Zero day mindörökké - riogat a Microsoft

http://www.hwsw.hu/hirek/50805/microsoft-windows-xp-biztonsag-tamogatas-zero-day.html

írja a hwsw.hu

Az újabb rendszerekhez kiadott frissítéseket visszafejtve válhat támadhatóvá a Windows XP, figyelmeztet blogbejegyzésben a Microsoft. A 2014. április 8. után védtelenné váló rendszer már ma sem véd kielégítően, jövőre kritikusan védtelenné válik.

Egyre feljebb tekeri a Windows XP leváltását sürgető kampány hangerejét a Microsoft, egyre sűrűbben jelennek meg ezzel kapcsolatos bejegyzések a vállalat különböző céges blogjain. A Microsoft Security Blog múlt heti bejegyzése rögtön "örökké tartó zero day" forgatókönyvvel riogat, ráadásul a rendszer hibáira (közvetve) maga a Microsoft fogja felhívni a támadók figyelmét.

A Windows XP mellé járó támogatás 2014. április 8-án jár le, ezután a dátum után a rendszerhez a készítő nem ad ki sem biztonsági frissítéseket sem funkcionális gyorsjavításokat, és sem ingyenes, sem fizetős telefonos vagy online támogatás nem lesz elérhető hozzá. A zero day támadások  javítatlan hibákat használnak ki - eszerint a definíció szerint támogatás lejárta után felfedezett hibák egységesen ebbe a kategóriába esnek.

A bejegyzés egy érdekes jelenségre hívja fel a figyelmet: a biztonsági javítások kiadását követően a támadók sokszor visszafejtik a frissítést és rekonstruálják a kijavított biztonsági rést, majd ennek birtokában elkészítik a rést kihasználó kódot. A Microsoft ezért a hasonló kódbázisú, egyszerre érintett operációs rendszerekre mindig egyszerre adja ki a biztonsági frissítést, hogy a visszafejtés nyomán egyik rendszer se maradjon védtelen. A Windows XP támogatási periódusának lejártát követően azonban bizonyos frissítésekkel pont a Microsoft fog "rámutatni" a rendszer egyes réseire. Hogy ez mennyire így van: az elmúlt egy évben a Windows XP 45 javítást kapott, ezek közül 30 érintette a Windows 7-et és Windows 8-at is. A jövőben az ilyen közös javításokból az XP kimarad, a támadóknak csupán annyi dolga lesz, hogy ellenőrzik, a modern rendszerekben kijavított probléma az XP-ben megtalálható-e.

Már most sem véd

A bejegyzés szerint a Windows XP nem csak 2014. április 8. után lesz védtelen, már most is kevésbé képes megvédeni a felhasználót, mint utódai. A rendszer (és különösen az SP2 szervizcsomag) fontos biztonsági megoldásokat implementál a Windows 95-98-Me sorozathoz képest, az újabb kiadásokkal szemben azonban látványosan elavult.

A Microsoft saját statisztikája szerint ezer Windows XP SP3-at futtató gépből 11,3 fertőzött, míg ugyanez a szám Windows 7 SP1 esetében 3,3-4,5 (64 és 32 bit), és 0,2-0,8 a Windows 8 (64 és 32 bit) futtatása esetén. A CCM mutató egyébként a Microsoft saját indikátora, azt jelzi, hogy a Windows Update-en keresztül rendszeresen futtatott Malicious Software Removal Tool hány fertőzést távolított el ezer gépre vetítve.

Még mindig elég jó?

A Microsoft nem véletlenül kampányol egyre hangosabban a Windows XP elavultsága mellett. A 13 éve kiadott rendszer még mindig elképesztően népszerű, az elmúlt hónapban pedig az aktív, böngészésre használt számítógépek között még nőtt is a részesedése. A Windows XP egyébként Kínában számít a legnépszerűbbnek, ahol még mindig 70 százalék fölötti a rendszert futtató PC-k aránya. Ezzel szemben az Egyesült Államokban az XP részesedése a NetApplications szerint már 20 százalék alá esett. A különbségért az alapvetően eltérő vásárlási/kalózkodási kultúra lehet felelős, a Windows XP-vel vásárolt gépeket az amerikaiak már jórészt lecserélték, a kevésbé fejlett országokban még jelentős a rendszer nélkül vett számítógép és kalóz rendszer kombinációja.

A Windows XP látványosan hosszú életét sokan sokféleképp magyarázzák, a leggyakrabban emlegetett, hogy egyszerűen "elég jó". És valóban, a fent említett biztonsági funkciókat leszámítva a Microsoft egyelőre nagyon nehezen tudja kommunikálni az egyszeri felhasználó felé a Vista, a Windows 7 vagy a Windows 8 előnyeit. Fontos előrelépések tucatjával akadnak, a sebességtől az alacsonyabb energiafogyasztásig, és a modern hardverek jobb támogatásáig, a felhasználók egy része azonban ezeket egész egyszerűen nem tartja eléggé fontosnak ahhoz, hogy leváltsa operációs rendszerét.

Egy lehetőség, kérdőjelekkel...

A Windows XP utolsó mentsvára?

http://www.hwsw.hu/hirek/50840/microsoft-windows-xp-custom-support-frissites-patch-biztonsag.html

írja a hwsw.hu

A Custom Support program keretében a Microsoft még a Windows XP életciklusának lejárta után is fejleszt kritikus frissítéseket. A kérdés az, vajon a fizető ügyfeleken kívül más is hozzáférhet-e ezekhez, és milyen formában.

A Windows XP továbbra is magas népszerűségnek örvend, a NetMarketshare adatai szerint világszinten 37 százalék felett van a részesedése, Magyarországon pedig a netezők több mint 34 százaléka használja a 2001-ben kiadott operációs rendszert. A szoftver hivatalos támogatási ciklusa jövő áprilisban véget ér, ezt követően nem érkeznek hozzá többé biztonsági frissítések sem. Vagy mégis?

Custom Support

A redmondi cég rendelkezik egy úgynevezett Custom Support programmal, amelynek keretében - megfelelő összegért cserébe - akár egy "lejárt szavatosságú" terméket is hajlandó támogatni és patchelni az életciklusának végét követő három évig. A Custom Support keretében a Microsoft automatikusan javítja a Microsoft Security Response Center által legsúlyosabbnak, kritikusnak ítélt sebezhetőségeket, valamint külön díj fejében más hotfixeket is fejleszt. Ezeket a frissítéseket természetesen csak azok érhetik el, amelyek a Custom Support programra előfizetnek.

Az előfizetési díj persze borsos: a Microsoft minden szervezettel külön állapodik meg és egyéni árazást is alkalmaz, ami évente százezer dolláros nagyságrendű és a használt gépek száma alapján kell fizetni. Egy cégre legkevesebb évi 200 ezer dollárba kerül a Custom Support szerződés megkötése az első évre, de ez csak abban az esetben érvényes, ha a szervezet egyúttal vállalja, hogy előfizet a Soware Assurance (Frissítési Garancia) licencre. A második és harmadik évbe a Custom Support ára folyamatosan emelkedik, ezres nagyságrendű PC-kez üzemeltető vállalatok esetén akár több millió dolláros szintig.

A Microsoftnak persze szíve joga eldönteni, mennyiért támogat egy kifutó terméket. A fontos kérdés az, hogy vajon a cég a Windows XP folyamatosan csökkenő, de továbbra is magas részesedése miatt esetleg meggondolja-e magát és módosítja-e a Custom Support árazását, illetve esetleg a program keretében elkészített kritikus javításokat hozzáférhetővé teszi-e mások számára is, továbbra is biztosítva ezzel a Windows XP védelmét a súlyosabb sebezhetőségek ellen.

Jöhet még patch? Kinek és mennyiért?

Az amerikai Computerworld spekulációi szerint a patchek korlátlan kiadása nem valószínű, mivel ezzel a Microsoft komoly érdekellentétbe kerülne azokkal a szervezetekkel, amelyek súlyos százezrekért előfizetnek a Custom Support programra. Igaz, a Custom Support keretében nem csak a kritikus patchekhez való hozzáférés biztosított, hanem egyéb hotfixek is készülhetnek, illetve az egyedi incidenskezelés is, amelynek azért van önálló értéke. Elképzelhető egy olyan forgatókönyv is a Computerworld szerint, amikor a Microsoft csak akkor adja ki a Custom Supporton kívül a kritikus patcheket, ha azokat valóban támadni kezdik, ezzel úgy tudná a legnagyobb biztonságot adni a Windows XP felhasználói számára, hogy közben a fizetős ügyfeleivel kerül érdekellentétbe.

Egy másik lehetőség az lenne, ha a Microsoft egy kisebb összegért, évente pár dolláros előfizetési díjért tenné elérhetővé a sebezhetőségek javítását a Windows XP felhasználói számára. A probléma ezzel az, hogy a Windows XP részesedése éppen azokban az országokban a legmagasabb, ahol a felhasználók egyáltalán nem szoktak a szoftverekért fizetni, így valószínűleg a frissítésekre sem lenne fizetőképes kereslet, még ha évente néhány tíz dollárba kerülnek is.

A StaCounter szerint Észak-Amerikában mára 12 százalékra csökkent a Windows XP részesedése,  Európában is 20 százalék alá esett és Dél-Amerikában is 22 százalék mindössze, Ázsiában azonban még mindig 30 százalék közeli, ami elsősorban a magas kínai (54%) részesedésnek köszönhető. Ebben az országban rendkívül magas a kalózszoftverek aránya és a felhasználók egyébként is vonakodnak letölteni a javításokat, attól tartva, hogy a Microsoft egy frissítés révén használhatatlanná teszi a kalóz operációs rendszereket. Ennek az lehet az eredménye, hogy a Windows XP részesedése a statisztikákban továbbra is magas marad, ráadásul a rendszerek jó része a frissítésekkel szemben ellenálló felhasználók kezében maradna - szinte mindegy tehát, jön-e patch egy sebezhetőségre vagy sem.

Persze az is lehet, hogy Redmond végül nem tesz semmit, és a Windows XP felhasználóit magukra hagyja, ahogy azt a termék életciklusa alapján várható. Amint az ismert, a Microsoft egy operációs rendszert 10 évig támogat, a Windows XP támogatási ciklusát pedig még a Windows Vista vártnál lassabb terjedésekor hosszabbította meg. 2011 helyett így elvileg 2014 áprilisában érkezik az utolsó javítás az operációs rendszerhez - a fentiek tükrében azonban ez lehet, hogy változni fog.