Hat Microsoft die Sicherheit verbessert oder ist sie weniger relevant?

Diese Woche schreibe ich diese Kolumne aus einem Hotelzimmer in Las Vegas. Ich bin hier, um an BlackHat 2011 und Defcon 19 teilzunehmen, den jährlichen Konferenzen, zu denen jedes Jahr Hunderte von Menschen strömen, um mehr über alle hackbaren Dinge zu erfahren. Beide wurden ursprünglich in den 1990er Jahren von Jeff Moss gegründet.

Defcon hat einen Großteil seiner ursprünglichen "Leet Hax0rs" -Atmosphäre bewahrt (obwohl es jetzt von zahlreichen Strafverfolgungsbeamten und bekannten Sicherheitsforschern zusammen mit dem Untergrundkontingent besucht wird).

BlackHat hat sich zu einem großen Unternehmen entwickelt, das Redner von Regierungsbehörden und großen Universitäten anzieht, Prämiensätze für die Zulassung berechnet und zusätzliche Konferenzen auf der ganzen Welt abhält.

2011 Fokus

In den vergangenen Jahren lag bei BlackHat immer ein großer Fokus auf dem Hacken von Microsoft Windows. Die Referenten zeigten gerne die neuesten und größten Exploits, die den mächtigen Microsoft in die Knie zwingen könnten. Gespräch für Gespräch erfuhren wir von allen Gründen, warum Redmonds Nachkommen Hackern, Crackern und Angreifern niedrig hängende Früchte zur Verfügung stellten, die so einfach zu pflücken waren, dass es fast keine Herausforderung war. Aber ich habe begonnen, eine allmähliche, aber bedeutende Veränderung zu bemerken.

Der diesjährige Zeitplan enthält einige der gleichen:

  • Einfache und schnelle Suche nach Sicherheitslücken in Windows
  • Windows Hooks of Death: Kernel-Angriffe durch Rückrufe im Benutzermodus
  • Microsoft Vista: NDA-frei Das Gute, das Schlechte und das Hässliche

Es ist jedoch interessant festzustellen, dass sich so viele der diesjährigen Präsentationen mit anderen Technologien befassen:

  • War Texting: Identifizieren und Interagieren mit Geräten im Telefonnetz
  • Den Mythos der Cisco IOS-Vielfalt töten: Auf dem Weg zu einer zuverlässigen, groß angelegten Nutzung von Cisco iOS
  • Google Chrome OS hacken
  • Überwindung des (Apple) iOS-Datenschutzes, um die iPhone-Forensik wieder zu aktivieren
  • Apple iOS Sicherheitsbewertung
  • Androiden für Profit hacken
  • Ausnutzung des iOS-Kernels

Diese Verschiebung des Fokus eröffnet verschiedene Möglichkeiten. Es könnte sein, dass Microsoft die Sicherheit verbessert, was zu weniger schwerwiegenden Sicherheitslücken führt, die Forscher finden und diskutieren können. Oder es könnte sein, dass sich niemand mehr so ​​sehr um die Microsoft-Schwachstellen kümmert, weil sie Windows in der sogenannten "Post-PC-Welt" als irrelevant ansehen.

Verteidiger von Microsofts Ehre haben lange Zeit argumentiert, dass ein Hauptgrund dafür, dass so viele Viren und Angriffe für Windows entdeckt werden - im Gegensatz zu Mac OS X oder Linux - darin besteht, dass Angreifer es natürlich vorziehen, auf das Betriebssystem mit dem größten Marktanteil abzuzielen um mehr für ihr Geld zu bekommen. Es war eher eine Form der Sicherheit durch Dunkelheit als ein Beweis dafür, dass die anderen Betriebssysteme von Natur aus sicherer waren. Die Folge davon ist, dass die anderen Betriebssysteme, wenn sie populär würden, attraktivere Ziele werden und Angreifer beginnen würden, sie stärker auszunutzen. Passiert das jetzt?

Vielleicht ist es ein bisschen von beidem. Es fällt niemandem schwer zu leugnen, dass die neueren Windows-Versionen sicherer sind als ihre Vorgänger. Laut dem Security Intelligence Report von Microsoft für 2010 war die Malware-Infektionsrate für Windows XP-Systeme vier- bis fünfmal höher als für Windows 7-Computer. Windows Vista hatte immer noch die doppelte Infektionsrate von Windows 7. Es ist offensichtlich, dass jede Windows-Version zunehmend sicherer geworden ist.

Microsoft bemüht sich

Microsoft hat in den letzten Jahren konzertierte Anstrengungen unternommen, um Sicherheitsbedenken hinsichtlich seiner Produkte auszuräumen. Ihre Trustworthy Computing Initiative wurde in einem Whitepaper von Craig Mundie aus dem Jahr 2002 detailliert beschrieben und legte Grundsätze fest, um Windows Computing auf der Grundlage der vier Säulen Sicherheit, Datenschutz, Zuverlässigkeit und Geschäftsintegrität vertrauenswürdiger zu machen. Das Unternehmen hat auch Anstrengungen unternommen, um Entwicklern das SD3-Konzept eines Sicherheitsentwicklungslebensstils zu vermitteln, der die folgenden Mandate umfasst: Secure by Design, Secure by Default und Secure in Deployment.

Sowohl Vista als auch Windows 7 enthalten eine Reihe von Sicherheitstechnologien, die früheren Windows-Versionen fehlen, darunter Benutzerkontensteuerung (User Account Control, UAC), Adressraum-Layout-Randomisierung (ASLR), vollständige Unterstützung der NX-Funktion (No Execute) moderner Prozessoren und obligatorische Integritätskontrolle Erzwingen der Anwendungsisolation, der Trennung von Systemdiensten, interaktiver Anmeldungen und mehr.

Trotz früherer öffentlicher Kritik an der mangelnden Sicherheit von Windows wurden die Bemühungen um mehr Sicherheit von Computerbenutzern nicht immer mit offenen Armen aufgenommen. Viele beschwerten sich bitter über die Benutzerkontensteuerung (User Account Control, UAC) in Windows Vista und die Sicherheit "in your face". Ebenso waren viele Administratoren unglücklich über die standardmäßig gesperrte Natur von Internet Explorer in Windows Server.

Da "mehr Sicherheit" oft mit "weniger Komfort" einhergeht, werden zusätzliche Sicherheitsmaßnahmen diejenigen verärgern, die den zusätzlichen Aufwand für den Zugriff auf die gewünschten Ressourcen nicht mögen, und einige schalten einfach die Sicherheitsfunktionen um aus, den ganzen Zweck zunichte machen (und Windows weniger sicher machen). Bei bestimmungsgemäßer Verwendung erhöhen diese Funktionen jedoch die Sicherheit von Windows-Systemen erheblich.

In Bezug auf den BlackHat-Zeitplan ist mir auch aufgefallen, dass Microsoft dort vertreten ist und Präsentationen von Microsoft-Mitarbeitern Mark Russinovich und Katie Moussouris gehalten werden. Eine Durchsicht der Liste der Sprecher zeigt niemanden von Google oder Apple. Natürlich neigt Apple dazu, technische Ereignisse zu vermeiden, die nicht ausschließlich ihren eigenen Produkten gewidmet sind (z. B. CES), aber man könnte erwarten, dass Google-Vertreter dort sind (es gibt einen ehemaligen Google-Mitarbeiter auf der Liste). Bedeutet dies, dass diese Unternehmen die Teilnahme an der Sicherheitsgemeinschaft weniger ernst nehmen?

Mein Take

Ich finde es ermutigend, dass Microsoft bereit ist, Mitarbeiter zu einem Ort wie BlackHat zu schicken, an dem viele der Teilnehmer Microsoft-Produkten traditionell feindlich gegenüberstehen oder zumindest skeptisch gegenüberstehen. Während andere Technologien im Heim- und Geschäftscomputer zunehmend an Bedeutung gewinnen und daher zu Recht im Sicherheitsbereich genauer unter die Lupe genommen werden, sind die Sicherheitsprobleme von Microsoft, deren Marktanteil immer noch groß ist, keineswegs irrelevant. Sie sagen, dass Handlungen lauter sprechen als Worte, und sowohl die Worte als auch die Handlungen von Microsoft in den letzten Jahren zeigen, dass sie es ernst meinen, die Sicherheit richtig zu machen. Ob sie dies tatsächlich erreicht haben oder nicht, ist eine andere Frage - eine, die für eine andere Ausgabe dieser Kolumne gespeichert werden soll.

Lesen Sie auch:

  • Machen Sie sich bereit für die Action auf der Black Hat 2011
  • Die Top 10 Hacker aller Zeiten
  • Black Hat: 10 Hacks und Präsentationen, die man sich nicht entgehen lassen darf

© Copyright 2020 | mobilegn.com