Miks 64-bitine Windowsi versioon on turvalisem
Enamik uusi arvuteid on tarnitud juba 64-bitise Windowsi versiooniga - nii Windows 7 kui ka 8 - juba aastaid. Windowsi 64-bitised bitiversioonid ei ole lihtsalt täiendava mälu ärakasutamine. Nad on ka turvalisemad kui 32-bitised versioonid.
64-bitised operatsioonisüsteemid ei ole pahavara suhtes immuunsed, kuid neil on rohkem turvaelemente. Osa sellest kehtib ka teiste operatsioonisüsteemide, näiteks Linuxi 64-bitiste versioonide kohta. Linuxi kasutajad saavad turvalisuse eeliseid, kui nad kasutavad oma Linuxi levitamise 64-bitist versiooni.
Aadressiruumi paigutus Randomiseerimine
ASLR on turvaelement, mis põhjustab programmi andmete asukohtade juhusliku paigutamise mällu. Enne ASLR-i võiksid programmi mälupesad olla prognoositavad, mis tegi programmi rünnakud palju lihtsamaks. ASLR-i puhul peab ründaja ära tundma õiget asukohta mälus, kui ta püüab programmi haavatavust ära kasutada. Vale arvatus võib põhjustada programmi kokkuvarisemist, nii et ründaja ei saa uuesti proovida.
Seda turvafunktsiooni kasutatakse ka Windowsi ja teiste operatsioonisüsteemide 32-bitistel versioonidel, kuid see on palju võimsam Windowsi 64-bitistel versioonidel. 64-bitisel süsteemil on palju suurem aadressiruum kui 32-bitisel süsteemil, muutes ASLRi palju tõhusamaks.
Kohustuslik draiveri allkirjastamine
Windowsi 64-bitine versioon jõustab kohustusliku draiveri allkirjastamise. Kõigil süsteemi juhi koodidel peab olema digitaalne allkiri. Siia kuuluvad kerneli režiimi seadmete draiverid ja kasutajarežiimi draiverid, näiteks printeridraiverid.
Kohustuslik draiveri allkirjastamine takistab pahavara poolt allkirjastamata draiverite käitamist süsteemis. Pahavara autorid peavad alglaadimisaja rootkiti kaudu mingil moel mööduma kirjutamise protsessist või saama nakatunud draiverid allkirjastada kehtiva juhi arendajalt varastatud kehtiva sertifikaadiga. See muudab nakatunud juhtide jaoks süsteemil töötamise raskemaks.
Draiveri allkirjastamist võib teostada ka Windowsi 32-bitistel versioonidel, kuid see ei ole - tõenäoliselt jätkub ühilduvus vanade 32-bitiste draiveritega, mida ei ole allkirjastatud.
Selleks, et keelata draiveri allkirjastamine Windowsi 64-bitistel väljaannetel, peate lisama kerneli siluri või kasutama spetsiaalset käivitusvalikut, mis ei kao kogu süsteemi taaskäivitamisel.
Kerneli plaastri kaitse
KPP, tuntud ka kui PatchGuard, on turvafunktsioon, mis leidub ainult Windowsi 64-bitistel versioonidel. PatchGuard takistab tarkvara, isegi kernel-režiimis töötavate draiverite Windows-kerneri paigutamist. Seda pole alati toetatud, kuid see on tehniliselt võimalik Windowsi 32-bitistel versioonidel. Mõned 32-bitised viirusetõrjeprogrammid on rakendanud oma viirusetõrjemeetmed kerneli lappimise abil.
PatchGuard takistab seadme draivereid kerneli paigast. Näiteks takistab PatchGuard rootkitide muutmist Windowsi kernelit operatsioonisüsteemi sisseehitamiseks. Kui avastatakse kerneli lappimise katse, sulgeb Windows kohe sinise ekraaniga või taaskäivitab.
Seda kaitset võib rakendada Windowsi 32-bitisel versioonil, kuid see ei ole olnud - tõenäoliselt jätkub ühilduvus pärandiga 32-bitise tarkvaraga, mis sõltub sellest juurdepääsust.
Andmete täitmise kaitse
DEP võimaldab operatsioonisüsteemil tähistada teatavaid mäluvaldkondi „mitte-täidetavaks“, seades „NX bit”. Mälupiirkonnad, mis peaksid ainult andmeid hoidma, ei ole käivitatavad.
Näiteks DEP-s ilma süsteemis võib ründaja kasutada mõnda puhvri ülevoolu, et kirjutada koodi rakenduse mälu piirkonda. Seejärel võib see kood täita. DEP-ga võib ründaja kirjutada koodi rakenduse mälu piirkonda, kuid see piirkond oleks märgistatud mitte täidetavaks ja seda ei saa täita, mis peataks rünnaku.
64-bitistel operatsioonisüsteemidel on riistvarapõhine DEP. Kuigi seda toetab ka Windowsi 32-bitised versioonid, kui teil on kaasaegne protsessor, on vaikeseaded rangemad ja 64-bitiste programmide puhul on DEP alati lubatud, samas kui 32-bitiste programmide puhul on see ühilduvuse põhjustel vaikimisi keelatud.
DEP seadistustedialoog Windowsis on natuke eksitav. Microsofti dokumentatsiooni kohaselt kasutatakse DEP-d alati kõigi 64-bitiste protsesside puhul:
„Süsteemi DEP konfiguratsiooniseaded kehtivad ainult 32-bitiste rakenduste ja protsesside puhul, kui töötate Windowsi 32-bitistel või 64-bitistel versioonidel. Windowsi 64-bitistel versioonidel, kui on olemas riistvaraga täidetav DEP, rakendatakse seda alati 64-bitistele protsessidele ja kerneli mäluruumidele ning süsteemi keelamiseks pole süsteemi konfiguratsiooniseadeid. ”
WOW64
Windowsi 64-bitised versioonid käivitavad 32-bitise Windowsi tarkvara, kuid nad teevad seda WOW64 (Windows 32-bitine Windows 64-bitine) nimega ühilduvuskiht. See ühilduvuskiht jõustab mõned 32-bitiste programmide piirangud, mis võivad takistada 32-bitist pahavara õnnestumist. 32-bitist pahavara ei saa ka kerneli režiimis töötada - 64-bitises operatsioonisüsteemis saab seda teha ainult 64-bitised programmid - see võib takistada mõnda vanemat 32-bitist pahavara õnnestuma. Näiteks kui teil on vana Sony CD-failiga audio-CD, ei saa see installida Windowsi 64-bitises versioonis.
Windowsi 64-bitised versioonid toetavad ka vanu 16-bitisi programme. Lisaks vanade 16-bitiste viiruste vältimisele sunnib see ka ettevõtteid uuendama oma vanu 16-bitisi programme, mis võivad olla haavatavad ja tasumata.
Arvestades Windowsi 64-bitiste versioonide laialdast levikut, suudavad uued pahavara tõenäoliselt töötada 64-bitises Windowsis. Samas võib ühilduvuse puudumine kaitsta looduslike pahavara eest.
Kui kasutate vanu 16-bitisi programme, vanu riistvara, mis pakub ainult 32-bitisi draivereid, või üsna vana 32-bitise protsessoriga arvutit, peaksite kasutama Windowsi 64-bitist versiooni. Kui te pole kindel, millist versiooni kasutate, kuid teil on kaasaegne arvuti, millel on Windows 7 või 8, kasutate tõenäoliselt 64-bitist väljaannet.
Muidugi ei ole ükski neist turvaelementidest lollikindel ja Windowsi 64-bitine versioon on pahavara suhtes endiselt haavatav. Kuid Windowsi 64-bitised versioonid on kindlasti kindlamad.
Image Credit: William Hook Flickris
