Windows XP SP2 - nieszczelna łata

Już od miesięcy Microsoft pracuje nad nowym pakietem aktualizacyjnym do Windows XP. Service Pack 2 zapewnia nowe funkcje i zwiększa bezpieczeństwo systemu. Poddaliśmy go dogłębnym testom i odkryliśmy pewne braki.

Już od miesięcy Microsoft pracuje nad nowym pakietem aktualizacyjnym do Windows XP. Service Pack 2 zapewnia nowe funkcje i zwiększa bezpieczeństwo systemu. Poddaliśmy go dogłębnym testom i odkryliśmy pewne braki.

W kwestii bezpieczeństwa Windows XP przypomina jedną wielką łataninę. Miesiąc w miesiąc producent udostępnia nowe łaty, aby zatykać liczne nieszczelności w systemie zabezpieczeń. W lipcu br. opublikowano siedem aktualizacji do ośmiu luk, w kwietniu zaś wydano aż 20 łatek.

Microsoft zdaje sobie sprawę, że dłużej tak być nie może, dlatego ogłoszono, że pakiet Service Pack 2 (SP2) ma stanowić kamień milowy w zabezpieczeniach systemu, który ma być najbardziej szczelnym i odpornym Windows wszechczasów.

Aktualizacje Service Pack dotychczas tylko poprawiały niedociągnięcia. Tym razem producent dorzucił multum dodatkowych funkcji. Przebadaliśmy gruntownie próbną wersję pakietu Service Pack 2 (Release Candidate 2, Build 2149). Wersja ostateczna nie będzie się ani trochę różniła od niej zakresem funkcji, dlatego zdecydowaliśmy się przedstawić najciekawsze nowinki. Niemniej jednak odkryjemy również spore uchybienia w zabezpieczeniach.

Centrum bezpieczeństwa - przejrzysty panel, lecz niepełna ochrona

Centrum zabezpieczeń informuje na bieżąco o stanie wbudowanej zapory sieciowej, automatycznych aktualizacji i zewnętrznego programu antywirusowego.

Centrum zabezpieczeń informuje na bieżąco o stanie wbudowanej zapory sieciowej, automatycznych aktualizacji i zewnętrznego programu antywirusowego.

Po zainstalowaniu pakietu SP2 wita użytkownika nowy element systemu, Windows Security Center, czyli centrum zabezpieczeń systemu Windows. Wystarczy jedno spojrzenie, aby uzyskać podstawowe informacje dotyczące ustawień systemu bezpieczeństwa. Od razu widać, czy w danej chwili jest uaktywniona wewnętrzna zapora sieciowa Windows, automatyczne aktualizowanie systemu, a także (zewnętrzny) program antywirusowy. Centrum zabezpieczeń zgłasza, że dostępne są nowe łaty do Windows lub że zbyt długo nie aktualizowano baz sygnatur skanera antywirusowego.

Zapora sieciowa W odróżnieniu od poprzedniego pakietu, SP1, wewnętrzna zapora sieciowa jest domyślnie włączona. Ponadto znacznie rozszerzono zakres jej funkcji i możliwości. Gdyby producent zdecydował się na to wcześniej, ataki takich intruzów, jak Sasser czy Blaster, spełzłyby na niczym. Nasze testy z użyciem kilku skanerów portów wykazały, że luki, o których mowa, zostały uszczelnione, a symulowane ataki wspomnianych robaków okazały się bezskuteczne.

Wewnętrzna zapora sieciowa nie niepokoi użytkownika, gdy jeden z procesów usiłuje np. wysłać wiadomość pocztową lub przywołać witrynę internetową. Tylko gdy aplikacja próbuje otworzyć któryś z portów, zapora prosi użytkownika o zgodę. Podsumowując, nie jest natrętna ani nie nęka zbędnymi komunikatami. Niemniej jednak już obecnie znane są robaki pocztowe - np. Bagle - które potrafią ominąć zaporę, zmylić użytkownika i uzyskać jego zgodę na otwarcie portu sieciowego. Wstawiają w tym celu swój kod do kodu Internet Explorera. Podczas nawiązywania kolejnego połączenia internetowego zapora pyta, czy zgadzasz się, aby Internet Explorer miał dostęp do Internetu. Monit, który zdecydowana większość użytkowników potwierdza bezmyślnie kliknięciem przycisku Tak. Tymczasem sygnalizuje on nieprawidłowości w zabezpieczeniach Windows i nakazuje nabrać poważnych podejrzeń.

Outlook Express 6.0 z SP2 nareszcie nie wczytuje automatycznie ilustracji, do których odnośniki znajdują się w nadchodzących wiadomościach. Dzięki temu nie zdradza spamerom, czy adres pocztowy jest prawidłowy.

Outlook Express 6.0 z SP2 nareszcie nie wczytuje automatycznie ilustracji, do których odnośniki znajdują się w nadchodzących wiadomościach. Dzięki temu nie zdradza spamerom, czy adres pocztowy jest prawidłowy.

Z dużym niepokojem stwierdziliśmy, że niektóre z intruzów typu backdoor mogą całkowicie obejść wewnętrzną zaporę sieciową Windows, a nawet wyłączyć ją. Jest to możliwe za sprawą specjalnego interfejsu w pakiecie SP2, który pozwala programom - np. Messengerowi - dostarczać zaporze własne reguły bez wiedzy i zgody użytkownika. Wspomniany interfejs może więc być wykorzystany przez wirusy, robaki lub zainfekowane aplikacje. Jak widać, zapora Windows nadal nie stanowi alternatywy dla zewnętrznych programów tego typu. Godne polecenia są m.in. bezpłatne dla użytkowników prywatnych Zone Alarm (dostępny pod adresem http://www.zonelabs.com ), Sygate Personal Firewall (dostępny pod adresem http://www.sygate.com ) i Outpost Firewall Free (dostępny pod adresem http://www.agnitum.com ).

Aktualizacja systemu Windows Wprawdzie już od dłuższego czasu w środowiskach Windows 2000 i XP jest dostępna funkcja Windows Update, jednak dopiero wraz z wprowadzeniem SP2 zaoferowano możliwość instalowania łatek w tle. Oprócz tego należy oczekiwać, że aktualizacje będą wyraźnie mniejsze. Efekt ten uzyskano, przechodząc na Windows Installer 3.0.

Nowy mechanizm aktualizowania systemu ma jednak więcej zalet. Podczas pobierania plików będzie wykorzystywana tylko niezajęta część pasma internetowego. Zatem podczas sieciowych wędrówek witryny nie powinny otwierać się wolniej. Na dodatek umożliwiono przerywanie pobierania plików w dowolnej chwili i wznawianie go w dogodniejszym momencie. To dość znaczące ulepszenie.

Ochrona antywirusowa Niespełna rok temu Microsoft przejął firmę Gecad, rumuńskiego producenta oprogramowania antywirusowego. Tymczasem w SP2 na próżno szukać skanera chroniącego komputer przed szkodnikami tego typu. Centrum zabezpieczeń zaprojektowano raczej z myślą o nadzorowaniu programów innych producentów. Ma zapewniać, że przez cały czas działa w tle strażnik antywirusowy zaopatrzony w bieżące definicje wirusów. Microsoft zaimplementował nawet procedury, które sprawdzają popularne pakiety antywirusowe. Ich najnowsze wersje mają nawiązywać bezpośredni kontakt z centrum zabezpieczeń i zgłaszać mu na bieżąco swój status.

Jednak w testach nawet aplikacje prosto spod igły nie współpracowały bez zarzutu z systemem. Na przykład Norton AntiVirus 2005 Beta oznajmiał konieczność aktualizowania baz definicji, podczas gdy centrum zabezpieczeń Windows uznało, że skaner dysponuje najnowszymi definicjami i nie musi pobierać nowych. Co gorsza, zamknęliśmy proces strażnika, a centrum uparcie twierdziło, że zabezpieczenia antywirusowe są nadal aktywne i skutecznie bronią systemu.

Zatem nie można polegać na funkcji ochrony antywirusowej - przynajmniej w testowanej przez nas wersji pakietu SP2.

Outlook Express - załączniki nadal niebezpieczne

SP2 wnosi liczne zmiany w obsłudze załączników odbieranych za pośrednictwem klienta pocztowego Outlook Express i komunikatora Windows Messenger. Producent scalił je i opatrzył nazwą Attachment Execution Services (AES).

Wewnętrzna zapora sieciowa jest domyślnie włączona i oferuje więcej funkcji.

Wewnętrzna zapora sieciowa jest domyślnie włączona i oferuje więcej funkcji.

Główny element stanowi niejako wirtualny stempel. Teraz jest odciskany na każdym załączniku Outlooka, Outlook Expressu i Messengera w chwili dotarcia do komputera adresata. Stempel gromadzi różne informacje - pamięta m.in., którym programem użytkownik odebrał załącznik. Ponadto uniemożliwia zapisywanie plików EXE z poziomu programu pocztowego i uruchamianie dwukrotnym kliknięciem myszy. Można to wykonać niebezpośrednio - na przykład nadawca musi przydzielić plikowi wykonywalnemu inne, a odbiorca przywrócić pierwotne rozszerzenie.

Podobnie nie można zapisywać na dysku lokalnym archiwów ZIP zawierających pliki EXE ani rozpakowywać ich za pomocą wewnętrznego programu kompresującego. Zabezpieczenie to okaże się bezskuteczne, jeśli korzystasz z zewnętrznego archiwizera, takiego jak WinZip czy WinRar, bo jest on domyślnie skojarzony z rozszerzeniem ZIP.

Słabą stroną wirtualnego stempla jest niewielki obszar działania. Funkcjonuje tylko w partycjach NTFS, nie zaś w partycjach FAT16 czy FAT32. Niektórzy producenci komputerów oferują pecety z systemem Windows preinstalowanym w partycjach FAT32. Ten, kto nie przejdzie na standard NTFS, nie skorzysta z większości nowych zalet obsługi załączników.


Zobacz również