Videó: Братишкин показал имбовую тему на windows 10 | SIMPLIFY WINDOWS 10 (November 2024)
A biztonság hátsó ülésen vett részt a Microsoft szerda Windows 10 eseményén, de ez nem jelenti azt, hogy Redmond nem tett semmiféle biztonsági csorbát.
A Windows 10 "nagyon hosszú listáját tartalmaz a továbbfejlesztett biztonsági szolgáltatásokról, amelyeket ezen az új adatbázisba fejlesztettek ki, és hatalmas mennyiségű új támadási felületet vezettek be ezen az új platformon" - írta Kurt Baumgartner, a Kaspersky Lab vezető kutatója egy blogbejegyzésben.
Spartan projekt - új böngésző fejfájás?
Az egyik legnagyobb változás a webböngészőben zajlik, mivel a legtöbb felhasználó nem fogja látni az Internet Explorer böngészőt a Windows 10 rendszeren. Az új böngésző, amelyet jelenleg a Project Spartan indít, az Internet Explorerből való távolság, mivel egy vadonatúj megjelenítő motorhoz tartozik.. A Microsoft azonban megérti a visszamenőleges kompatibilitást, és a Project Spartan képes lenne betölteni az IE11 motort, ha a felhasználó megpróbálja elérni a kifejezetten az Internet Explorer számára tervezett vállalati webhelyeket.
A Microsoft szerint a Project Spartan motorja HTTP-szigorú szállítási biztonságot (HSTS) tartalmaz. A HSTS egy HTTP fejléc, amely tájékoztatja a böngészőt, hogy mindig kérjen egy adott domaint SSL-en keresztül. Ez elősegíti a középső ember támadás felületének csökkentését. A Microsoft nem hozott nyilvánosságra más biztonsági funkciókat, fejlesztési gyakorlatokat vagy homokozókat a Project Spartan számára.
Ennek ellenére jó ötletnek tekinthető, ha csupán az IE különféle verzióiban már 2014-ben több mint 200 sebezhetőséget tapasztaltak, a kódbázis elhagyása és a minimalista frissítés a Project Spartan segítségével. "Egyszerűen fogalmazva: az IE böngésző 2014-ben becsapódott az összes Windows platformon, beleértve a legújabb verzióikat is" - mondta Baumgartner.
Amit nem szabad mondani, hogy a Project Spartan, a nagy mennyiségű új kóddal, a kommunikáció és az adatok megosztása érdekében, nem csak a Microsoft történetét követi, amikor évente több száz sebezhetőséget kell javítania? "Remélhetőleg a csapatuk nem hozza magával azt a poggyászot, de az új funkcionalitással elég nehéznek tűnik" - mondta.
Az IE motorral való visszamenőleges kompatibilitás szintén problémákat okozhat. "További szolgáltatások + platformközi támogatás + visszamenőleges kompatibilitás = sokkal nagyobb kódbázis (millió sornyi kódot" - mondta Franklyn Jones, a Spikes Security marketing alelnöke. A sokkal nagyobb kódbázis azt jelenti, hogy sokkal több sebezhetőség rejlik) és egy sokkal nagyobb támadási felület a számítógépes bűnözők kiaknázására - mondta.
Hitelesítés és bizalom
A Microsoft megakadályozza a nem megbízható alkalmazások telepítését a rendszerbe. A megbízhatóságot az alkalmazás digitális aláírásával ellenőrzik. Noha ez a megbízható aláírási modell javulás, Baumgartner szerint a Windows 10 kezelési módja "nem tökéletes". A korábbi számítógépes kémkedés támadások kimutatták, hogy a digitális tanúsítványokat könnyen ellopják és újra felhasználják támadásokban. A színészek megosztják a tanúsítványokat csoportok között és megtörik a bizalmi modellt - mondta.
A Windows 10 beépített identitásvédelemmel és hozzáférés-vezérléssel rendelkezik az adathalász támadások ellen, két tényezőjű hitelesítést igényel a felhasználók számára PIN-kód vagy biometrikus adat használatával, valamint egy adatvesztés-megelőző eszközt az előre meghatározott helyekre mentett vállalati adatok automatikus titkosításához. mondta korábban.
Az új operációs rendszer az adatmegosztó szolgáltatások zökkenőmentes integrációjával büszkélkedhet a számítógépes erőforrások között, ami azt jelenti, hogy a hitelesítés és az azok alapjául szolgáló hitelesítő adatok és tokenek nem szivárogtathatók át a szolgáltatások, alkalmazások és eszközök között - jegyezte meg Baumgartner. Nem világos, hogy a Windows 10 rendelkezik-e védelemmel a véletlen átvitel technikáival, az Active Directory elleni támadásokkal "vázas kulcsokkal", vagy a Hyper-V és a tárolómodell elleni támadásokkal a tokenek elérése és visszaélése ellen. A biztonsági kutatóknak arra kell összpontosítaniuk, hogy a Microsoft hogyan hajtotta végre a hitelesítő adatok kiépítését és a hozzáférési jogkivonatok kezelését - mondta.
"A DLP megvalósítása a vállalati adatok biztonságos megosztására szintén bátorító, de milyen erős lehet az egész energiával korlátozott mobil hardver?" - kérdezte Baumgartner.
