Meninger om Windows Vista kernel sikkerhet

[inzyr]

Nå har jeg lest litt om Microsofts idé om å legge inn PatchGuard i Vista uten muligheten å slå den av og har begynt å lure litt på hvorfor ikke flere folk reagerer på dette. Nå vet jeg ikke om dette vil være slik når den endelige versjonen av Vista lanseres og for å være ærlig er jeg ikke sikker at jeg har forstått meg helt på PatchGuard, så vær så god og rett på meg om jeg har missforstått noe. Den eneste erfaringen jeg har med PatchGuard er den som er på Windows XP Pro 64bit og der har jeg av erfaring sett at PatchGuard hjelper med å holde gode mjukvarar uten, mens de som virkelig vil skape skade kommer seg inn uansett. Det finnes flere dokumenter som forklarer hvordan en kan slå av PatchGuard eksternt i XP64, noe som mange skadelige mjukvarar har benyttet seg av, mens de som lager respektfulle mjukvarar vegrer seg fra å bruke slike metoder for å få mjukvaran sin til å fungere. Nå så kan det sies at PatchGuard ble lagt til XP64 med en oppdatering, mens Vista har blitt bygget opp rundt selve PatchGuard som et sikkerhetstiltak og er sikkert mye vanskeligere å slå av.

 

Jeg forstår veldig godt at for folk flest er PatchGuard et godt sikkerhets tiltak som vil bedre sikkerheten generelt sett og det vil eliminere ting som rotverktøy, etc... Problemet ligger i om vi burde miste friheten bare for å få litt bedre sikkerhet? Nå er jeg ikke en gjennomsnittlig person, men jeg er en aktiv bruker av kernel drivere (kernel patching) og føler ikke for å måtte gi opp dette. Jeg bruker kernel drivere til mange ting slik som når kernelen spør om noe så svarer driveren de svarene jeg vil istedenfor det som faktisk er slik at jeg har full kontroll på hva kernelen vet og gjør. Videre kan jeg se alle skrive og lese operasjonene som skjer i registeret og kan blokkere eller tillate dem før de når registeret, det samme gjelder HDD skrive og lese operasjoner, tilgang til minne adresser, etc... Spesielt liker jeg å ha en sandboks kjørende som tillater meg å prøve ut filer uten å frykte at jeg kan bli smittet, det er bare å tilbakestille sandboksen. Dette og mange andre ting blir egentlig gjort gjennom kernel drivere. Mener faktisk også et av mjukvaran jeg bruker til å slette filer som er i bruk uten å måtte restarte pcen (heter Unlocker om jeg ikke tar feil) også bruker kernel drivere for å få gjort jobben sin. Nå vet jeg ikke om Microsoft vil tillate slike drivere å kjøre gjennom PatchGuard om de er sertifiserte, men tror nok at sertifiseringen kommer til å koste en del og betyr derfor slutten på gratis mjukvara som bruker slike metoder.

 

Sant nok finnes det andre metoder å få til akkurat den funksjonaliteten som jeg snakker om, e.g. kan sikkert det å emulere en hel pc (VMWare) brukes som sandboks, men det er mye vanskeligere å konfigurere, tar mer plass, har mye mindre ytelse og krever en egen lisens (om du da har tenkt å være lovlig). Ellers så kan det nevnes at å spørre registeret etter forandringer hvert sekund kan også brukes som en alternativ metode for å se lese eller skrive operasjoner til registeret og selv om dette er metoden de fleste mjukvarar bruker i dag så har denne metoden også ulemper slik som skaden kan allerede være gjort på det øyeblikket det tar å spørre etter forandringer, det bruker mye mer av prosessoren og kan skape korrupsjon om du prøver å stenge tilgang til en nøkkel mens et annet mjukvara prøver å skrive til det.

 

Det jeg prøver å si er at jeg nå har full kontroll over operativt systemet mitt, hva det gjør, hva det vet, hvordan forskjellige mjukvarar har lov til å behandle hverandre, etc... Dette gir meg en stor trygghet, jeg frykter som regel ikke sikkerhetshull fordi de fleste sider eller mjukvarar som prøver seg på dem blir logget og stoppet inntill jeg tillater dem å oppføre seg på en slik måte (gjelder ikke alle sikkerhetshull), det samme gjelder virus og spion mjukvarar. Slik jeg ser det er den beste sikkerheten en bruker som kjenner operativtsystemet sitt veldig godt, vet alt som foregår og kan kontrollere alt i det. Tror aldri Microsoft kunne erstatte den sikkerheten jeg har nå, selv om jeg skulle overgi all kontroll til dem, noe som er akkurat det jeg må gjøre med PatchGuard. Hva er deres meninger om dette?

Endret 3. oktober 2006 av inzyr

[iMono]

Nå er det slik at Microsoft vil, for den jevne bruker, forhindre at de fleste rootkit-angrepene skjer på datamaskiner. Microsoft vil ha PatchGuard for at ingen skal få tilgang til kjernen. Unntak er det som gjør Windows usikkert. Antivirus-selskaper, les Symantec, frykter at undergangen er nær og klager på at MS ikke vil la de;

 

1) Fritt modifisere kjernen til Vista

2) Kunne erstatte sikkerhetssenteret i Vista.

 

Begge disse to tingene er restriktert for kundens beste. Man er sikret mot de værste angrepene, man sikrer kontinuitet og brukervennlighet samtidig som de minsker behov for support. Antivirus-programmer har fortsatt en jobb å gjøre i Vista (spamfilter, malvare-søk, overvåking av filer osv), men Symantec frykter at færre folk vil kjøpe deres antivirusprogram pga. Microsoft sin nye tilnærming av restriksjoner på modifiseringer av kjernen. Det eneste Vista vil gjøre er å begrense tilgangen til kjernen. Tilgang til kjernen skjer nå gjennom modifiserte APIer. Et eksempel på dette er lyddrivere som før kunne forårsake kjernefeil.

 

Symantec burde slutte å lage bloatwaren sin og heller tenke på å få et Vista-kompatibelt antivirusprogram. Jeg har prøvd Norton Antivirus 2007 som IKKE fungerer på Vista. Kanskje like greit når det faktisk er bloatware fra helvete.

 

Et spørsmål; Skal iglene, Symantec / McAfee, fortsatt kunne ta betalt HALVPARTEN av prisen for Ultimate-oppgradering eller skal de tilpasse seg til hva markedet og det OSet de lager antivirus for? Symantec skriker til EU og roper "antitrust". Hadde de hatt noen gode kort for hånden hadde de brakt MS inn for retten. Symantec tenker penger når det gjelder dette, det gjør ikke MS. PatchGuard er for brukerens vel, og hva så om salg av antivirusprogram går ned? Det er jo bare bra spør du meg.

Endret 6. oktober 2006 av Dell_9200

[inzyr]

Post #2

7011247[/snapback]

Jeg er enig med deg på noen punkter, men du har noen argumenter som jeg ikke helt kan se. Ja, jeg forstår veldig godt argumentet med rotverktøy og å stoppe en større spredningen av dette, men det er jo nettopp dette antivirus skal gjøre, å filtrere skadelige filer fra nyttige filer. Dette på en måte som ikke begrenser brukerens frihet og kontroll. Det blir som det var på flyplassen, vanligvis blir alle mobiltelefoner, mp3-spillere, etc... skannet for at ingen skal kunne gjemme noe ulovlig i dem og ta det med ombord i flyet, men nå plutselig skulle det ikke være lov å ta meg enkel elektronikk ombord i flyene av fare for å bruke dem som detonatorer. Sikkerheten blir minimalt bedre da detonatorer kan smugles inn på så mange måter, men friheten er fjernet og folk føler et viss ubehag under turen (ingen musikk, spill, etc...).

 

Det du gjør med PatchGuard er å overlate kontrollen over hva som skjer i OS til MS, nå hvis vi ikke skal gå innpå at MS ikke er mest kjent for sitt brukervennlige strategi (tenk WGA), så vet vi at PatchGuard aldri kan erstatte et menneske. Jeg stoler mye mer på at jeg selv vet hva som skal skje i kjernen og hva som ikke burde skje enn at PatchGuard skal blokkere alt tilgang forutom MS sin. Dette er ikke til brukerens beste, dette er den enkleste veie å gå for øke sikkerheten i Vista. Det eksisterer nok restriksjoner i dag, trenger ikke å ha OS mitt også restriktere at jeg ser og kontrollerer hva det gjør og ikke gjør. Jeg synes forsatt at mitt oppsett i XP gir meg mer sikkerhet en Vista noen gang vil og det er nettopp på grunn av kontroll av OS jeg har det. Når det gjelder drivere som forårsaker kjernefeil så forstår jeg dette argumentet, men det samme kan sies om mange programmer og er et problem du ikke kommer deg unna, selv med PatchGuard.

 

Antivirus er og mest sannsynlig alltid vil være en del av det du må ha i tillegg til et OS for å ha god nok sikkerhet. Nå er jeg ikke veldig begeistret for Symantec og McAfee da jeg mener at de lager bloatware og har selv erfart dette, men jeg forstår dem når det snakker om at tilgang til kjernen er blokkert. Argumentene der er de samme som jeg har snakket om i min første post så jeg skal ikke repetere meg her, men skal du kunne beskytte et OS så burde du kunne ha tilgang til alt som skjer på det. Når det gjelder sikkerhetssenteret i Vista, så er det ikke noe som interesserer meg mye og vet ikke så mye om dette, men igjen forstår jeg argumentene dems hvis MS sitt antivirus skal få tilgang, men ingen andres. Det blir som om du kjøper en Lexus og med den kan du kjøpe en radio. Kjøper du en radio fra Lexus så passer den fint inn i dashbordet og du får enkel og grei tilgang til den, men kjøper du en radio fra e.g. Panasonic så må denne installeres under sete til sjåføren og du må alltid bøye deg for å få tilgang til radioen. Hvem ville da folk flest ha kjøpt? Selv om Panasonic sin radio ville vært overlegen Lexus sin, så ville folk forsatt ha kjøpt Lexus sin. Så her igjen er jeg enig at om ikke andre antivirus selskaper får tilgang til sikkerhetssenteret så burde ikke MS sitt antivirus heller få tilgang, rett skal være rett. Når det gjelder de andre argumentene hvor Symantec, McAfee, etc... tar overbetalt og slikt så er jeg enig, selv om jeg håper på at Symantec får noe resultat i saken med MS her.

 

PatchGuard er ikke til brukerens beste, det er bare den enkleste vei for MS å gå for å øke sikkerheten (som bare økes minimalt) og det er en restriksjon som kommer mest sannsynlig til å bli misbrukt senere. Jeg vil heller ha min frihet en påtvunget sikkerhet.

[TorsteinP]

Jeg vil nå heller sammenligne det med å kjøpe en bil og så kreve full tilgang til hele datasystemet i bilen (alle biler har elektronisk datastyring i dag) slik at du kan fikle, justere og overvåke alt som skjer. M.a.o. du stoler ikke på jobben bilfabrikken har gjort med datasystemet.

 

Jeg synes det er flott at MS nå får skikkelig beskyttelse av kernel så ikke alle og hvermansen kan sitte og lage små kode snutter som sikkert kan være bra, men det finnes alikevel endel som ikke alltid har gode hensikter med det de lager.

 

Kjør WinXP eller Linux hvis du ikke liker det. Du er jo ikke nødt til å oppgradere.

[inzyr]

Jeg vil nå heller sammenligne det med å kjøpe en bil og så kreve full tilgang til hele datasystemet i bilen (alle biler har elektronisk datastyring i dag) slik at du kan fikle, justere og overvåke alt som skjer. M.a.o. du stoler ikke på jobben bilfabrikken har gjort med datasystemet.

 

Jeg synes det er flott at MS nå får skikkelig beskyttelse av kernel så ikke alle og hvermansen kan sitte og lage små kode snutter som sikkert kan være bra, men det finnes alikevel endel som ikke alltid har gode hensikter med det de lager.

 

Kjør WinXP eller Linux hvis du ikke liker det. Du er jo ikke nødt til å oppgradere.

7064279[/snapback]

Vel det er jo nettopp det mange bil entusiaster gjør, får tilgang til systemet og konfigurerer det for bedre ytelse og i de tilfeller hvor det ikke er mulig å få tilgang til systemet så byttes systemet ut med et mer åpent system som tillater "tweaking". Dette er ikke mulig å bytte kernel i Windows så det blir ikke helt den samme tingen her. Når det gjelder å bare forsette å bruke Windows XP eller Linux så kan jeg fortelle deg at at jeg bruker Linux allerede og kommer sikkert til å bruke XP en stund videre også, men på grunn av omstendighetene så kommer jeg mest sannsynlig også til å være en av de første med Vista. Hadde alle bare byttet til Linux så ville mitt liv vært mye enklere, men dessverre så lenge Windows dominerer og Vista kommer til å ta over for XP så er jeg nødt til å måtte migrere over til Vista også enten jeg liker det eller ei (ikke alle som har et enkelt liv hvor de bare kan gjøre slik som de vil). Synes denne kommentaren din var litt tullete og useriøs da å holde seg til en plattform som har sine dager talte ikke er en løsning, det er å ignorere problemene.

[inzyr]

Etter mye diskusjon rundt denne problemstillingen så har jeg funnet ut at veldig mye kommer til å bli annerledes i Vista, e.g. har jeg forstått det slik at i motsetning til andre Windows versjon så vil Administrator kontoen på pcen være mer privilegert enn systemet selv. Om dette viser seg å stemme så vil det tillatte for noen spesielle løsninger og samtidig med at jeg har lest veldig mye om hvor mange som faktisk greide med relativ enkelhet å komme seg rundt PatchGuard så er kanskje ikke dette problemet så stor som først antatt. Derfor har jeg bestemt meg for å ikke ta sorgen på forhånd og se hva som kommer ut av dette.

Endret 4. november 2006 av inzyr