V novém operačním systému Windows 8, který přijde na trh už tento pátek, přitahují největší pozornost změny uživatelského rozhraní a způsobu ovládání, nicméně Microsoft se při vývoji svého nejnovějšího systému nezaměřil jen na optimalizaci pro dotykové obrazovky. Windows 8 přináší i další zajímavosti, z nichž mnohé souvisí s bezpečností.
Windows Defender jako základní antivir
Z pohledu koncového uživatele je největší novinkou na poli bezpečnosti nového systému integrovaný antivirový program. Objevit se mohl už před šesti lety v trhem nakonec odmítnutých Windows Vista, ale tehdy z jeho integrace sešlo, protože se Microsoft zalekl výhrůžek výrobců antivirů, že si budou stěžovat u antimonopolních úřadů.
Po kauzách Windows Media Player či Internet Explorer je dost pravděpodobné, že minimálně na půdě Evropské komise by se jim dostalo sluchu. Nakonec zůstalo jen u integrace programu Windows Defender, který uživatelům Windows Vista i novějších Windows 7 přináší ochranu výhradně před hrozbami typu spyware, a to ještě ne zrovna valnou.
S Windows 8 ovšem přichází nový Windows Defender. Microsoft nakonec našel způsob, jak integrovat do systému antivirový program, aniž by jím přespříliš dráždil softwarové firmy, jejichž hlavním byznysem je právě prodej bezpečnostního softwaru. Zároveň je také bohatší o zkušenost přípravy antivirového programu pro koncové uživatele.
Jeho Microsoft Security Essentials je u uživatelů velmi oblíben. Právě na základech tohoto programu, který je podle některých statistik dnes dokonce nejrozšířenějším antivirem, nový Windows Defender staví. Poskytuje tudíž ochranu proti všem typům záškodnických programů, nezaměřuje se pouze na spyware.
Nový Windows Defender poskytuje jak rezidentní štít pro ochranu v reálném čase, tak možnost spouštět antivirový test na vyžádání. Lze tak nechat zkontrolovat libovolný soubor přímo z Průzkumníka, spustit rychlý základní či déle trvající důkladnější antivirový test případně si nechat zkontrolovat stažené soubory z Internetu, aniž by musela běžet zmíněná ochrana v reálném čase.
Pro její vypínání však uživatele nebudou mít důvod, protože nový Windows Defender si zachovává minimální negativní vliv na vytížení systému, kterým u uživatelů zabodoval právě Microsoft Security Essentials. Má i stejně jednoduché, přehledné a srozumitelné ovládání, čímž se reálná síla integrovaného antiviru v rukou řadového uživatele výrazně zvyšuje.
Užitečnost nové podoby programu Windows Defender by ale mohla být vyšší. Oproti samostatnému antiviru Microsoft Security Essentials nemá nový Windows Defender vlastní funkci pro uživatelské naplánování preventivních antivirových testů. S možností nadefinovat si výchozí akce při různých událostech zmizelo z nastavení programu i plánování antivirového testu. Nutné je zapojit plánovač úloh, což ale bude pravděpodobně nad síly většiny řadových uživatelů.
Samostatně šířený Microsoft Security Essentials podporuje jednoduché naplánování provedení antivirového testu, nový Windows Defender ve Windows 8 tuto funkci nemá.
Překvapivou a zřejmě i zásadnější informací je, že Windows 8 neposilují ochranu před hrozbami, které se šíří prostřednictvím flash disků a dalších podobných přenositelných médií. Systém sice ve výchozím nastavení automaticky nespustí cokoliv, co mu autorun.inf na flash disku podstrčí, ale k prohloubení ochrany před malwarem šířícím se prostřednictvím moderních paměťových médií nedošlo.
Přitom sám Microsoft ve své zprávě Security Intelligence Report Volume 13 za první pololetí tohoto roku označuje INF/Autorun za druhou nejrozšířenější skupinu malwaru. Podle statistik společnost ESET pak za posledních pět měsíců dokonce pak vůbec nejrozšířenější. Bylo by vhodné, kdyby se tomuto faktu ochrana ve Windows 8 přizpůsobila více než jen pouhým blokováním automatického spouštění souborů z paměťových médií, které se objevila již ve Windows 7.
Užitečná by také byla funkce pro alespoň volitelné automatické provedení kontroly obsahu flash disku či podobného média při jeho připojení k počítači. Windows Defender má však ve výchozím nastavení neaktivní kontrolu připojených přenosných paměťových zařízení i při manuálním spuštění důkladného antivirového testu. Přitom právě ta mohou ohrožovat nejen daný počítač, ale i další počítače, s nimiž uživatel pracuje.
Větší míru ochrany v tomto případě budou muset uživatelé nadále hledat u externích antivirových programů nebo komplexnějšího bezpečnostního softwaru. I tak je ale nový Windows Defender z uživatelského hlediska velmi příjemným nástrojem pro základní ochranu počítače před záškodnickými programy. Nejde však jen o placebo?
Nezávislé testy s větší vypovídající hodnotou přímo programu Windows Defender ve Windows 8 zatím nejsou k dispozici. Microsoft Security Essentials, z něhož nový Windows Defender vychází, je však pravidelným sběratelem ocenění VB100 magazínu Virus Bulletin. Metodologie testu a od ní se odvíjející vypovídající hodnota je sice předmětem dlouhodobé diskuse, ale samotní výrobci antivirů se oceněními VB100 rádi chlubí a Microsoft se může mezi ně řadit.
Nezávislé testy zatím nový Windows Defender příliš neprověřily, ale Microsoft Security Essentials, od nějž je nový Windows Defender odvozen pravidelně sbírá prestižní ocenění.
Nicméně v nedávném testu NSS Labs patřil Microsoft Security Essentials mezi ty nejhorší testované antiviry. Dosáhl jen 25% úspěšnosti. Horšího výsledku žádný ze 14 testovaných předních antivirů nedosáhl. V tomto konkrétním případě výzkumníci z NSS Labs ověřovali, jak si různé antivirové programy poradí s exploity na webových stránkách využívajících běžný protokol HTTP a zabezpečený protokol HTTPS.
Zaměřili se konkrétně na hrozby zneužívající dvojici kritických chyb (CVE-2012–1889, CVE-2012–1875), které Microsoft opravil v červnové a červencové várce záplat. Jeho samostatný antivirus zachytil jen polovinu exploitů na webových stránkách využívajících HTTP protokol. Odhalit exploity šířící se z webů používajících HTTPS nedokázal vůbec.
To je přitom podle NSS Labs velký nedostatek, protože stále více webů (od vyhledávačů přes internetové obchody po sociální sítě) dnes v zájmu ochrany soukromí svých uživatelů přechází na zabezpečený protokol HTTPS. Například při jejich zneužití k šíření exploitů by v tomto konkrétním případě Microsoft Security Essentials neposkytl dostatečnou ochranu.
Každopádně platí, že Windows Defender je navržen jako elementární antivirus pro uživatele, kteří nemají k dispozici jiný antivir. Microsoft si zřejmě nechce širšími funkcemi programu poštvat proti sobě výrobce jiných antivirů. Navíc by škodil i svým zájmům, protože dodává vlastní bezpečnostní řešení Microsoft Forefront.
Výrobci antivirů (např. ESET nebo McAfee) veřejně oceňují, že se Windows Defender deaktivuje, pokud je v systému dostupný jiný antivirový program a případně se po jeho odstranění znovu aktivuje. Též si pochvalují jasně daná pravidla pro odinstalaci antivirového programu, která by měla předcházet problémům při přechodu z jednoho antivirového produktu na druhý.
Lepší a bezpečnější nabíhání systému
Některé z novinek v oblasti bezpečnosti ve Windows 8 chválí i výrobci antivirů, přestože de facto snižují důležitost jejich produktů. Například výzkumník Aryeh Goretsky vypracoval analýzu bezpečnostních novinek ve Windows 8, kde chválí koncept nové technologii Early Launch Anti Malware (ELAM).
Ta při spouštění Windows 8 jako první zavádí antivirový program certifikovaný Microsoftem. Antivirus tak může zakročit už při nabíhání systému proti hrozbám na pevném disku i v operační paměti, které používají vyspělé maskovací technologie. Tedy zejména rootkity. Jestliže by antivir naběhl později než záškodnický program, může být vůči němu slepý a hluchý.
Nejenže Windows 8 mají studený start díky technologii hybridního spouštění rychlejší, ale celé spouštění počítače je bezpečnější. Vedle technologie ELAM používají technologii Secure Boot na počítačích s UEFI, náhradou za klasický a dnes již přežitý BIOS. O technologii Secure Boot se Aryeh Goretsky také zmiňuje.
Secure Boot počítači zabrání v zavádění operačního systému, pokud jeho zavaděč není opatřen platným digitálním podpisem, který má být potvrzením věrohodnosti. Výzkumník společnosti ESET vysvětluje, že funkce vlastně brání počítač před hrozbami typu bootkit. Zároveň ovšem zmiňuje její kritiku, která se ozývá z linuxové scény.
Windows 8 využívají technologii Secure Boot, která počítači umožňují v zablokování činnosti zavaděče bez platného podpisu. Linuxová scéna technologii kritizuje.
Ta se obává, že Secure Boot omezí možnosti uživatelů přejít na alternativní systém. V tom však Aryeh Goretsky nevidí problém, přičemž argumentuje, že specifikace UEFI počítá s možností vypínání funkce Secure Boot a samotný Microsoft si při certifikaci zařízení vymiňuje při aktivování technologie Secure Boot možnost jejího vypnutí ze strany uživatele.
SmartScreen rozšiřuje působnost na celý systém
Podle loňské analýzy Microsoftu představuje v průměru jeden ze čtrnácti souborů stažených z Internetu bezpečnostní hrozbu. Proto se vedle integrovaného antiviru Windows Defender s aktivní ochranou v reálném čase ve Windows 8 objevuje ještě další ochranný prvek: filtr SmartScreen s rozšířenou působností. Ve Windows 8 bude kontrolovat reputaci souborů stažených z Internetu.
Při otevírání resp. spouštění neznámých anebo podezřelých souborů uživatele varuje. A nejen to. SmartScreen ve Windows 8 umí zablokovat otevírání souborů bez dobré reputace, dokud k tomu nedá požehnání správce počítače. Ve firemním prostředí jím tedy bude nejspíše někdo z technického oddělení, v domácnostech pak může roli správce plnit zkušenější uživatel.
Programy, k nichž Windows 8 nenajdou ve své online databázi pozitivní zprávy o reputaci, mohou být ve Windows 8 díky filtru SmartScreen spouštěny až s požehnáním administrátora
Reputaci stažených souborů sleduje již nějakou dobu i webový prohlížeč Google Chrome, ovšem ve Windows 8 bude tato část ochrany filtru SmartScreen dostupná pro uživatele libovolného prohlížeče. Nadále pak SmartScreen zůstává nástrojem pro blokování přístupu na nebezpečné anebo podvodné webové stránky v předinstalovaném prohlížeči Internet Explorer.
Nepracuje jen na základě průběžně aktualizované černé listiny se stránkami, které slouží k šíření malwaru nebo jsou využívání při phishingových útocích. Provádí též analýzu kódu stránek. Microsoft se proto chlubí, že Internet Explorer je prohlížečem s nejlepší filtrací nebezpečných webů. Odkazuje se přitom na výsledky testů výzkumníků z NSS Labs.
Výsledky toho zatím posledního byly publikovány koncem září 2012. Během 175 dnů v NSS Labs zkoumali chování prohlížečů při pokusu navštívit přibližně 84 000 konkrétních webových adres, o kterých se vědělo, že se jejich prostřednictvím šíří některý ze skupiny více než 200 000 záškodnických programů.
Internet Explorer a jeho filtr SmartScreen byl schopný rozpoznat nebezpečí v 95 % případů. Konkurenční Google Chrome dosáhl nanejvýš 74% úspěšnosti, ovšem během konání testu jeho úspěšnost velmi kolísala. Pohybovala se v rozmezí od pouhých 13 % po již zmíněných 74 %. Mozilla Firefox naprosto propadl, jelikož v průměru dokázal ochránit uživatele jen v 6 % případů.
Google a Mozilla však tyto testy NSS Labs napadají a připojují se i další kritici. Tvrdí, že prohlížeč nemá suplovat rezidentní webový štít antivirového programu. Navíc nezamezení přístupu na záškodnický web nutně neznamená, že uživatel je vystaven kritickému nebezpečí. Například Google Chrome používá sandbox izolující jednotlivé procesy prohlížeče jak od sebe navzájem, tak od zbytku systému.
Tvrzení Microsoftu na základě testů NSS Labs, že Internet Explorer je nejbezpečnějším prohlížečem, tak je zavádějící. Pokud budeme Microsoftem sponzorovaným testům věřit, tak jediná pravdivá interpretace jejich výsledků je, že Internet Explorer, resp. jeho SmartScreen, nejlépe blokuje přístup na vybrané weby šířící malware.
Internet Explorer 10 a ochrana soukromí
Internet Explorer 10 ve Windows 8 kromě verze pro dotykové ovládání koncovým uživatelům příliš novinek nepřináší. Mezi novinky v oblasti bezpečnosti lze započítat podporu sandboxu z HTML 5. Ten umožňuje tvůrcům webů nastavit restrikce pro stránky načítané přes iframe. Lze na nich například zakázat používání skriptů anebo odesílání formulářů.
Google Chrome sandbox z HTML 5 podporuje již od jara roku 2010. Microsoft jej do svého prohlížeče zavádí teprve nyní. Stejně tak Mozilla, která s jeho podporou počítá v chystaném Firefoxu 17, jenž by měl vyjít 20. listopadu 2012. Mnohem diskutovanější novinkou v prohlížeči Internet Explorer 10 však je, že ve výchozím nastavení má aktivní Do Not Track.
Do Not Track je technologie, s níž přišla Mozilla. Uživatel si díky ní může v prohlížeči nastavit, že si nepřeje, aby browser umožňoval sledování jeho pohybu napříč různými weby, monitorovanými všemožnými analytickými nástroji a reklamními systémy. Prohlížeč pak přání uživatele přes HTTP hlavičku předává webovým stránkám. Do Not Track aktuálně podporují Firefoxu, Maxthon, Safari, Opera, SeaMonkey a další okrajové prohlížeče.
Microsoft technologii zařadil již do Internet Exploreru 9, ovšem při použití expresní instalace Windows 8 je nově Do Not Track ve výchozím nastavení aktivní. Uživatel ji tedy nemusí aktivovat až přímo v prohlížeči. Proti tomu protestuje kde kdo. Kritika se ozývá z e-komerčního prostředí, ovšem také od propagátorů této technologie. Důvod je ten, že Do Not Track svou koncepcí má být vědomým vyjádřením přání uživatele.
Při expresní instalaci Windows 8 se mj. automaticky aktivuje Do Not Track v novém prohlížeči Internet Explorer 10
Nikoliv funkcí, kterou má prohlížeč ve výchozím nastavení již aktivní. Hysterie je ale možná trochu zbytečná a navíc namířena i špatným směrem. Technicky ani legislativně totiž nikdo nenutí provozovatele webů požadavek Do Not Track respektovat. Mohou tak učinit jen o své dobré vůli. Větším problémem pro provozovatele reklamních systémů je funkce Tracking Protection, tedy ochrana proti stopování (sledování).
Ta se objevila již v Internet Exploreru 8 a má ji i nový Internet Explorer 10. Jde o funkci umožňující blokovat kód různých analytických a reklamních systémů na webových stránkách, kterou lze efektivně použít i pro blokování zobrazování reklamních prvků na webových stránkách podobně jako populární rozšíření AdBlock a jeho klony pro Mozilla Firefox a Google Chrome.
Většina bezpečnostních nástrojů ve webovém prohlížeči Internet Explorer 10 je převzata z předchozích verzí.
Dále má Internet Explorer 10 nástroje rovněž známé i z předchozích verzí jako je XSS filtr, filtrování ActiveX či režim InPrivate pro surfování po webu bez zanechávání stop na počítači, podle nichž by uživatel mohl zjistit, kde surfoval jiný uživatel používající počítač před ním. Režim v nadsázce označovaný za „porno mód“ se hodí hlavně na sdílených počítačích a v současnosti jej podporují všechny klíčové prohlížeče.
V Internet Exploreru 10 ovšem stále chybí funkce pro smazání těchto stop dodatečně. Respektive, lze smazat jen kompletní historii (kdykoliv ručně nebo automaticky při zavření prohlížeče). Například Google Chrome a Mozilla Firefox však umožňují odstranit stopy po surfování zanechané např. během poslední hodiny. To se hodí v případech, kdy uživatel zapomněl aktivovat režim anonymního surfování.
Flash Player pod křídly Microsoftu a Windows Update
Bezpečnost prohlížeče Internet Explorer byla nepřímo zvýšena tím, že Microsoft na svá bedra převzal zodpovědnost za aktualizaci plug-inu Flash Player. Jeho verze, která má být výkonnostně optimalizovaná a energeticky méně náročná, je součástí instalace Windows 8 a systémová aktualizační služba Windows Update se bude ve výchozím nastavení automaticky starat o aktualizaci tohoto stále důležitého plug-inu.
Flash Player trpí poměrně častým výskytem bezpečnostních chyb, které jsou kvůli jeho velkému rozšíření mezi uživateli vyhledávanými cíli pro záškodnický software. K úspěšnému útoku mnohdy stačí uživatele nalákat na záškodnickou webovou stránku. Uživatel nemusí nic stahovat, stačí pouhé načtení webové stránky se zastaralým plug-inem Flash Player.
Flash Player má vlastní aktualizační mechanismus, který je průběžně vylepšován. Relativně nedávno přešel na systém tichých aktualizací, ale ani tak se stále nedaří k uživatelům dostávat nové verze s opravenými chybami včas. Microsoft věří, že díky zapojení své aktualizační služby Windows Update situaci zlepší.