Windows 8 Secure Boot
С ВЫХОДОМ WINDOWS 8 у пользователей появилась надежда сделать свои системы более надежными

С выпуском операционной системы Windows 8 у пользователей появилась надежда сделать свои системы более безопасными, поскольку Microsoft встроила в нее достаточно средств защиты, которые в большинстве случаев блокируют наиболее серьезные вредоносные действия, например загрузку вирусов до запуска операционной системы или переполнение буферов. Кроме того, операционная система защищает саму себя от модификации и предоставляет широкие возможности по использованию средств защиты. «Если говорить о новых элементах защиты в целом, то эффективность их работы по умолчанию обеспечивает ОС вполне адекватным арсеналом комплексного блокирования угроз, — считает Николай Романов, технический консультант компании Trend Micro. — И если ранее некоторые из этих механизмов были хорошо известны только узкому кругу специалистов, то теперь и обычные люди стали счастливыми обладателями подобных возможностей». Правда, следует отметить, что Windows 8 — это фактически две системы: классическая компьютерная и инновационная для Mic­rosoft планшетная, защита которой имеет свои особенности.

Классическая безопасность

В «обычной» Windows 8 появилась функция Secure Boot, которая интегрирована в новый загрузчик операционных систем UEFI. По словам Эдди Вильямса, антивирусного эксперта компании G Data, функция безопасной загрузки позволяет осуществлять запуск только предписанного ПО, препятствуя пуску встроенных программ, ОС или драйверов UEFI. Технология Secure Boot контролирует процесс загрузки ОС и противодействует вредоносному коду, который пытается внедриться в ход загрузки и скрыть свое присутствие в системе. Прежде чем загрузить основную часть операционной системы, Secure Boot проверяет целостность ключевых файлов ОС, а также дает возможность антивирусным сканерам предварительно проверить загружаемые модули операционной системы. В результате и саму ОС изменить сложно, и упрощается процедура поиска и удаления программ-невидимок, которые прежде стартовали раньше операционной системы.

Основным методом запуска вредоносных программ является переполнение буфера за счет перезаписи управляющих структур операционной системы. В Windows 7, а теперь и в Windows 8 разработчики Microsoft использовали инструменты, которые дают возможность располагать управляющие структуры в памяти случайно, что не позволяет использовать старые методы переполнения буферов для запуска внедоносных программ — можно только добиться выхода программы из строя.

В комплект поставки операционной системы Windows 8 вошли несколько защитных утилит, разработанных самой Microsoft. В частности, было добавлено антивирусное решение Windows Defender, которое по умолчанию включено в Windows 8. Ранее оно было известно как Security Essentials и его нужно было ставить самостоятельно. Кроме того, в операционной системе появилась SmartScreen — система защиты от фишинга и проникновения вредоносных программ. Вильямс отмечает, что «в Windows 8 используется фильтр SmartScreen, который блокирует скачивание или установку пользователем вредоносного кода; в прежних версиях возможности этого фильтра ограничивались только мониторингом скачивания». Начиная с Windows 8 данная система внедрена не только на уровне Internet Explorer, где она впервые появилась в Windows 7, но и на уровне ядра операционной системы. Также Microsoft в Windows 8 продолжила развитие функционала родительского контроля, который уже был предложен компанией на уровне встроенного в операционную систему Internet Explorer.

Хотя, по мнению Алексея Калгина, руководителя продуктового направления InfoWatch EndPoint Security компании InfoWatch, «в Windows 8 больше изменений внешнего вида и GUI, чем улучшений в плане безопасности», тем не менее перечисленные инструменты оказались достаточно эффективными. Причем механизмы защиты от переполнения буферов вошли во все средства разработки для Windows 8, что позволило использовать их не только в операционной системе, но и во всех приложениях, уменьшив количество программ, подверженных этой уязвимости. Также он отметил возможность раннего запуска драйвера antimalware, что открывает перед защитными средствами больший простор по блокировке сложных классов низкоуровневого вредоносного кода.

Кроме того, в новой версии Windows тяжело закрепиться вредоносным кодам, поскольку перед загрузкой основных файлов выполняется проверка на целостность ядра, а также запускаются драйверы антивирусных программ. В результате антивирусы получают преимущество перед любыми вирусами, загружаясь раньше и проверяя систему на наличие в ней известных вредоносов, которые скрывают свое присутствие в системе. Троянцы прячутся среди расширений браузера или других программных систем с собственным языком исполнения, но там их можно легко обнаружить и удалить. Дмитрий Евдокимов, директор исследовательского центра Digital Security, признает, что функция Secure Boot — это значительный шаг вперед, но при этом отмечает: «Тут многое еще зависит от разработчика аппаратной части — насколько он правильно ее внедрит. Технология всего лишь усложняет применение популярных способов атак и требует от злоумышленников больших усилий».

В результате проведенных усовершенствований защищенность Windows 8 стала довольно высокой, и основные усилия хакеров переключились на создание троянских программ и средств социальной инженерии, в рамках которой вредоносы склоняют пользователей выполнить определенные действия для заражения собственного компьютера. В итоге число заражений сильно сократилось. В частности, по данным компании McAfee за первую половину 2013 года, практически не появляется новых вредоносных программ для настольных компьютеров, а те, что появляются, связаны в основном с социальной инженерией. Хакеры, как отмечают в McAfee, переключили свою инновационную деятельность на моби­льные платформы, и в первую очередь­ на Android.

Инновационная защита

Мобильная версия Windows 8 имеет дополнительные средства защиты. Мобильные приложения (как и в случае с Android) запускаются в изолированной зоне — «песочнице». Для того чтобы внедоносные программы не имели шанса попасть даже в «песочницу», Microsoft предлагает брать программы из магазина приложений Microsoft Windows Store. Если ставить приложения только из этого магазина, то вероятность заполучить вредоносный код сильно снижается, поскольку при помещении программы в магазин проверяется надежность поставщика, а также наличие в коде программы вредоносных функций.

При этом, в отличие от систем Android, в Windows 8 есть возможность не лечить программу, а загрузить ее из сетевого магазина заново: если антивирус «видит», что ПО заражено, он запускает процесс переустановки. Для этого, как отметил Вартан Минасян, руководитель отдела управления продуктов KAV/KIS компании «Лаборатория Касперского», антивирусные решения должны различать новые и традиционные приложения и предупреждать систему о каждом случае заражения.

Также Microsoft предлагает корпоративным пользователям создавать собственные магазины корпоративных приложений, в которых контроль за устанавливаемыми на планшет программами выполняет ИТ-администратор компании в соответствии с принятой политикой безопасности.