Отныне для XP больше не будут выпускаться «заплаты безопасности», поэтому вполне возможно, что злоумышленники выпустят рой вредоносов, использующих дыры, которые Microsoft уже не будет латать.
«Хакеры наверняка придерживали какие-то эксплойты в ожидании прекращения поддержки, — считает Крис Шерман, аналитик Forrester Research. — Обнаружив какие-либо новые уязвимости, они, скорее всего, не торопились использовать их раньше времени».
Злоумышленники также могут изучать новые обновления безопасности Windows Vista и Windows 7, чтобы попытаться найти похожие дыры в XP.
Конец обслуживания Windows XP грозит масштабными проблемами, поскольку компьютеров с этой ОС еще очень много. По оценкам Forrester, около 20% корпоративных ПК работают под управлением XP, а в государственном секторе и здравоохранении этот показатель достигает 23%; достаточно широко применяется система и в розничной торговле. Аналогичные результаты получили устроители исследования из компании Fiberlink, дочернего предприятия IBM по системам управления мобильными устройствами: до 20% ПК на предприятиях работают под XP, а в нескольких крупных компаниях из сферы финансовых услуг эта ОС применяется особенно широко.
Почему XP все еще используется в компаниях
Почему же все эти компьютеры до сих пор не перевели на более современную ОС? Ведь в Microsoft объявили дату окончания поддержки Windows XP еще в апреле 2012 года.
«В некоторых организациях неправильно оценили, сколько времени понадобится на миграцию, в некоторых решили, что прекращение поддержки XP для них не проблема, и возможно, что в каких-то отделах ИТ не получили средств на модернизацию», — говорит Майкл Сильвер, вице-президент по исследованиям Gartner. По его словам, в некоторых организациях могли недооценить серьезность известия об окончании поддержки или отложили переход на новую версию Windows до очередной модернизации аппаратного обеспечения.
Кроме того, во многих организациях пользуются старыми приложениями, которые могут работать в XP, а с более новыми версиями Windows несовместимы. Другие не могут провести модернизацию, так как в более новых версиях ОС нет драйверов для того или иного дорогостоящего оборудования, например медицинской аппаратуры.
Уход с XP ускорит автоматизация
Любая миграция отнимает немало времени, но сколько конкретно его будет потрачено, зависит от объема ресурсов, имеющихся у компании. «Можно и 20 тыс. машин обновить за выходные, если у вас столько же специалистов поддержки», — полагает Сильвер. Быстрее провести миграцию, не имея огромных кадровых резервов, можно с помощью автоматизации.
Во французской Высшей школе здравоохранения (EHESP) обновили системы именно таким способом: всего за месяц 600 ПК были переведены с Windows XP на Windows 7 только тремя сотрудниками отдела ИТ и консультантом. Чтобы это стало возможным, процесс был частично автоматизирован с использованием услуги Dell Migration Fast Forward, образа с заранее сконфигурированной средой и программно-аппаратного комплекса для развертывания образов Dell KACE.
«После тестирования нашего ПО на совместимость с новой версией Windows мы начали обновлять компьютеры и операционную систему со скоростью примерно 30 машин в день, — рассказывает Гвендал Росьо, менеджер департамента ИТ и телекоммуникаций EHESP. — Я абсолютно уверен, что нам удалось провести переход быстрее и дешевле, чем если бы мы не прибегали к автоматизации».
Индивидуальная поддержка Windows XP
На самом деле Microsoft еще будет выпускать заплаты безопасности для XP после 8 апреля, но только по индивидуальным заказам для тех, кто готов платить. Официального прейскуранта на эту услугу нет, однако, по некоторым сведениям, в первый год индивидуальная поддержка будет стоить 200 долл. в расчете на каждый ПК в год, а в каждый последующий год цена будет удваиваться.
Из-за высоких цен во многих организациях этот вариант не рассматривают, но Сильвер советует все-таки не отбрасывать его: «Мы слышали разные версии о ценах, в том числе говорят, что общая стоимость индивидуальной поддержки будет ниже, чем в прошлом, так что с Microsoft определенно стоит попробовать договориться».
Компании в регулируемых отраслях, которые не воспользуются этой возможностью, рискуют получить проблемы с соответствием нормативным требованиям, поскольку будут пользоваться ОС, в которой перестали устранять уязвимости. «В конечном счете решение будет зависеть от аудиторов, но в любом случае надеяться, что система защищена, когда на нее не устанавливают заплаты, было бы рискованно», — полагает Сильвер.
С ним согласен Чак Браун, директор Fiberlink: «По федеральным американским законам, ПК, работающие под управлением XP, будут считаться незащищенными. И меня удивляет, что в индустрии финансовых услуг кто-то вообще мог решить, что машины под XP будут отвечать международным правилам, регулирующим отрасль».
Защитить XP можно сторонними средствами
Есть и другие способы защитить машины с XP, помимо заключения договора о поддержке с Microsoft. Один из вариантов — установить средства безопасности, которые не пропустят эксплойты на ПК. В частности, подобный защитный сервис под названием ExtendedXP предлагает французская компания Arkoon+Netasq. На каждый обслуживаемый ПК устанавливается агентская программа, взаимодействующая с онлайн-сервисом, который собирает информацию об угрозах для XP и выдает рекомендации по защите.
Еще один вариант — воспользоваться средствами виртуализации, изолирующими индивидуальные приложения. Этот метод применяют в компании Bromium, разрабатывающей ПО безопасности. Ее система vSentry создает аппаратно изолированные виртуальные микромашины для каждой задачи конечного пользователя. Если такая ВМ подвергается атаке, она остается изолированной от центрального процессора, памяти, устройств хранения и не имеет прямого доступа к периферийным устройствам и сети. Если аварийно завершить соответствующую пользовательскую задачу, вредонос автоматически уничтожается, утверждают в Bromium.
«Около 60% вредоносов в качестве вектора атаки используют PDF-файлы, так что подобные изолирующие системы способны обеспечить неплохую защиту, — считает Шерман. — Но проблема в том, что они поддерживают только ограниченный круг приложений».
По его словам, можно также попробовать воспользоваться технологией белых списков для приложений, которая предотвращает выполнение неизвестного кода. Правда, программа из белого списка все же может быть скомпрометирована.
Управление привилегиями и «нулевой вариант»
Поскольку большинству вредоносов для cрабатывания требуются администраторские права, снизить риск могут решения, дающие возможность пользоваться только аккаунтами со стандартными правами и поднимающие привилегии до административных, лишь когда нужно выполнить определенные задачи.
Исследование, проведенное специалистами Avecto, компании — разработчика средств управления привилегиями, показало, что 92% критических уязвимостей в ПО Microsoft, найденных в 2013 году, можно «прикрыть» с помощью простого блокирования административных прав. К числу таких брешей относятся 96% обнаруженных в Windows и 91% найденных в Office.
Простые приемы — например, отключение поддержки Java и Flash и использование сторонних обновляемых браузеров наподобие Chrome — тоже позволяют повысить защищенность машины с XP.
Есть также «нулевой вариант»: полное отключение компьютеров с XP от Интернета для изоляции от внешних угроз. Но, как отмечает Сильвер, в этом случае все равно останется риск подхватить через USB-накопитель инфекцию наподобие программ-вымогателей, шифрующих диски.
Со временем риск станет меньше
Опасность использования машин с XP в предстоящие 12 месяцев, скорее всего, вырастет, пока новые уязвимости, которые устраняются в Vista и 7, будут использоваться в XP. Но в конечном счете, уверен Сильвер, риск сойдет на нет.
Это произойдет, поскольку парк используемых ПК с XP рано или поздно станет таким маленьким, что просто перестанет интересовать разработчиков вредоносных программ аналогично тому, как их почти не интересуют машины с Linux и Mac OS X.
«На протяжении ближайшего года риск использования XP будет высоким, — полагает Сильвер. — Но через два или три года опасность станет уже меньше. Правда, за это время организации, которые все еще пользуются XP, и сами от нее, скорее всего, уже откажутся».
— Paul Rubens. How to Support Windows XP Now That Microsoft Isn't. CIO Magazine. April 07, 2014