Хватит насиловать труп...
Вы задумывались, почему Microsoft выпускает исправления безопасности для всех своих ОС в один день? Бюллетень безопасности Microsoft от 13 мая 2014 года не содержит заплаток для Windows XP, но это вовсе не означает отсутствия новых уязвимостей в этой системе. Сегодня я хочу обсудить риски работы в ОС после окончания срока ее поддержки.
Эта запись продолжает летнюю серию статей о безопасности, начало которой положил рассказ о бюллетенях Microsoft. Поскольку я не пишу об XP, мало кто из постоянных читателей работает дома в этой системе. Предположу, однако, что многие из вас все еще сталкиваются с ней у друзей и знакомых, а также по месту работы или учебы, потому что до сих пор ее доля составляет четверть ОС Windows.
С течением времени полезность старых защитных механизмов снижается, но не потому, что они становятся менее эффективны сами по себе. Дело в том, что злоумышленники учатся обходить их, адаптируясь к условиям, в которых эти механизмы работают. Хорошим примером этого тезиса служит DEP (Data Execution Prevention), описание которого простыми словами пока еще есть в справке Windows.
На диаграмме выше синим цветом обозначены уязвимости, для которых были выпущены эксплойты, чье действие свелось бы на нет включенным DEP. Зеленым цветом обозначены уязвимости, эксплуатации которых DEP воспрепятствовать не смог.
Эти данные Microsoft показывают, что начиная с 2009 года, все больше и больше уязвимостей эксплуатируется в обход DEP. Компания также наблюдает схожий тренд с механизмом ASLR, который обходится за счет атак на ресурсы, не укрывшиеся под его зонтом.
В прошлый раз я показал, что за последние 12 месяцев в новейших клиентских операционных системах Microsoft было закрыто значительно меньше уязвимостей, чем в предыдущих. Конечно, новые ОС меньше распространены, а посему не представляют столь острого интереса для злоумышленников.
Здесь хорошо видно, что внимание злоумышленников смещается в сторону эксплуатаций уязвимостей двух классов:
Нередко один бюллетень затрагивает все продукты линейки, выпущенные в разные годы (например, от Windows XP до Windows 8). Понятно, что подготовка исправления и его тестирование на разных продуктах могут занимать различное время, но бюллетени и заплатки выходят строго в один день.
У Microsoft есть статистика по уязвимостям, позволяющим удаленное выполнение кода (RCE). На диаграмме ниже расклад появления эксплойтов к таким уязвимостям в различных продуктах Microsoft относительно времени выхода исправления безопасности.
Обратите внимание на два момента:
У Microsoft есть чуть более свежие данные по тем же уязвимостям RCE, откуда можно извлечь дополнительные сведения о скорости появления эксплойтов. Красный цвет на диаграмме ниже обозначает уязвимости Zero Day с известными эксплойтами, а оранжевый – эксплойты, появившиеся в течение 30 дней после выхода исправления безопасности. Из рисунка видно, что если эксплойт появляется на свет, то в подавляющем большинстве случаев это происходит в пределах месяца после выхода бюллетеня безопасности (красный и оранжевый цвета в совокупности).
Опросы в предыдущей статье показали, что среди читателей блога автоматически устанавливают обновления 46% владельцев Windows 8.1 и лишь 30% пользователей Windows 7. Остальные выжидают и выбирают….
Всенепременно! Поскольку Windows XP больше не будет фигурировать в бюллетенях безопасности, мы уже не услышим из уст Microsoft, подвержена ли система той или иной уязвимости. Однако можно косвенно оценить этот аспект. Напомню, что за последние 12 месяцев Windows XP отметилась в 45 бюллетенях, а Windows 7 и 8 / 8.1 в 46.
В случае же с конкретными исправлениями безопасности можно очень легко и с минимальной погрешностью определить, подвержена ли Windows XP той или иной уязвимости.
Я думаю, что сейчас XP является привлекательной мишенью для атак – пользовательская база еще весьма велика, официально обновления уже не выпускаются, а обнаруженные уязвимости поможет проэксплуатировать обратная разработка обновлений.
Не стоит переоценивать значение уязвимостей в операционных системах для злоумышленников. Да, эксплойты ОС включаются в наборы для атаки (это фактически теневое платное ПО), но превалируют в них атаки на уязвимости Java. Специалисты Microsoft проанализировали данные из стороннего источника Contagio Exploit Pack Table и свели их в диаграмму.
У Microsoft есть и свои данные, укладывающиеся в этот тренд, а я уже давно советую читателям блога вовремя обновлять сторонние программы, а Java не ставить без производственной необходимости. По данным Лаборатории Касперского, в 2013 году среди эксплойтов, заблокированных продуктами компании на всех устройствах, 90% были нацелены на уязвимости Java.
Специалисты ЛК утверждают в своем отчете применительно к атакам через Интернет:
Недавно Интернет захлестнула волна сообщений о простом твике реестра, позволяющем устанавливать на Windows XP исправления системы безопасности от различных версий Windows XP Embedded. Соответственно, вопросы на эту тему возникли в комментариях и почте.
Здесь есть два аспекта – лицензионный и технический. С первым все понятно – лицензия такого не позволяет, но это мало волнует домашних пользователей, сидящих на сборках XP. С технической точки зрения общий код XP и версий Embedded действительно позволяет установить исправление и, наверное, даже закрыть уязвимость.
Но надо учитывать, что исправления не проверялись на XP. Microsoft могла тестировать аналогичные исправления для XP, которые она распространяет для корпоративных клиентов, заплативших за дополнительную поддержку. Но, конечно, обсуждаемый сценарий не проверялся, поэтому что-нибудь может пойти не так, и вы действуете исключительно на свой страх риск.
Даже если вы устанавливаете все обновления, при использовании старых программных продуктов очень полезно не ограничиваться минимальным уровнем рекомендуемой защиты. Дальше я разберу несколько типичных заявления на тему защиты ПК.
Василий Гусев недавно рассказывал, как во время поездки в такси не смог убедить водителя в необходимости иметь антивирус. У того на все был готов ответ: ценных данных у меня нет, винду проще переставить, а мои друзья не дураки – сами распознают подозрительные ссылки или вложения в моих письмах. Перспектива стать частью ботнета его тоже не смущала.
Я уверен, что логически убедить такого человека невозможно, но я бы предложил аналогию в понятной ему плоскости – плюешь на ПДД, ездишь как баран и гордишься этим
Кстати, об антивирусе.
И это правильно! Но нужно понимать, что антивирусы вообще не гарантируют 100% защиту от вредоносных программ, а о новых угрозах узнают с задержкой. Кроме того, бесплатные антивирусы, работающие на стороне клиента, обеспечивают минимальный уровень защиты, включаясь в дело уже после того, как «зловред» проник на ПК.
Мораль в том, что недостаточную защиту системы нужно усиливать не бесплатным антивирусом, а комплексным защитным решением, которое с помощью облачных технологий блокирует эксплойты еще до их запуска.
Вообще, голова служит для разных целей – например, некоторые ей просто едят. Конечно, авторы таких заявлений имеют в виду, что они достаточно опытны, чтобы избежать компрометации системы и личных данных. Нередко такие высказывания можно услышать от людей, не пользующихся антивирусом.
В заключение я хочу повторить некоторые тезисы этой статьи:
При подготовке статьи я использовал эту литературу:
С тех пор я живую XP видел лишь несколько раз, но думаю, что многие из вас сталкиваются с ней чаще, хотя в качестве основной домашней ОС используют единицы (содержимое блога определяет его аудиторию).
Источник
Вы задумывались, почему Microsoft выпускает исправления безопасности для всех своих ОС в один день? Бюллетень безопасности Microsoft от 13 мая 2014 года не содержит заплаток для Windows XP, но это вовсе не означает отсутствия новых уязвимостей в этой системе. Сегодня я хочу обсудить риски работы в ОС после окончания срока ее поддержки.
Эта запись продолжает летнюю серию статей о безопасности, начало которой положил рассказ о бюллетенях Microsoft. Поскольку я не пишу об XP, мало кто из постоянных читателей работает дома в этой системе. Предположу, однако, что многие из вас все еще сталкиваются с ней у друзей и знакомых, а также по месту работы или учебы, потому что до сих пор ее доля составляет четверть ОС Windows.
С течением времени полезность старых защитных механизмов снижается, но не потому, что они становятся менее эффективны сами по себе. Дело в том, что злоумышленники учатся обходить их, адаптируясь к условиям, в которых эти механизмы работают. Хорошим примером этого тезиса служит DEP (Data Execution Prevention), описание которого простыми словами пока еще есть в справке Windows.
На диаграмме выше синим цветом обозначены уязвимости, для которых были выпущены эксплойты, чье действие свелось бы на нет включенным DEP. Зеленым цветом обозначены уязвимости, эксплуатации которых DEP воспрепятствовать не смог.
Эти данные Microsoft показывают, что начиная с 2009 года, все больше и больше уязвимостей эксплуатируется в обход DEP. Компания также наблюдает схожий тренд с механизмом ASLR, который обходится за счет атак на ресурсы, не укрывшиеся под его зонтом.
В прошлый раз я показал, что за последние 12 месяцев в новейших клиентских операционных системах Microsoft было закрыто значительно меньше уязвимостей, чем в предыдущих. Конечно, новые ОС меньше распространены, а посему не представляют столь острого интереса для злоумышленников.
Компания классифицирует уязвимости по типу эксплуатации, и на диаграмме ниже представлено распределение этих классов в клиентских ОС, для которых были выпущены эксплойты с 2006 по 2012 годы.
Здесь хорошо видно, что внимание злоумышленников смещается в сторону эксплуатаций уязвимостей двух классов:
- Use after free. Уязвимость эксплуатируется, когда к объекту происходит обращение после его освобождения. Злоумышленники используют такие уязвимости, чтобы вынудить программы использовать свои значения, добиваться падения программ или удаленного выполнения кода. Именно этот класс чаще всего эксплуатируется в атаках на Internet Explorer. В Windows 8 на борьбу с этим отряжена технология Virtual Table Guard.
- Heap Corruption. Уязвимость эксплуатируется путем повреждения состояния данных приложениях, которые хранятся в его куче (heap). Нередко это достигается путем переполнения буфера кучи, что затем позволяет взять под контроль работу программы. В Windows 8 для противодействия таким атакам предусмотрен механизм Heap Hardening.
Подтверждение этому тезису вы увидите дальше. Если же сравнивать защитные механизмы Windows XP и Windows 8, то получится вот такая картина, которую подробно разобрал Руслан Карманов.
Нередко один бюллетень затрагивает все продукты линейки, выпущенные в разные годы (например, от Windows XP до Windows 8). Понятно, что подготовка исправления и его тестирование на разных продуктах могут занимать различное время, но бюллетени и заплатки выходят строго в один день.
Другими словами, если выпускать, например, исправления для Windows 7 через месяц после заплаток для Windows 8, то к этому моменту эксплойт для уязвимостей Windows 7 с XI = 1 уже будет давно готов.
У Microsoft есть статистика по уязвимостям, позволяющим удаленное выполнение кода (RCE). На диаграмме ниже расклад появления эксплойтов к таким уязвимостям в различных продуктах Microsoft относительно времени выхода исправления безопасности.
Обратите внимание на два момента:
- Количество уязвимостей Zero Day (целеный цвет на диаграмме). Это прозрачный намек на то, дополнительная защита не помешает, а наиболее эффективна она в новейшем ПО.
- Рост числа эксплойтов после выхода обновления в последние годы. Здесь просматривается влияние обратной разработки обновлений, поэтому устанавливать их нужно как можно скорее.
У Microsoft есть чуть более свежие данные по тем же уязвимостям RCE, откуда можно извлечь дополнительные сведения о скорости появления эксплойтов. Красный цвет на диаграмме ниже обозначает уязвимости Zero Day с известными эксплойтами, а оранжевый – эксплойты, появившиеся в течение 30 дней после выхода исправления безопасности. Из рисунка видно, что если эксплойт появляется на свет, то в подавляющем большинстве случаев это происходит в пределах месяца после выхода бюллетеня безопасности (красный и оранжевый цвета в совокупности).
Опросы в предыдущей статье показали, что среди читателей блога автоматически устанавливают обновления 46% владельцев Windows 8.1 и лишь 30% пользователей Windows 7. Остальные выжидают и выбирают….
Исходя из своего опыта, могут сказать, что ручной контроль над процессом даже в случае использования Windows Update ведет к задержкам с установкой обновлений. Система-то вовремя показывает уведомление о свежих обновлениях, но мало кто сразу же подрывается их устанавливать…
Всенепременно! Поскольку Windows XP больше не будет фигурировать в бюллетенях безопасности, мы уже не услышим из уст Microsoft, подвержена ли система той или иной уязвимости. Однако можно косвенно оценить этот аспект. Напомню, что за последние 12 месяцев Windows XP отметилась в 45 бюллетенях, а Windows 7 и 8 / 8.1 в 46.
Эти данные свидетельствуют о том, что большинство уязвимостей ОС Windows обнаруживается в коде, унаследованном из предыдущих ОС. Так, Windows 7 и Windows 8/8.1 одновременно присутствовали в одном бюллетене в 44 случаях из 46.
В случае же с конкретными исправлениями безопасности можно очень легко и с минимальной погрешностью определить, подвержена ли Windows XP той или иной уязвимости.
- Откройте бюллетень безопасности (например, MS14-027).
- Раскройте узел «Подвержены и не подвержены уязвимости». Под каждой ссылкой есть семизначный номер статьи базы знаний (в этом примере – 2926765).
- Откройте IE, перейдите в каталог центра обновлений Windows и выполните поиск по номеру статьи базы знаний.
Я думаю, что сейчас XP является привлекательной мишенью для атак – пользовательская база еще весьма велика, официально обновления уже не выпускаются, а обнаруженные уязвимости поможет проэксплуатировать обратная разработка обновлений.
Не стоит переоценивать значение уязвимостей в операционных системах для злоумышленников. Да, эксплойты ОС включаются в наборы для атаки (это фактически теневое платное ПО), но превалируют в них атаки на уязвимости Java. Специалисты Microsoft проанализировали данные из стороннего источника Contagio Exploit Pack Table и свели их в диаграмму.
У Microsoft есть и свои данные, укладывающиеся в этот тренд, а я уже давно советую читателям блога вовремя обновлять сторонние программы, а Java не ставить без производственной необходимости. По данным Лаборатории Касперского, в 2013 году среди эксплойтов, заблокированных продуктами компании на всех устройствах, 90% были нацелены на уязвимости Java.
Специалисты ЛК утверждают в своем отчете применительно к атакам через Интернет:
Обратите внимание, что по данным ЛК, процент эксплойтов для ОС Windows и ее компонентов вовсе не нулевой, а если отбросить Java, Windows лидирует в качестве цели для атак. Это значит, что только установка обновления для приложения или ОС гарантирует конструктивное устранение уязвимости и защиту от ее эксплуатации.
Недавно Интернет захлестнула волна сообщений о простом твике реестра, позволяющем устанавливать на Windows XP исправления системы безопасности от различных версий Windows XP Embedded. Соответственно, вопросы на эту тему возникли в комментариях и почте.
Здесь есть два аспекта – лицензионный и технический. С первым все понятно – лицензия такого не позволяет, но это мало волнует домашних пользователей, сидящих на сборках XP. С технической точки зрения общий код XP и версий Embedded действительно позволяет установить исправление и, наверное, даже закрыть уязвимость.
Но надо учитывать, что исправления не проверялись на XP. Microsoft могла тестировать аналогичные исправления для XP, которые она распространяет для корпоративных клиентов, заплативших за дополнительную поддержку. Но, конечно, обсуждаемый сценарий не проверялся, поэтому что-нибудь может пойти не так, и вы действуете исключительно на свой страх риск.
Поэтому я не могу посоветовать вам такой подход. Избрав его, вы все равно будете защищены хуже, чем на Windows 7 или Windows 8.1.
Даже если вы устанавливаете все обновления, при использовании старых программных продуктов очень полезно не ограничиваться минимальным уровнем рекомендуемой защиты. Дальше я разберу несколько типичных заявления на тему защиты ПК.
Василий Гусев недавно рассказывал, как во время поездки в такси не смог убедить водителя в необходимости иметь антивирус. У того на все был готов ответ: ценных данных у меня нет, винду проще переставить, а мои друзья не дураки – сами распознают подозрительные ссылки или вложения в моих письмах. Перспектива стать частью ботнета его тоже не смущала.
Я уверен, что логически убедить такого человека невозможно, но я бы предложил аналогию в понятной ему плоскости – плюешь на ПДД, ездишь как баран и гордишься этим
Кстати, об антивирусе.И это правильно! Но нужно понимать, что антивирусы вообще не гарантируют 100% защиту от вредоносных программ, а о новых угрозах узнают с задержкой. Кроме того, бесплатные антивирусы, работающие на стороне клиента, обеспечивают минимальный уровень защиты, включаясь в дело уже после того, как «зловред» проник на ПК.
За это у Microsoft отвечает фильтр Smart Screen. В Internet Explorer он использует сочетание базы вредоносных ссылок и репутации файлов, а в Windows 8 способен препятствовать запуску исполняемых файлов, загруженных в любых браузерах. В ЛК тоже уделяют большое внимание развитию веб-антивируса, опирающегося на возможности Kaspersky Security Network. В 2010 году с его помощью блокировалось 60% распространяемых через Интернет «зловредов», в 2012 – 87%, а в 2013 году уже 93%.
Мораль в том, что недостаточную защиту системы нужно усиливать не бесплатным антивирусом, а комплексным защитным решением, которое с помощью облачных технологий блокирует эксплойты еще до их запуска.
Вообще, голова служит для разных целей – например, некоторые ей просто едят. Конечно, авторы таких заявлений имеют в виду, что они достаточно опытны, чтобы избежать компрометации системы и личных данных. Нередко такие высказывания можно услышать от людей, не пользующихся антивирусом.
Например, голову стоит приложить к настройке SRP или установке EMET (для XP – EMET 4.1). SRP исключает запуск запрещенного кода, но надо разбираться в настройке. EMET значительно повышает планку защиты ОС и даже обладает графическим интерфейсом.
В заключение я хочу повторить некоторые тезисы этой статьи:
- злоумышленники научились обходить старые защитные механизмы
- ко многим уязвимостям эксплойты выходят в течение месяца после выпуска исправлений, чему способствует их обратная разработка
- новые эксплойты для XP обязательно будут включаться в наборы для атаки
- защищать старую систему нужно не бесплатным антивирусом, а как минимум комплексным защитным решением (еще лучше — SRP или EMET)
При подготовке статьи я использовал эту литературу:
- Microsoft: Software Vulnerabilities Exploitation Trends (PDF)
- Microsoft Security Intelligence Report: Exploitation Trends
- Kaspersky Security Bulletin 2013. Основная статистика за 2013 год
С тех пор я живую XP видел лишь несколько раз, но думаю, что многие из вас сталкиваются с ней чаще, хотя в качестве основной домашней ОС используют единицы (содержимое блога определяет его аудиторию).Источник
Последнее редактирование модератором:
