Wielu moim znajomym powszechnie jest znany pewien fakt: jestem osobą niezdecydowaną w wielu kwestiach i często zmieniającą zdanie. Tak też było z oprogramowaniem zabezpieczającym. Pisałem najpierw, że wybrałem pakiet Kaspersky, a później, że z niego zrezygnowałem. Po pewnym czasie KIS jednak znowu zagościł na moim komputerze, choć w nieco innej konfiguracji. Oczywiście na tym roszada wcale się nie skończyła, ale pewnie nie chcielibyście usłyszeć jak wyglądała dalej. Wszystko zmieniło się kilka dni temu – na forum polskiego supportu Aviry dowiedziałem się o czymś, co stawia pod znakiem zapytania sensowność używania jakiegokolwiek programu zabezpieczającego w 64-bitowych edycjach systemu Windows.
Wszystko rozbija się o mechanizm Kernel Patch Protection, znany również jako PatchGuard, który po raz pierwszy został wprowadzony przez korporację Microsoft do Windows XP x64 i od tego czasu jest obecny w każdej takiej edycji okienek. Co to takiego w ogóle jest? Poszperałem nieco no i znalazłem kilka ciekawostek. Okazało się również, iż termin ten obił mi się już kiedyś o uszy, ale później poszedł w zapomnienie i dopiero na wspomnianym forum dowiedziałem się o nim raz jeszcze. W najprostszy sposób mówiąc, mechanizm ten uniemożliwia modyfikowanie jądra systemu i stanowi w tej kwestii niejako technologiczną barierę w wypadku nieautoryzowanych zmian. Korporacja od zawsze była przeciwna takim zmianom, lecz dopiero poprzez PatchGuard zablokowała ich wykonywanie. No dobra, ale właściwie w jaki sposób odbija się to na nas, użytkownikach, oraz na oprogramowaniu z którego korzystamy?
Zmiana ta ma bardzo poważne konsekwencje w wypadku oprogramowania zabezpieczającego takiego jak antywirus czy HIPS. Aby programy te działały w pełni skutecznie, muszą znajdować się nad warstwą aplikacji, czyli działać z poziomu jądra systemowego. Niestety wspomniana technologia uniemożliwia takie działanie. W efekcie korzystanie z programów tego typu na windowsach 64-bitowych praktycznie mija się z celem: skoro antywirus nie pracuje na wyższej warstwie aniżeli inne programy, nie może ich tak naprawdę kontrolować. Oczywiście my, klienci, wcale nie jesteśmy o tym fakcie informowani i używamy komputera z przeświadczeniem o bezpieczeństwie gwarantowanym przez renomowane oprogramowanie, co jest oczywiście całkowitą bzdurą. 
Co gorsze, tak naprawdę PatchGuard nie jest do końca szczelnym zabezpieczeniem – jego wprowadzenie uniemożliwiło co prawda skuteczne zabezpieczanie komputera przez zewnętrzne firmy, bowiem jądro jest okresowo sprawdzane i wypadku wykrycia nieautoryzowanej zmiany system zostanie zamknięty, ale wcale nie zablokowało możliwości włamania. Żadna szanująca się firma zajmująca się zabezpieczeniami nie będzie go łamać aby zainstalować swoje oprogramowanie, ale nic nie stoi na przeszkodzie aby zrobić to włamywacz! W wypadku 32-bitowych systemów nie było problemu, ponieważ nie istniała takowa przeszkoda i pomimo zastrzeżeń Microsoftu, producenci modyfikowali jądro aby ich oprogramowanie mogło spełniać swoje zadanie w jak najlepszy sposób.
W wypadku PatchGuard sterowniki urządzeń mają takie same uprawienia jak samo jądro systemu. W efekcie włamywacze mogą tą drogą, czyli po prostu przy użyciu odpowiednio spreparowanych sterowników, dokonać zmian w samym jądrze, choć teoretycznie i to może być zadaniem utrudnionym. Kiedy już jednak do tego dojdzie, nie będziemy w stanie przywrócić systemu do stanu sprzed awarii, ponieważ żadne oprogramowanie nie działa na tej warstwie… bezsensowny krąg zamyka się więc, narażając nas na niebezpieczeństwo czyhające w internecie.
Czu więc ta technologia nie ma żadnego sensu i nie warto korzystać z systemów 64-bitowych od giganta z Redmond? Okazuje się, że nie do końca. Co prawda jesteśmy nieco unieruchomieni, lecz z drugiej strony samo zabezpieczenie chroni nas chociażby przed znakomitą większością rootkitów, czy mało znanym oprogramowaniem, które może wyrządzić szkody poprzez nieodpowiednią modyfikację kernela systemowego. Sam korzystam z Visty x64 i zastanawiam się, czy jest sens wracać do wersji x86. Na razie testuję pewien sposób zabezpieczenia komputera, który nawet w wypadku takich wersji może okazać się skuteczny (choć wcale nie musi). Póki co wybór pozostawiam więc Wam, wyniki mojego testu powinny pojawić się w przeciągu dwóch tygodni, wtedy wyjaśnię o co mi chodzi.
Podobne wpisy:
Ja mam Vistę 32 bitową. Muszę przyznać, że nie wiedziałem, że ta wersja jest tak odmienna.
Podejrzewam, że to podejście takie jak z Mac’ami – „Mac jest lepszy bo nie trzeba antywirusa”. A teraz najwięcej wirusów właśnie na nie jest tworzonych. Poczekamy, a na pewno coś wymyślą…
No o linuxach mówi sie tak samo… z drugiej strony, gdyby wszyscy respektowali to, że nie powinno się pracować przy komputerze na koncie z uprawnieniami administratora gdy nie są potrzebne (mowa o windowsach), to mogłoby być lepiej.
Poza tym jak już ktoś dokona włamu przy PatchGuard, to spustoszenie będzie niesamowite (albo nie będzie widoczne i możemy być przykładowo szpiegowani, nic o tym nie wiedząc).
i pozostaje jedynie pytanie czy win7x64 posiada patchguard… ;P chociaz pewnie tez posiada…
Tak, posiada – PatchGuard jest od XP x64 wzwyż.
[...] programów zabezpieczających w 64-bitowych systemach rodziny Windows. Wątpliwości budził mechanizm PatchGuard, który krótko mówiąc, blokuje wszelkie niepowołane modyfikacje jądra systemowego, w celu [...]