1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> skadelig programvare >>

Microsoft Patchguard: Låse ned kjernen, eller låse ut sikkerhets


For mer om Vista
Senior News Writer Bill Brenner forklarer hvorfor Microsoft Vista og VPN kan ikke alltid mix.Tony Bradley undersøker fordeler og ulemper med BitLocker.Learn mer om Microsofts Windows Vista utfordringer og fallgruver. Patchguard og kernel patching
Før undersøke Patchguard, er det nødvendig å snakke om kernel patching. Kernel lapping, også referert til som kjerne hekte, er prosessen med å endre operativsystemkjernen for å endre dens oppførsel eller fange visse hendelser. Sikkerhetsleverandørene i særdeleshet, inkludert McAfee Inc. og Symantec Corp., har stolt på kernel patching å implementere antivirus tjenester, beskytte OS og dets programmer ved å avskjære og blokkere potensielt skadelige handlinger eller prosesser.


Patchguard, også kjent som Kernel Patch Protection, utløste striden fordi det hindret denne type modifikasjon til OS. Patchguard overvåker kernel kode og systemressurser brukes av kjernen, og det starter en automatisk nedstengning av systemet hvis den oppdager uautorisert kernel patching.

Patchguard og rootkit forsvar
Microsoft har en god grunn for å låse ned OS kernel: rootkit forebygging. En rootkit er egentlig en ondsinnet skjult fil som lar administrator-nivå tilgang til en datamaskin eller nettverk. Ved å være hektet inn i kernel-nivå, er et rootkit vanligvis i stand til å unngå å bli oppdaget mens få tilnærmet ubegrenset tilgang.

I 2005 ble det oppdaget at Sony BMG Music Entertainment Inc., brukt rootkit-basert kopibeskyttelse programvare. Sony rootkit brukes kernel hooking å fange opp og nekte forsøk på å brenne kopier av CDer. For å hindre rootkits og annen skadelig programvare fra å bruke kernel patching til rette angrep, Microsoft styrket beskyttelse av systemet kjernen med Patchguard.

Er Patchguard i veien for sikkerheten?
Tredjeparts programvareleverandører, spesielt antivirus og sikkerhetsprogramvareprodusenter, steilet høyt om å bli blokkert fra kernel patching, i stor grad fordi det betydde omstrukturere deres programvare. De hevdet at ved å låse ut uavhengige programvareleverandører, kan Microsoft la kernel åpen for angrep fra ondsinnede utviklere. Som enhver sikkerhetsfunksjon, er Patchguard ikke perfekt, men det vil oppdage kernel manipulering, enten med leverandører av sikkerhetsprogramvare eller malware, så sikkerhetsleverandørene 'påstander om at det bare låser seg de gode gutta er tull.

Men noen sikkerhet programvareleverandører hevder at uten ubegrenset tilgang til systemet kjernen, er de ikke i stand til å utføre de komplekse funksjoner som kreves for effektiv vertsbasert Intrusion Prevention (HIPS). Per definisjon skal hoftene være i stand til å overvåke og analysere alt som kommer inn eller går ut av vertssystemet, og hver prosess og service blir utført - inkludert de av kjernen - for å vurdere det og reagere deretter. Patchguard ikke helt forhindre HIPS funksjonalitet, though. Leverandører av sikkerhetsprogramvare kan være nødvendig å utvikle sine sikkerhetsmodeller til iboende stole kjernen og inspisere alle andre prosesser og hendelser, men Microsoft jobber med leverandører av sikkerhetsprogramvare for å utvikle APIer (Application Programming Interface) som lar sine produkter til å samhandle med kjernen i en autorisert måte.

Selv om Microsofts strategi styrker leverandører av sikkerhetsprogramvare for å justere hvordan de beskytter datasystemer, virker det ulogisk å be Microsoft om å bevisst la kernel åpen for å lette leverandørers evne til å forsvare den. Patchguard er egentlig en catch-22 for programvaresikkerhetsbransjen; Windows-brukere og tredjepartsleverandører både har krevd at Microsoft bygger mer sikkerhet i Windows, som var hensikten med Patchguard. Men til tross for å gjøre Windows iboende sikrere, har Patchguard tvunget noen sikkerhetsleverandørene å revurdere sine egne i stor grad vellykkede Windows sikkerhetsstrategier etter å ha mistet evnen til å endre operativsystem kjerne. Noen leverandører av antivirusprogrammer, nemlig Sophos, støtter Microsofts nye sikkerhetsmodell, og har skylden sine konkurrenter for å investere sin tid kjempet Microsoft fremfor å utvikle fungerende verktøy. Heldigvis i den forbindelse, påvirker bare Patchguard beskyttelses 64-bits versjon av Windows Vista, en versjon som vokser i markedsandel, men som blir brukt av en liten brøkdel av det totale Windows Vista markedet.

For bedrifter kommer roten av problemet ned til om de stoler Microsoft å skrive sikker programvare. Forutsatt at kjernen er virkelig beskyttet av Patchguard, håper Microsoft mye av det uavhengige sikkerhetsleverandørene bringe å bære vil ikke være nødvendig. Sikkerhetsleverandørene har hatt noen suksess å utvikle løsninger som omgår Patchguard, noe som tyder på at angriperne kan omgå Patchguard også. Bedrifter som bruker 64-bits versjon av Vista, og er avhengige av Patchguard skal sikre at de har de siste oppdateringene fra Microsoft for å hindre slike angrep. Imidlertid bør bedriftene også engasjere deres antivirus eller sikkerhetsprogramvareleverandøren for å forstå hvordan deres produkt (er) arbeider med Patchguard, og om det er noen redusert funksjonalitet eller redusert sikkerhet ytes som følge av Patchguard er kjernen beskyttelse.

Snarere enn skyve tilbake på Microsoft for å gå tilbake til en svakere sikkerhetsmodell ved å forlate operativsystemkjernen åpen, bedrifter bør oppfordre leverandører av sikkerhetsprogramvare for å fortsette å tilpasse sine produkter til å jobbe i tandem med Patchguard. Leverandører må kontinuerlig oppdatere sin tilnærming til sikkerhet og tilpasse seg endringer i Windows-operativsystemet. De trenger å jevnlig vurdere hva som må beskyttes og hvordan du gjør det, og de må samarbeide med Microsoft for å få den funksjonaliteten de trenger, men det er mye mer fornuftig å spørre leverandører av sikkerhetsprogramvare for å utvikle deres sikkerhetsmodell med Microsoft, snarere enn å be Microsoft om å stagnere eller gå tilbake til en mindre sikkert system.

Holde kernel trygt
kjernen er hjertet og sjelen av operativsystemet. Mens den minste feil i kernel patching kan resultere i en ustabil og upålitelig system, har en rootkit smug integrert i operativsystemet kjernen for å unngå å bli oppdaget av OS eller tredjeparts sikkerhetsprodukter er en mye mer betydelig risiko for bedrifter. Derfor representerer Patchguard en sterkere måte å bekjempe dagens malware og beskytte kjernen.