Скоро выход новой ОС Microsoft — Windows 8. В ней предложен новый пользовательский интерфейс на основе языка дизайна Metro, расширенная интеграция с облачными сервисами и повышенный уровень безопасности. Нас особенно интересует последнее, так что рассмотрим «снизу вверх», как строится безопасная платформа в Windows 8
Безопасность до загрузки ОС
На сегодняшний день существует целый класс атак, известных как буткиты (bootkits), которые изменяют загрузочные записи ОС в целях последующего внедрения своего кода в ее адресное пространство. Яркими представителями этого класса являются известный MBR-буткит TDL4 в своей последний реинкарнации (Win64/Olmarik по классификации ESET) и VBR-буткит Win64/ Rovnix. Они способны отключать проверку цифровых подписей для драйверов на 64-битных системах, которая до этого являлась серьезным препятствием для вредоносного ПО, а также обходить защиту ядра от изменений (Patch Guard). Таким атакам призвана противостоять технология Secure Boot, целью которой является защита ОС от выполнения вредоносного кода до ее загрузки. Secure Boot основана на инфраструктуре открытых ключей (PKI) и является частью последней спецификации UEFI. Суть заключается в том, что во встроенное ПО может устанавливаться один или несколько ключей шифрования. Будучи включенным, Secure Boot предотвращает запуск исполняемых файлов или загрузку драйверов, если они не подписаны одним из этих ключей. При включении Secure Boot загрузка происходит следующим образом: сначала UEFI инициализирует аппаратное обеспечение. Затем проверяются цифровые подписи прошивок различных устройств и загрузчика ОС. Эти подписи хранятся в базах данных внутри встроенного ПО, которые состоят из списка «разрешенных» и «запрещенных» модулей. В разрешенных хранятся доверенные сигнатуры дополнительных модулей ПЗУ и, что самое главное, загрузчиков операционных систем. В запрещенные же попадают, например, известные хеши вредоносного ПО. Также при наличии чипа Trusted Platform Module появится возможность замерять время загрузки ОС и сообщать его антивирусному ПО. Таким образом, Secure Boot отсекает целый класс атак, направленных на перехват управления еще до загрузки операционной системы, предотвращая выполнение не доверенного кода до того момента, как встроенные в ОС механизмы защиты начнут функционировать.
Безопасность внутри ОС
На следующем уровне находятся различные механизмы защиты от несанкционированного выполнения кода в ядре и пользовательском адресном пространстве ОС. Начиная с Service Pack 2 для Windows ХР Microsoft начала вводить специальные методы защиты от различных классов атак - т.н. security mitigations. Часть этих методов реализуется в компиляторе Visual С++ и требует перекомпиляции приложений (как сторонних, так и входящих в состав ОС), а часть встроена непосредственно в Windows. С каждой последующей версией операционной системы количество этих методов защиты увеличивается, а сами они становятся более совершенными. В Windows 8 будут улучшены уже существующие и введены новые.
Address Space Layout Randomization (ASLR, рандомизация адресного пространства)
Большая часть уязвимостей использует тот факт, что многие внутренние структуры ОС, исполняемые файлы и динамические библиотеки всегда расположены по одному и тому же адресу в памяти каждый раз при запуске программы и на каждом компьютере. Чтобы противодействовать этой угрозе, ASLR вместо статического размещения объектов в памяти располагает их по случайным адресам. Это делает невозможным использование уязвимостей, в которых предполагается, что какой-либо объект в памяти всегда располагается по одному и тому же адресу. ASLR в Windows 8 увеличит энтропию и покроет большее количество компонентов ОС. Это позволит противодействовать уже имеющимся атакам, направленным на обход предыдущих версий ASLR.
Heap metadata protection (защита метаданных кучи)
Куча (heap) - это объект ядра, ассоциированный с исполняемым процессом, и является одним из механизмов, с помощью которого процессы работают с памятью. Куча в Windows использует метаданные для отслеживания памяти, выделяемой процессами. Переполнение буфера при работе с кучей может испортить метаданные, что дает возможность выполнить произвольный код. Для предотвращения подобных атак производятся различные проверки на целостность метаданных, а некоторые структуры, предрасположенные к возникновению в них ошибок, выносятся из кучи.
Технология Secure Boot предназначена для защиты ОС от выполнения вредоносного кода до ее загрузки
В Windows 8 добавятся новые проверки на целостность, что повысит защищенность от многих техник написания эксплоитов. В дополнение к этому куча в Windows теперь выделяется в случайном порядке, таким образом, эксплои-ты не могут полагаться на предсказуемое расположение объектов - аналогично технологии ASLR. Также добавлены сторожевые страницы для определенных типов аллокаций кучи, что позволяет предотвратить атаки, связанные с ее переполнением.
Усиление защиты ядра
В ядре Windows станут доступны методы защиты от атак, ранее поддерживавшиеся только для приложений, работающих на уровне пользователя. Например, теперь процессы, работающие в пользовательском адресном пространстве, не смогут выделять нижние 64 Кб памяти процесса. Это предотвратит целый класс атак типа «разыменование нулевого указателя» в ядре. Также добавлены проверки на целостность в аллокаторе памяти пула ядра, что снизит вероятность атак, направленных на повреждение пула ядра.
