Windows 7. Bezpieczeństwo, ataki hackerskie.

[Savpether]

Czy Windows 7 można zabezpieczyć tak, by był równie odporny na ataki hackerskie co Linux? Czy najnowsze wydanie serwerowe Windows z serwerem WWW IIS można zbezpieczyć tak, by było tak samo bezpieczne jak Linux z Apache?

[rom]

Moim zdaniem te pytania należy zadać na forum Windowsa. Tutaj może rozpętać się flamewar.

[pioruns]

Czy Windows 7 można zabezpieczyć tak, by był równie odporny na ataki hackerskie co Linux? Czy najnowsze wydanie serwerowe Windows z serwerem WWW IIS można zbezpieczyć tak, by było tak samo bezpieczne jak Linux z Apache?

Z pewnością można tak samo dobrze zabezpieczyć IIS jak Linuksa z Apache, tylko większym nakładem pracy. Tak samo z Windows 7. Problemem są dziury 0-day pozwalające na wykonanie zdalnego kodu, czasem z uprawnieniami systemowymi (mówię o Windows). Takich dziur 0-day pojawia się więcej niż na Linuksie, co można odebrać jako minus dla Windowsa, jeśli chodzi o porównanie, który system jest bezpieczniejszy.

@rom:
Na forum Windowsa też może się rozpocząć flamewar. To jest po prostu taki temat. A Savpether lubi takie tematy Tak jak było swego czasu nad wyższością OpenSUSE nad Ubuntu;P

[Savpether]

Tzn. powiem tak, rzeczywiście może zacząć się flameware, ale zakładając takie tematy nie mam takiego celu, ot co, liczę na rzetelne odpowiedzi.

Pytam się, gdyż ostatnio zainsteresowałem się tematem PWN2OWN. Konkurs hackerski polegający na łamaniu danego oprogramowania w zamian za kasę i dany, zhackowany sprzęt W 2008 roku do zhackowania był Mac OS X, Windows Vista SP2, Ubuntu 7.10 bodajże. Mac padł po 30 sekundach, Vista dopiero na drugi dzień(drugiego dnia osoba hackująca może zainstalować na danych komputerze oprogramowanie firm trzecich co wiąrze się z mniejszą kwotą pieniędzy otrzymaną jako nagroda) po siedmiu godzinach walki i to nie przez złe zabezpieczenia, a przez lukę we wtyczce flash od adobe, nastomiast Ubuntu po 3 dniach walki został nietknięty. Wychodzi więc na to, że Windows chyba nie ma, aż takich złych zabezpieczeń jak dla użytkowników do których ma dotrzeć?

[jacekalex]

Zależy, ile masz kasy.
Sam system Windows ma dwa najważniejsze zabezpieczenia:
1. Zastrzeżenie w licencji, że za bezpieczeństwo systemu odpowiada użytkownik.
2, Ostrzeżenie, że nie zainstalowano programu antywirusowego po instalacji.

Inne zabezpieczenia , jak ASLR, czy sandbox dla Internet Explorera - pomyśły co prawda ciekawe, ale wdrażane byle jak i bez przekonania.
A przeważnie kiepska kopia tego, co w w *nixach pojawiło się X lat wcześniej.

W dodaktu w otwarty kodzie Linuxa czy BSD, często są znajdowane błędy, ale są też niemal natychmiast łatane, na zasadzie akcja-reakcja.

Natomiast w Windows zdażają się luki, które mają XX lat, pozwalają przejać kontrolę nad kompem z poziomu skryptu js na stronie internetowej, i nikt specjalnie (ze strony MS) specjalnie się takim podatnościami nie przejmuje.
Tu jest typowy przykład: http://niebezpiecznik.pl/post/17-letnia ... -0day-vdm/
i ciekawy wniosek:
Jeśli kod jest zamknięty i zaszyfrowany, a każda próba poznania tego kodu może oznaczać wyrok z ustawy o prawach autorskich, lub oznaczać inne nieprzyjemności,
to potem hakerzy wiedzą, spamerzy wiedzą, a użytkownik nie, i nawiasem pisząc, często nie ma się nawet od kogo i skąd dowiedzieć.

Dlatego mozesz kupić taki czy inny pakiet zabezpieczający, ja np spróbowalbym pełnej, komercyjnej wersji Comodo Internet Security (70 dolarów), do tego byźć moze Sanboxie (chyba 20 Euro), i powinno starczyć.

Inna sprawa, że jeśli system na poziomie kernela nie ma solidnych zabezpieczeń, to żaden program dzialający w warstwie użytkownika nic nie poradzi, bo porusza sie w ramach wyznaczonych przez system operacyjny.

Przykładowo kiedyś czytam w Hakin9, artykuł dotyczący mikrofiltrów Windows7.
Te mikrofiltry - to interfejs dla programów antywirusowych i zabezpieczających.
I tam od razu jest pokazany kawalek kodu, który potrafi dowolnie majstrować tymi mikrofiltrami, oszukując lub omijając podłączone do nich programy.

Ten kawałek kodu pokazywal, jak robić takie numery z poziomu adminstratora.
Formalnie użyszkodnik dziala na koncie o obniżonych urawnieniach, ale wystarcczy taki kod nieco poprawić,wzbogacajac go o exploita, który potrafi przeskoczyć uprawnienia, zeby znowu wszystkie zabezpieczenia były warte funta kłaków.

A skoro jedna luka (karygodna) funkcjonowała w Windows od Win 95 do WIn7 to czy była jedyna lub ostatnia w historii Windows?

Także różne miękkie zabezpieczenia, typu sandboxy, antywirusy czy ACL w Windows owszem są do zrobienia, ale mechanizmu typu Selinux, Apparmor czy Grsecurity tam nie widzę.
W Linuxie trzeba takie narzędzia skonfigurować, czasem conieco skompilować, ale jest to wykonalne.
Jak ktoś chce i potrafi , może postawić Gentoo-hardened z równoczesnym wsparciem dla Grsecurity, Paxa i Selinuxa równocześnie, zrobić dwie niezależne warstwy ACL (SELINUX strict i GRADM, i zrobić praktycznie czołg, nie system.
Mnie zajełoby to chyba z 3 miechy albo nawet 3 lata, ale możliwe.

Windows takich opcji niestety nie oferuje.

Także lepiej pytaj nie na forum, ale w pomocy technicznej firmy Microsoft.

PS.
Podobno zrobili specjalną wersję dla US Army, może sprzedadzą Ci jeden egzemplarz tej wersji?

Pozdrawiam

[Savpether]

Pewnie ten egzemplarz i tak na wiele by się nie zdał:
http://www.google.pl/#sclient=psy-ab&hl ... 66&bih=673

Aha, warto nadmienić odnośnie PWN2OWN, że osoby hackujące nie mogą używać znanych luk bezpieczęnstwa, anwet jeśli wciąż nie są załatane.

[gooru2]

Większość nowoczesnych systemów jest tak dobrze zabezpieczona, jak duże są umiejętności administratora, który dany system zabezpiecza. Jak dla mnie koniec kropka.