![]() |
|
сделать стартовой | добавить в избранное |
![]() |
Вирусы против технологии NX в Windows XP SP2 |
Идеальных систем не бывает. И что бы в Microsof ни говорили о курсе на укрепление безопасности своих продуктов, ошибки и критические уязвимости в них будут находить всегда. Установка Service Pack 2 может попортить немало крови даже опытному администратору (См., например, статью Безопасная Wi dows. А ведь главный "бонус" такой установки - повышение уровня безопасности Wi dows XP. Так стоит ли овчинка выделки для обычного домашнего пользователя или пока ему вполне можно и подождать?. Основные угрозы безопасности Взглянем на двадцатку "самых популярных" вредоносных программ минувшего сентября. Табличку, на самом деле, можно сильно сократить: по большей части она заполнена разнообразными штаммами червей e Sky, Bagle и Mydoom. Одно место досталось венгерскому червю Zafi и еще два занимают представители семейства троянских программ. Все до единого участники "горячей двадцатки" используют только доверчивость и неопытность пользователя: черви распространяются по электронной почте и через P2P-сети в виде исполняемых файлов, а троянцев пользователи вообще подкидывают друг другу сами. А значит, Service Pack 2 на эту ситуацию принципиально не повлияет: "дырки" в головах компьютеровладельцев он, увы, закрыть не в состоянии. Так, может, его и устанавливать не надо? Проведем простейший эксперимент: подключим ПК со свежеустановленной Wi dows XP Professio al SP1 к Интернету через одного из крупнейших московских провайдеров - "МТУ-Интел" (который вроде бы даже фильтрует в своей сети наиболее известные и опасные вирусы - и уж точно должен был бы фильтровать MSBlas ), откроем в IE сайт "Компьютерры" и засечем время. Спустя примерно восемнадцать минут (и скажите еще спасибо, что вам эти 18 минут дали. В студенческих сетях общежитий того же МГУ "время жизни" незащищенной машины составляет не более 3–5 минут компьютер, как и ожидалось, подцепил вирус W32.Blas er.Worm. Так что бросаться из крайности в крайность не стоит: хотя бы наиболее критичные заплатки (в данном случае - KB823980) поставить все-таки необходимо. К тому же MSBlas - всего лишь самый известный червь, проникающий на компьютер без каких-либо действий со стороны пользователя, но есть и гораздо более опасные "незаметные" черви, от которых антивирусы защищают плохо. Так, много шуму наделала обнаруженная в конце лета уязвимость MS04-28 в стандартной библиотеке GDI Wi dows XP(См. Функции этой библиотеки, используемые для просмотра JPEG-файлов, содержат ошибку типа "переполнение буфера" и позволяют при просмотре специально сформированной картинки запустить на компьютере жертвы произвольный код. Библиотеку, включенную во все разновидности Wi dows XP, используют не только I er e Explorer и Ou look, но и едва ли не каждая вторая программа, которой приходится просматривать картинки этого формата. О масштабах угрозы красноречиво говорят пять (!) выпущенных патчей и список "affec ed sof ware" на два экрана. А самое печальное, что, даже установив эти патчи, в полной безопасности вы себя все равно не почувствуете, ибо добрые программисты, дабы не терять совместимости своих продуктов с версиями Wi dows, отличными от XP, и использовать в полной мере преимущества нового графического интерфейса, запросто могли включить в дистрибутивы уязвимую копию GDI .
К счастью, летом и в начале осени вирусы вели себя на удивление тихо, так что ожидаемая аналитиками эпидемия почтового вируса, использующего эту уязвимость, не состоялась. Пока. Но "потенциал" у JPEG-эксплойта потрясающий, и сомневаться в том, что рано или поздно появится целое семейство соответствующих вирусов, не приходится (в интернете на "клубничных" сайтах уже обнаружились первые "ласточки". Остается лишь порадоваться тому, что хотя информация о MS04-28 появилась только 14 сентября (SP2 вышел двумя неделями раньше), основные заплатки от этой мерзости второй сервис-пак все же содержит (впрочем, это тема для отдельного обсуждения (см., например, материал Мы впишем новую страницу!). Da a Execu io Preve io - защита от еще не существующих эксплойтов Впрочем, "недолго музыка играла". Да, из десятка опубликованных с момента выхода SP2 новых уязвимостей большая часть в Wi dows XP SP2 не работает. Да, на сегодняшний день не существует ни одного хотя бы концептуального эксплойта, на практике доказывающего возможность поражения Wi dows XP с установленным SP2. Но (возвращаясь к началу статьи) первые соответствующие уязвимости уже найдены и описаны. Например, выпущенный недавно кумулятивный апдейт MS04-038 к I er e Explorer(См. затрагивает и Wi dows XP SP2 - правда, пока лишь в ранге Impor a , а не Cri ical. Итак, что же получается? SP2 не дает ничего принципиального нового по сравнению с заплаткой KB833987 и подобных ей? Не совсем: счастливые обладатели процессоров AMD A hlo 64/Sempro (Socke 754) и последних степпингов Pe ium 4 Presco /Celero D, наконец-то получат работающую аппаратную "противовирусную поддержку" в виде специального бита X в таблицах трансляции виртуальной памяти. Если не вдаваться в подробности (за которыми я отсылаю к статье, упомянутой в предыдущей сноске), благодаря этому биту операционная система может запретить выполнение кода из определенных областей памяти. В случае с SP2 Microsof попросту запрещает выполнять код из любых областей, для которых явным образом не сказано, что они предназначены именно для кода. И одновременно по умолчанию запрещает запись в страницы, объявленные для хранения кода. Так что какую бы уязвимость в обработке сетевых запросов ни содержала программа, запустить вредоносный код на машине жертвы невозможно: записать вирус в участки памяти, уже занятые программным кодом, нельзя - они защищены от записи. А записывать вирус в любое другое место - в стек или область данных (что и используется во всевозможных уязвимостях с переполнением буфера) - смысла нет, поскольку запустить его оттуда на компьютере с аппаратной поддержкой X не удастся. Все эти хитрости корпорация называет технологией DEP (Da a Execu io Preve io ). Честно говоря, вооружившись собственноручно написанной крошечной программкой, проверяющей функционирование DEP, я был несколько обескуражен тем, что на свежеустановленной Wi dows XP Professio al (кстати, кто-нибудь из читателей может объяснить, почему после установки SP2 надпись "Professio al" с загрузочного экрана исчезает?) имитация атаки переполнением буфера прошла более чем успешно.
Оказалось, что по умолчанию технология Da a Execu io Preve io в новом сервис-паке включена только для загадочных "наиболее критичных системных приложений". Видимо, Microsof решила, что вылет приложений по срабатыванию DEP (например, из бенчмарков по DEP "вылетает" Vulpi e GLmark) может переполнить чашу терпения пользователей. Однако и выключить DEP совсем, если компьютер ее аппаратно поддерживает, не так-то просто: правка ключей загрузки в файле boo .i i - процедура, конечно, простая, но уж больно "в стиле U ix", а значит, далеко не каждый пользователь туда полезет (не могу удержаться и от подколки в адрес "интуитивно понятного интерфейса" Wi dows: в лучших традициях Microsof настройки DEP находятся. в пункте Perfoma ce Op io s ("Параметры быстродействия"), доступном со вкладки Adva ced ("Дополнительно") диалога Sys em ("Система") из "Панели управления". Впрочем, до верха идиотизма - процесса настройки системы на прием входящих звонков (для установления прямого, так сказать, "нуль-провайдерского" модемного соединения) - эта особенность не дотягивает. Если кто не знает - делается подобная операция только из меню "Дополнительно" штатного "Проводника", причем появляется этот пункт меню только при заходе в папку "Сетевые подключения". Даже с инструкцией на руках я нашел его лишь с третьей попытки - просто не мог представить, что в абсолютно неизменном и никогда не используемом меню Explorer вдруг добавится еще один жизненно необходимый пункт). Поскольку с эксплойтами к Wi dows XP SP2 пока не густо, мы испытывали защиту X "в полевых условиях" на обычных файловых вирусах. Некоторые зловредные программы, в частности Virus.Wi 32.Jess.a, DEP тоже "хватает за руку" при попытке, например, внедрения своего кода в адресное пространство I er e Explorer. Так что если на вашем компьютере DEP забила тревогу для первого файла. второго. третьего. - есть серьезный повод обеспокоиться. Жаль только, что срабатывание аппаратной защиты по X равносильно аппаратному прерыванию SEGFAUL , гарантированно убивающему породивший его процесс со стандартно-извиняющимся сообщением Microsof . К сожалению, такова особенность защиты, и изменить здесь что-либо невозможно. И поскольку терпеть подобного рода фатальные ошибки можно далеко не всегда, предусмотрена возможность выборочного отключения DEP для конкретных приложений и процессов. Конечно, порой это не слишком удобно, однако безопасность дороже. И хотя я так и не решился поставить SP2 на домашнюю систему (нет ни малейшего желания возиться и перенастраивать или переустанавливать массу привычных и часто использующихся профессиональных программ, в число которых, например, входят два IDE, довольно тесно интегрирующихся с ОС и ревниво относящихся к подобного рода изменениям), но будь у меня компьютер, в котором можно включить аппаратный DEP, я бы поступил иначе. Microsof , правда, заявляет и некие программные элементы DEP, но ни я, ни специалисты "Лаборатории Касперского" так и не смогли выяснить, в чем это проявляется: эксплойты на подобной системе прекрасно работают (да и удивительно было бы, если б было иначе, - бит X трудно чем-то заменить).
Детерминизм опять оказывается ограниченным случайностью, это так называемый стохастический детерминизм. И совсем другое положение в попытках прогнозировать развитие живой природы. В объеме газа случайные флуктуации компенсируют друг друга, на первый план выступает среднее значение. В популяции живых организмов случайное, непредсказуемое изменение генетической программы, усиливаясь в миллиарды миллиардов раз, изменяет состояние всей системы. Вспомните о принципе усиления! Еще один эффектный его пример. В начале 1918 года где-то во Франции квант ультрафиолетового излучения попал на взвешенную в воздухе вирусную частицу – вирион гриппа. Так, а может быть, и иначе, произошла мутация, возник новый штамм вируса, против которого были бессильны защитные системы человеческого организма. Вспыхнула эпидемия, быстро перекинувшаяся на Испанию, оттуда, под названием «испанки» – на весь мир. Смертность достигала 30 процентов, и в результате всемирная эпидемия (пандемия) унесла 20 миллионов человек – много больше, чем первая мировая война
1. Тесты производительности Windows XP против Win 2000, NT4, 98 и ME
2. Новые технологии. Microsoft Office XP
3. Программирование в LE-технология Microsoft Windows
9. Windows Xp: Войди в систему красиво
10. Windows XP - для начинающих
11. Общие сведения о Windows XP
12. Панель управления (Windows XP)
14. Перехват API-функций в Windows NT/2000/XP
16. Влияние космоса на современные информационные технологии
17. Вирусы
18. Профилактические и оздоровительные мероприятия против лейкоза крупного рогатого скота
19. Усиление борьбы в России сторонников западных ценностей жизни против русской национальной культуры
20. Преступление против государства. Бандитизм ст. 69 УК Украины
25. Джироламо Савонарола против Медичи
26. Агрессия Германии против Польши
27. Компьютерные вирусы и антивирусные программы
29. Использование информационных технологий в туризме
30. Автоматизированные информационные технологии в офисе
31. Современные сетевые и информационные технологии
33. Информационные технологии в экономике. Основы сетевых информационных технологий
34. Разработка технологии ремонта, модернизации сервера с двумя процессорами Pentium
36. Технологии поиска документальной информации в INTERNET
41. Удалённый доступ к частной сети через Интернет с помощь технологии VPN
42. Wi-Fi - технология беспроводной связи
43. Организация Linux - сервера для Windows клиентов
45. Использование лазеров в информационных технологиях
46. Определение эффективности применения информационной технологии
47. Перспективы развития технологий ПК на примере PDA (Personal Digital Assistant)
48. Классификация компьютерных вирусов.
50. Технология разработки программного обеспечения
52. Информационные технологии в фармации
53. Информационные технологии в экономике. Средства организации экономико информационных систем.
57. Лабораторные работы по теории и технологии информационных процессов
58. Информационные технологии в экономике
59. Windows 98
61. Компьютерные вирусы, типы вирусов, методы борьбы с вирусами
62. Сравнение операционных систем /DOS, Windows 3.*, Windows 95, Windows NT/
63. Операционная система Windows
65. WINDOWS - средства для создания презентаций
69. Контрольные по информатике для заочников (вопросы по Windows, Word, Excel)
73. Сравнение операционных систем: Linux и Windows
74. Компьютерные Вирусы. Программа-полифаг Aidstest
75. Технология обработки графической информации в базовом курсе информатики
76. Вирусы гриппа и парагриппа
77. Технология производства молока
78. Технология производства низина. Антибиотические свойства низина
79. Вирус СПИД
80. Сексуально-трансмиссивные расстройства. Вирус папилломы человека.
81. Гепатит С. Строение вируса, профилактика, лечение, этиология, etc.
83. Преступление против личности
84. Преступление против жизни (Контрольная)
85. Смертная казнь: за и против
89. Преступления против половой неприкосновенности и половой свободы личности
90. Воздействие целлюлозно-бумажной промышленности на окружающую среду. Природосберегающие технологии
91. Экозащитные техника и технологии
93. Компьютерные технологии как фактор эволюции форм и методов обучения
94. Развитие творческих способностей учащихся на уроках "Технология швейного производства"
95. Технология работы социального педагога с семьёй
96. Изучение технологии нейронных сетей в профильном курсе информатики