekci "HKEY_LOCAL_ MACHINE\ SOFTWARE\Microsoft\Windows Defender\SpyNet" změnit hodnotu klíče "SpyNetReporting" na "0".
Zde je ale nutné zvážit, zda v tomto případě poskytnutí určitých informací nevyváží celkový přínos tohoto bezpečnostního řešení. Pokud však pro zabezpečení počítače používáte lepší nástroje (například bezpečnostní balík), můžete odesílání dat Defenderu bez zaváhání vypnout…
Foto: Odstranění WGA: Ilegální nástroj muBlinder blokuje kontrolu legálnosti systému a umožní nahrát chybějící záplaty.
Foto: Deaktivace SpyNetu: Používáte-li lepší bezpečnostní nástroj, můžete SpyNet bez výčitek vypnout…
Podceňovaná síla Windows
Abychom byli korektní, musíme přiznat, že nové operační systémy Microsoftu nejsou jen sbírkou děr a zranitelností. Již od Windows Vista je v operačním systému několik nepříliš známých funkcí, které rozhodně vyvrací image pomalého a nebezpečného operačního systému.
OCHRANA PAMĚTI: Windows lze od verze Vista označit jako systém, který je podstatně obtížnější cracknout než například Linux nebo Mac OS X. Důvodem jsou ASLR (Address space layout randomization) a DEP (Data execution prevention), dvě technologie, které hackerům znesnadňují přístup do paměti.
FUNKCE PRO SSD: Windows 7 jsou první operační systém, který detekuje nové typy disků a dokáže jim přizpůsobit i práci systému. Životnost SSD disků také mohou Windows 7 prodloužit pomocí příkazu TRIM.
GPU AKCELERACE: S Windows 7 se hardwarové požadavky pro přehrání záznamů ve vysokém rozlišení podstatně snížily. Důvod: Do systému integrovaný filtr, sloužící k přehrávání videa, využívá pro hardwarovou akceleraci také grafické čipy.
Foto: Nebezpečné: Provozovat Windows XP spolu s moderními Windows na jednom disku může být rizikové...
Foto: Riziko: Toto nastavení proxy serveru může také omezit přístup některých aplikací k internetu!
Foto: Bezpečněji: Pomocí jednoduchého triku nastavíte implictní spouštění Internet Exploreru v bezpečném režimu.