Pull to refresh

У меня только один прогноз на 2010 год

Reading time 3 min
Views 579
Original author: Dino Dai Zovi
imageПоказалась интересной статья специалиста по безопасности Дино Даи Зови*.

Когда говорят о прогнозах на будущий год, принято составлять списки и рейтинги. Но у меня прогноз всего один: 2010 год станет годом изолированных программных сред – «песочниц», в которых настольные приложения будут обрабатывать потенциально опасные данные. И тому самое время.

После выхода Windows XP SP2 число сетевых интернет-червей резко сократилось (Conficker стал заметным, но редким исключением). Это объясняется двумя причинами: новой политикой безопасности XP SP2, когда Брандмауэр Windows ставится по умолчанию, и Wi-Fi. Да, именно Wi-Fi. Быстрое распространение беспроводных сетей, совпавшее по времени с выходом XP SP2, привело к тому, что многие домашние пользователи начали покупать беспроводные базовые станции, почти все из которых содержат брандмауэр. Это резко сократило площадь атаки – число Windows-систем, доступных для сканирования злоумышленниками.

Но вернемся к нашим дням. Сегодня главными источниками угроз безопасности в Интернете являются вредоносные веб-страницы и почтовые вложения. Злоумышленники – люди предприимчивые, они быстро нашли слабое звено, где брандмауэры практически бесполезны. Главной проблемой безопасности всегда была не синхронизация пакетов, а данные: 1) та программная площадь атаки, с которой взаимодействуют контролируемые злоумышленником данные, и 2) чувствительные данные, которые могут получить злоумышленники, если воспользуются уязвимостями в этих программах. Сетевые брандмауэры позволяют уменьшить площадь атаки со стороны сети, но бессильны против локального ПО, имеющего выход в Интернет.

Настольным аналогом сетевого брандмауэра является песочница с системой привилегий для приложений. Эти механизмы позволяют убрать слона (недоверенные данные) из посудной лавки (ваши данные). Слон остается на улице – в песочнице. Хотя этот метод не уменьшает площадь атаки, он существенно усложняет злоумышленнику задачу, возводя перед ним глубоко эшелонированную оборону. Если злоумышленник может воспользоваться той или иной уязвимостью и выполнить код, ему придется найти уязвимость непосредственно в механизме песочницы, чтобы обойти его и прочитать пользовательские данные.

В Windows Vista впервые появился защищенный режим Internet Explorer, и это шаг в правильном направлении. В Vista и Windows 7 эксплойт против Internet Explorer будет запущен в режиме низкой достоверности, поэтому не сможет изменить или повредить систему. Самое большее, что он сможет, это передать злоумышленнику ваши данные. С другой стороны, браузер Google Chrome обрабатывает бóльшую часть недоверенных данных как изолированные исполняемые процессы. Если Chrome работает в Vista или Windows 7, то эти процессы будут запущены в режиме низкой достоверности, что еще больше повысит уровень защищенности. По сообщениям, в Microsoft Office 2010 появится режим защищенного просмотра без прав записи, подобный защищенному режиму Internet Explorer: в нем можно будет запускать потенциально опасные файлы Office, например, загруженные из Интернета.

В 2010 году защищенный режим Internet Explorer должен появиться и в Windows XP, поскольку пользователи будут переходить на Windows 7 так же неспешно, как в свое время на Vista. Google Chrome уже сместил Safari с третьего места в рейтинге браузеров, а в этом году должен выйти стабильный релиз и для Mac и Linux. Microsoft Office 2010 получит режим защищенного просмотра для файлов из Интернета. В Leopard и Snow Leopard уже есть режим песочницы для сетевых служб, некоторые фоновые демоны и режим предпросмотра QuickLook для файлов Finder и вложений Mail.

Твой ход, Adobe.

*Дино Даи Зови (Dino Dai Zovi) – автор книг «Руководство хакера Mac» и «Искусство тестирования средств программной защиты», первый победитель конкурса PWN20WN на CanSecWest2007. В 2008 году сайт eWEEK включил Зови в список 15 самых влиятельных людей в области безопасности.
Tags:
Hubs:
+12
Comments 93
Comments Comments 93

Articles