Spór pomiędzy Microsoftem a Rutkowską

W Internecie toczy się zadziwiający spór pomiędzy Microsoftem a znaną specjalistką ds. bezpieczeństwa, Joanną Rutkowską. Wszystko zaczęło się, gdy odkryła ona, że w Windows Vista każdy nowo instalowany program otrzymuje od systemu kontroli kont (UAC - User Account Control) przywileje administratora. Na jej informację odpowiedział Mark Russinovich, sławny twórca pakietu narzędzi Winternals i odkrywca rootkitu Sony. Stwierdził on, iż nie jest to błąd ale... funkcja systemu.

Russinovich wyjaśnia, że takie mechanizmy jak UAC czy Protected Mode Internet Explorer nie są technikami służącymi bezpieczeństwu. Są to, jak twierdzi, funkcje, które są zależne od uprawnień użytkowników i w samej filozofii ich działania leży dopuszczenie do sytuacji, w których mogą zostać "przełamane". W nomenklaturze Microsoftu różne poziomy uprawnień użytkowników są zwane Poziomami Integracji (Integrity Levels - IL).

"Vista dokonuje wyboru pomiędzy bezpieczeństwem a wygodą. UAC i Protected Mode IE zawierają pewne wyjątki w Poziomach Integracji, które zapewniają, że programy są kompatybilne i łatwe w użyciu" - pisze Russinovich. Tak więc, jako że UAC i Protected Mode z założenia zawierają "dziury", nie są, według Russinovicha, technologiami zabezpieczeń. "Ponieważ IL nie posiada określonej "granicy bezpieczeństwa", potencjalne drogi ataku, bez względu na stopień łatwości jego przeprowadzenia, nie mogą być uznawane za luki" - dodaje.

Jego zdaniem "granica bezpieczeństwa" to rodzaj bariery, poza którą ani kod programu, ani dane, nie mają prawa się przedostać bez odpowiedniej autoryzacji. UAC i Poziomy Integracji nie mają gwarantować, że procesy z wyższymi uprawnieniami nie zostaną zaatakowane przez te z uprawnieniami niższymi. Zadaniem obu technik jest raczej zmiana sposobu rozwijania oprogramowania dla Windows. Co więcej, Russinovich twierdzi, że nigdy nie było to tajemnicą, a o ich prawdziwej funkcji Microsoft mówil od dawna.

Takie, zawiłe trzeba przyznać, wyjaśnienie, nie zadowoliło Joanny Rutkowskiej. "Czy to ma być żart? Wszyscy dobrze pamiętamy, jak Microsoft opowiadał o tym, jaka to Vista będzie bezpieczna. I jak opowiadał, że nowe narzędzia zabezpieczające, takie jak UAC i Protected Mode IE poprawią stan informatycznego bezpieczeństwa na świecie. A teraz co słyszymy? Że ten okręt flagowy zabezpieczeń (UAC) w rzeczywistości... nie jest technologią zabezpieczającą!" - komentuje Rutkowska.

"Jeśli Microsoft szybko nie zmieni swojego zachowania, to za parę miesięcy poziom bezpieczeństwa Visty (z punktu widzenia typowego szkodliwego kodu) będzie taki sam, jak obecny zabezpieczeń systemów XP (czyli niezbyt obiecujący)"$ - dodała.

Do UAC ma ona dwa główne zastrzeżenia. Pierwsze, iż mechanizm pozwala wszystkim programom na działanie na prawach administratora, i drugie, że pozwala na "przełamanie" IL. O ile badaczka przyznaje, że to pierwsze jest zrozumiałą decyzją projektantów systemu, o tyle drugie uznaje za zwykły błąd.

Więcej informacji znaleźć można w blogach Joanny Rutkowskiej oraz Marka Russinovicha.


Zobacz również