входим в нору

КРИС КАСПЕРСКИ

Спецвыпуск: Хакер, номер #072, стр. 072-054-2

Поверх ядра Microsoft взгромоздила множество новых служб, в том числе и глубоко ненавистную многим программистам платформу .NET (представляющую по сути тот же самый Visual Basic, только в другом обличии) и «аэродинамический» интерфейс с кучей спецэффектов, пожирающих оперативную память и процессорные такты в неимоверных количествах. То есть, вместо обещанного ускорения, мы получим конкретные тормоза.

Ладно, хрен с нею, с производительностью. Microsoft уже приучила нас, что каждая последующая версия Windows работает медленнее предыдущей и требует намного более мощного железа. Основное кредо висты — это безопасность, точнее — полное отсутствие таковой. Формально, разработчики предприняли целый комплекс «противотанковых» мер (то есть мер, направленных против тех, кто в танке): рандомизацию адресного пространства, контроль целостности служебных структур динамической памяти с шифровкой магическим словом по XOR, изоляцию нулевой сессии от пользовательских приложений, понижение уровня привилегий некоторых сетевых сервисов и т.д., и т.п. (полный перечень содержится в официальном документе: http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/kernel-en.doc). Но, во-первых, все это уже давно было реализовано сторонними разработчиками в том же защитном комплексе BufferShield (подробнее о котором можно прочитать в статье «Переполнение буфера на системах с неисполняемым стеком», лежащей на мыщъх'ином ftp), только теперь пользователь получает a-la BufferShield в одной коробке с Windows без возможности его отключения (даже если он ему на хрен не нужен), а, во-вторых (и это самое важное!), разработчики похоронили старый сетевой стек, переписав его с нуля, и один хвост знает, сколько новых ошибок допустили при этом.

Корпорация Symantec провела свое собственное расследование (отчет можно найти на www.symantec.com/avcenter/reference/ATR-VistaAttackSurface.pdf), в результате которого пришла к весьма неутешительным выводам: качество реализации далеко от идеала и по степени защищенности новый сетевой стек значительно уступает старому стеку из XP. А тут еще как на грех в сентябре 2006 хакер Johnny Cache открыл принципиально новый тип удаленных атак, основанный на ошибках синхронизации потоков и допускающий захват управления с ядерными привилегиями. Угроза распространяется на все компьютеры, оснащенные сетевыми устройствами, обрабатывающими асинхронные запросы (беспроводные и ИК-адаптеры, DSL-модемы, голубые зубья и т. д.).