De ce versiunea de Windows pe 64 de biți este mai sigură
Cele mai multe PC-uri noi au fost livrate cu versiunea pe 64 de biți a Windows - atât Windows 7 cât și 8 - de ani de zile. 64 biți versiuni de Windows nu sunt doar despre a profita de memorie suplimentară. Sunt, de asemenea, mai sigure decât versiunile pe 32 de biți.
Sistemele de operare pe 64 de biți nu sunt imune la malware, dar au mai multe caracteristici de securitate. Unele dintre acestea se aplică și versiunilor pe 64 de biți ale altor sisteme de operare, cum ar fi Linux. Utilizatorii Linux vor câștiga avantaje de securitate prin trecerea la o versiune pe 64 de biți a distribuției lor Linux.
Adresă Randomizare spațiu spațiu
ASLR este o caracteristică de securitate care determină locațiile de date ale unui program să fie aranjate aleatoriu în memorie. Înainte de ASLR, locațiile de date ale unui program în memorie pot fi previzibile, ceea ce a făcut mult mai ușor atacurile asupra unui program. Cu ASLR, un atacator trebuie să ghicească locația corectă din memorie atunci când încearcă să exploateze o vulnerabilitate într-un program. O presupunere incorectă poate duce la crasarea programului, astfel încât atacatorul nu va mai putea încerca din nou.
Această caracteristică de securitate este utilizată și pe versiunile pe 32 de biți ale Windows și ale altor sisteme de operare, dar este mult mai puternică pe versiunile pe 64 de biți ale Windows. Un sistem pe 64 de biți are un spațiu de adresă mult mai mare decât un sistem pe 32 de biți, ceea ce face ASLR mult mai eficient.
Semnarea obligatorie a șoferului
Versiunea pe 64 de biți a sistemului Windows impune semnarea obligatorie a driverului. Toată codul driverului din sistem trebuie să aibă o semnătură digitală. Acestea includ drivere de dispozitive în mod kernel și drivere de moduri de utilizare, cum ar fi driverele de imprimantă.
Semnarea obligatorie a șoferului împiedică difuzarea driverelor nesemnate furnizate de malware în sistem. Autorii malware vor trebui să ocolească cumva procesul de semnare printr-un rootkit de pornire sau să reușească să semneze driverele infectate cu un certificat valid furat de la un dezvoltator legitim de driver. Acest lucru face mai dificil pentru driverele infectate să ruleze pe sistem.
Semnarea șoferului ar putea fi aplicată și pe versiunile pe 32 de biți ale Windows, dar nu este posibil - pentru compatibilitatea continuă cu driverele vechi pe 32 de biți, care s-ar putea să nu fi fost semnate.
Pentru a dezactiva semnarea driverului în timpul dezvoltării pe ediții pe 64 de biți de Windows, va trebui să atașați un program de depanare a kernel-ului sau să utilizați o opțiune de pornire specială care nu persistă în repornirea sistemului.
Kernel Protection patch
KPP, cunoscut și sub numele de PatchGuard, este o caracteristică de securitate găsită doar pe versiunile pe 64 de biți ale Windows. PatchGuard împiedică software-ul, chiar și driverele care rulează în modul kernel, să patch-le pe kernel-ul Windows. Acest lucru a fost întotdeauna neacceptat, dar este posibil din punct de vedere tehnic pe versiunile pe 32 de biți ale Windows. Unele programe antivirus de 32 de biți au implementat măsurile de protecție antivirus folosind patch-uri de kernel.
PatchGuard împiedică driver-ele de dispozitiv să patch-le kernel-ul. De exemplu, PatchGuard împiedică rootkiturile să modifice kernelul Windows pentru a se încorpora în sistemul de operare. Dacă se detectează o încercare de corelare a kernel-ului, Windows se va opri imediat cu un ecran albastru sau se va reporni.
Această protecție ar putea fi instalată pe versiunea pe 32 de biți a Windows, dar nu a fost posibil - pentru compatibilitatea continuă cu software-ul vechi pe 32 de biți care depinde de acest acces.
Protecția datelor de executare
DEP permite unui sistem de operare să marcheze anumite zone de memorie ca fiind "non-executabile" prin setarea unui "bit NX". Domeniile de memorie care ar trebui să dețină numai date nu vor fi executate.
De exemplu, într-un sistem fără DEP, un atacator ar putea folosi un fel de preaplin pentru a scrie cod într-o regiune a memoriei unei aplicații. Acest cod ar putea fi apoi executat. Cu DEP, atacatorul ar putea scrie cod într-o regiune a memoriei aplicației - dar această regiune ar fi marcată ca ne-executabilă și nu ar putea fi executată, ceea ce ar opri atacul.
Sistemele de operare pe 64 de biți au DEP bazate pe hardware. Deși acest lucru este, de asemenea, compatibil cu versiunile pe 32 de biți ale Windows, dacă aveți un CPU modern, setările implicite sunt mai stricte și DEP este întotdeauna activată pentru programele pe 64 de biți, în timp ce este dezactivată implicit pentru programele pe 32 de biți din motive de compatibilitate.
Dialogul de configurare DEP din Windows este puțin înșelător. După cum se menționează în documentația Microsoft, DEP este întotdeauna utilizată pentru toate procesele pe 64 de biți:
"Setările de configurare a sistemului DEP se aplică numai aplicațiilor și proceselor pe 32 de biți atunci când rulează versiuni de Windows pe 32 de biți sau pe 64 de biți. În cazul versiunilor pe 64 de biți de Windows, dacă este disponibilă o aplicație DEP implementată cu hardware, este întotdeauna aplicată proceselor pe 64 de biți și a spațiilor de memorie kernel și nu există setări de configurare a sistemului pentru ao dezactiva. "
WOW64
Versiunile pe 64 de biți ale Windows execută software Windows pe 32 de biți, dar o fac printr-un strat de compatibilitate cunoscut sub numele de WOW64 (Windows 32-bit pe Windows 64-bit). Acest strat de compatibilitate impune anumite restricții asupra acestor programe pe 32 de biți, care pot împiedica funcționarea corectă a programelor malware pe 32 de biți. De asemenea, malware-ul pe 32 de biți nu va putea funcționa în mod kernel - numai programele pe 64 de biți pot face acest lucru pe un sistem de operare pe 64 de biți - pentru a preveni funcționarea corectă a unor malware mai vechi de 32 de biți. De exemplu, dacă aveți un CD audio vechi cu rootkit Sony pe acesta, acesta nu va fi capabil să se instaleze pe o versiune pe 64 de biți a Windows.
Versiunile pe 64 de biți ale sistemului de operare Windows scad, de asemenea, suport pentru programele vechi pe 16 biți. În plus față de prevenirea executării anticorpiștilor de 16 biți, aceasta va obliga companiile să-și actualizeze programele vechi de 16 biți, care ar putea fi vulnerabile și neprotejate.
Având în vedere modul în care sunt acum versiunile generice pe 64 de biți ale Windows, malware-ul nou va fi probabil capabil să ruleze pe Windows pe 64 de biți. Cu toate acestea, lipsa compatibilității poate ajuta la protejarea împotriva malware-ului vechi din sălbăticie.
Cu excepția cazului în care utilizați programe vechi de 16 biți scârbos, hardware antic care oferă doar drivere pe 32 de biți sau un computer cu un CPU destul de vechi pe 32 de biți, trebuie să utilizați versiunea Windows pe 64 de biți. Dacă nu sunteți sigur care versiune pe care o utilizați, dar aveți un computer modern care rulează Windows 7 sau 8, probabil că utilizați ediția pe 64 de biți.
Desigur, niciuna dintre aceste caracteristici de securitate nu este sigură și o versiune pe 64 de biți a Windows este în continuare vulnerabilă la malware. Cu toate acestea, versiunile pe 64 de biți ale Windows sunt cu siguranță mai sigure.
Credit de imagine: William Hook pe Flickr