Microsoft đã ngừng cập nhật Windows XP và các phương tiện truyền thông cảnh báo chúng tôi về rò rỉ bảo mật. Tôi thực sự chỉ đọc rằng tiếp tục sử dụng Windows XP là "cực kỳ" nguy hiểm. Tại sao chính xác điều này là một mối nguy hiểm như vậy? Tôi tin rằng bây giờ XP sẽ khá an toàn để sử dụng sau nhiều năm cập nhật.

Có những điều đặc biệt nào mà người dùng XP phải để ý và có thể có biện pháp chống lại?

Tôi cũng tin rằng tất cả các địa điểm thú vị dành cho tin tặc sẽ cập nhật lên Windows 7/8 và các mối đe dọa nghiêm trọng sẽ không được tạo ra nữa trong tương lai, ít nhất là không nhắm mục tiêu cụ thể vào Windows XP.

Một số lý do khiến XP KHÔNG an toàn, bất kể cập nhật bảo mật.

Dưới đây là một số sự thật cần lưu ý:

1. Antivirus là một cách tiếp cận thiếu sót về mặt khái niệm để bảo vệ phần mềm độc hại . Mọi người nên sử dụng một, nhưng chấp nhận rằng ít nhất 20% các mối đe dọa trong tự nhiên sẽ xâm nhập hệ thống phòng thủ của họ. đôi khi (tùy thuộc vào sản phẩm), tối đa 60% phần mềm độc hại có thể trốn tránh sự phát hiện.

2. XP do tuổi tác và mức độ phổ biến của nó, đã khai thác 0 ngày được thiết lập nhiều hơn bất kỳ hệ điều hành Windows mới nào. Hiện tại có 964 CVE ảnh hưởng đến XP, 511 ảnh hưởng đến Vista và 410 ảnh hưởng đến Windows 7 (nhiều trong số đó liên quan đến Windows 7 Phone).

3. XP thiếu một số tính năng hạt nhân quan trọng phổ biến hiện nay bao gồm:

   • yêu cầu ký lái xe (và chứng nhận WHQL)
   • hạn chế truy cập vào bộ nhớ thô
   • Kiểm tra tính toàn vẹn của chế độ hạt nhân
   • bảo vệ từ các bản vá kernel độc hại
   • làm việc ngẫu nhiên không gian địa chỉ và ngăn chặn thực thi dữ liệu (không thể thực hiện DEP mà không có hạn chế bổ sung đối với truy cập bộ nhớ)
   • Quyền thực thi trên tất cả các tài nguyên, bao gồm khóa đăng ký và trình điều khiển thiết bị ( Bảo vệ tài nguyên Windows )
   • Tích hợp TPM
     
     

4. Hầu hết người dùng XP chạy như quản trị hệ thống. Các cuộc tấn công đơn giản như ổ đĩa bằng cách tải xuống có thể tự động:

   • vá các thành phần hạt nhân
   • cài đặt trình điều khiển độc hại và rootkit
   • thao tác, cài đặt và bắt đầu dịch vụ.
   • truy cập các khu vực đăng ký được bảo vệ
   • truy cập bộ nhớ thô để đánh cắp dữ liệu.
   • duyệt thư mục người dùng và các tập tin không có ranh giới.
     
     

5. Nhiều ứng dụng mới hoặc phiên bản mới của ứng dụng cũ sẽ không chạy trên XP. Mặc dù tôi không thích xem xét nó, IE là một trình duyệt được sử dụng rộng rãi và các phiên bản của nó có thể chạy trên XP có độ an toàn khách quan hơn so với các phiên bản hiện đại cho Win7 / 8. MS có thể cung cấp một bản vá cho các lỗ hổng được tìm thấy trong các thư viện SSL của họ, nhưng họ không thể làm cho nó sử dụng ALSR thực nếu hạt nhân bên dưới không thể.

6. UAC (trong khi gây phiền nhiễu và gần như không linh hoạt như sudo) sẽ đưa ra một giới hạn có ý nghĩa đối với các hành động mà kẻ tấn công có thể thực hiện mà không cần sự can thiệp của người dùng.

7. Khai thác không chỉ mất đi. các cuộc tấn công đang diễn ra vào năm 2004 chống lại XP vẫn đang diễn ra, chúng chỉ ảnh hưởng đến ngày càng ít người mỗi ngày khi người tiêu dùng có PC mới. Vẫn sẽ có phần mềm độc hại nhắm mục tiêu XP trong một thời gian rất dài. Có khả năng sẽ không có bản vá bảo mật mới nào có sẵn để vá các lỗ hổng chỉ tồn tại trong XP (đã được giảm nhẹ trong vista +).

Windows XP đã bị một số người coi là "nguy hiểm" vì Microsoft không còn cung cấp các bản cập nhật bảo mật. Một số người nói rằng vì thiếu cập nhật, mọi lỗ hổng mới được tìm thấy trong XP sẽ không được vá, đây có thể là một vấn đề bảo mật lớn vì nhiều cơ sở chăm sóc sức khỏe vẫn sử dụng XP và một số hệ thống Điểm bán hàng (POS) sử dụng XP là cơ sở của họ (chúng tôi không muốn một sự cố Target khác). Tôi cũng sẽ thêm một số lịch sử ở đây: khi Windows XP SP2 hỗ trợ, phần mềm độc hại đã tăng 66% với các máy chạy XP SP2 thay vì SP3 (nguồn - ComputerWorld) .

Ngược lại, một số người tin rằng XP vẫn an toàn. Có một bài viết tuyệt vời trên ComputerWorld nói rằng "Gắn bó với Windows XP có thể là một bước đi thông minh". Tóm lại, một số người dùng tin rằng XP sẽ hoàn toàn an toàn, miễn là bạn sử dụng tường lửa của bên thứ ba tốt và phần mềm chống vi-rút của bên thứ ba tốt ( không nên sử dụng Windows Firewall trên XP nữa vì thiếu cập nhật ). Tôi sẽ thêm một bài viết về "Cách hỗ trợ Windows XP ngay bây giờ mà Microsoft không có"

Tôi sẽ thêm một số liên kết xuống đây để có một số bài đọc hay về "cái chết" của XP (Tôi hiểu rằng các liên kết đó không được khuyến khích, tuy nhiên phản hồi này và nhiều liên kết khác có thể tồn tại mãi mãi nếu tôi cố gắng đưa từng chi tiết nhỏ vào câu trả lời này):

• Rủi ro khi chạy Windows XP sau khi kết thúc hỗ trợ
• Windows XP: Kết thúc là đêm
• Tỷ lệ nhiễm trùng Windows XP có thể tăng 66% sau khi các bản vá kết thúc vào tháng 4
• Cách hỗ trợ Windows XP Bây giờ Microsoft không

Nhiều lỗ hổng được phát hiện trong Windows được áp dụng cho tất cả các hệ điều hành hiện tại, bao gồm XP.

Khi các bản sửa lỗi này không còn được phát hành cho XP, nhưng được phát hành cho các phiên bản Windows khác, kẻ tấn công biết những gì chúng đang làm để xác định XP dễ bị tổn thương như thế nào, bằng cách theo dõi các bản cập nhật được phát hành cho các hệ điều hành qua XP.

Microsoft về cơ bản đang nói với bất cứ ai quan tâm chính xác những gì dễ bị tổn thương trong XP sau ngày XP EOL.

Với mục đích của câu trả lời này, tôi diễn giải câu hỏi là tập trung vào những gì đã thay đổi khi chạy Windows XP vào ngày 7 tháng 4 năm 2014 so với ngày 9 tháng 4 năm 2014. Nói cách khác, tôi sẽ không nói về vô số lợi thế và những bất lợi đó là đúng trong cả hai ngày, nhưng thay vào đó, những gì đã thay đổi cụ thể về bảo mật Windows XP vào ngày 8 tháng 4.

Vì vậy, từ quan điểm đó, thiếu khả năng vá lỗi là vấn đề bảo mật với XP sau ngày 8 tháng 4 và đây là một vấn đề lớn. Không, chạy phần mềm chống vi-rút "tốt" và tường lửa của bên thứ ba sẽ không bù đắp được. Không phải bằng một cú sút xa.

Bảo mật là một vấn đề nhiều mặt. "Bảo mật" liên quan đến việc sử dụng các kênh liên lạc được mã hóa (https), chạy phần mềm giám sát / phát hiện hoạt động (chống vi-rút / phần mềm độc hại), chỉ tải xuống phần mềm từ các nguồn đáng tin cậy, xác thực chữ ký trên các ứng dụng đã tải xuống, tránh phần mềm yếu và cập nhật / vá lỗi kịp thời, nhanh chóng.

Tất cả các thực tiễn và sản phẩm được thực hiện cùng nhau có thể được gọi là vệ sinh bảo mật và, trong trường hợp Windows XP, bạn có thể tiếp tục thực hành tất cả những điều này ngoại trừ một: vá lỗi , nhưng nó sẽ không giúp ích.

Tại sao vá vấn đề

Trong đó có vấn đề đầu tiên và quan trọng nhất. Vá mạnh mẽ là thực hành hiệu quả nhất tuyệt đối của tất cả, và đây là lý do:

• Chống vi-rút thất bại ở mức báo động, 40% theo nghiên cứu này . Nhiều người khác rất nhiều. Phát hiện vẫn chủ yếu dựa trên chữ ký cố định. Phối lại các khai thác cũ để trốn tránh phát hiện là chuyện nhỏ.
• Tường lửa không ngăn chặn những gì người dùng cho vào. PDF, Flash và Java: Các loại tệp nguy hiểm nhất đều được mời ngay qua tường lửa. Trừ khi tường lửa chặn Internet , nó sẽ không giúp ích gì.

Chạy chương trình chống vi-rút và tường lửa mới nhất không làm được gì nhiều. Điều đó không có nghĩa là chúng không hiệu quả khi kết hợp với tất cả các vệ sinh trên và chống vi-rút cuối cùng sẽ phát hiện ra một số khai thác khi có tuổi, nhưng ngay cả khi đóng gói lại tầm thường sẽ trốn tránh phát hiện và các khai thác cơ bản vẫn hoạt động. Vá là nền tảng của một phòng thủ tốt . Không vá, mọi thứ khác chỉ là nước thịt. Phần lớn phần mềm độc hại phụ thuộc vào phần mềm chưa được vá để thành công:

Cách thức khai thác trên mạng phổ biến nhất có thể được ngăn chặn (2011):

Một trong những điều đáng lo ngại hơn, mặc dù không đáng ngạc nhiên, là 15 lỗ hổng hàng đầu bị khai thác bởi các cuộc tấn công quan sát đều nổi tiếng và có sẵn các bản vá, một số trong số đó trong nhiều năm. Lỗ hổng Thực thi Tập lệnh Hoạt động của Thành phần Web Office, số 2 trong danh sách thành công, đã được vá từ năm 2002 . Lỗ hổng hàng đầu, trong Internet Explorer RDS ActiveX của Microsoft, đã được vá từ năm 2006 .

Phân tích thú vị về vá và tấn công :

Trong phân tích bổ sung này, khai thác 0 ngày chiếm khoảng 0,12% của tất cả các hoạt động khai thác trong 1H11 , đạt mức cao nhất 0,37% trong tháng Sáu.

Trong số các cuộc tấn công được cho là do khai thác trong dữ liệu MSRT 1H11, chưa đến một nửa trong số đó là các lỗ hổng nhắm mục tiêu được tiết lộ trong năm trước và không có lỗ hổng nào được nhắm mục tiêu là 0 ngày trong nửa đầu năm 2011 .

Nói cách khác, phần lớn các khai thác thành công chỉ có thể bởi vì mọi người đã không áp dụng các bản vá khi chúng trở nên có sẵn. Ngay cả bây giờ, phần lớn các khai thác Java thành công là chống lại các lỗ hổng đã được vá, người dùng không cập nhật . Tôi có thể đăng thêm hàng tá bài báo và bài báo nghiên cứu, nhưng vấn đề là, khi lỗ hổng được biết đến và các bản vá không được áp dụng, đó là nơi mà thiệt hại ngày càng đến từ đó. Phần mềm độc hại, giống như bất kỳ phần mềm nào, phát triển và lan rộng theo thời gian. Các bản vá được tiêm chống lại phần mềm độc hại cũ, nhưng nếu các bản vá không bao giờ xuất hiện, môi trường ngày càng trở nên độc hại và không có cách chữa trị nào.

Không có bản vá, các lỗ hổng zero-day không bao giờ bị đóng, chúng thực sự là "zero-day" mãi mãi. Khi mỗi lỗ hổng mới được tìm thấy, các tác giả phần mềm độc hại có thể quay các biến thể nhỏ mới để tránh phát hiện chữ ký và HĐH sẽ luôn dễ bị tổn thương. Vì vậy, Windows XP sẽ ngày càng kém an toàn hơn theo thời gian. Trong thực tế, nó sẽ trông rất giống với những gì chúng ta thấy trong báo cáo GCN ở trên trong số 40% người dùng XP năm 2011 thậm chí đã không cài đặt các bản vá từ năm 2002 (vì vậy, sau ngày 8 tháng 4, theo định nghĩa sẽ là 100% ). Giải quyết vấn đề sẽ là việc các tác giả phần mềm độc hại đã tập trung vào XP một lần nữa, biết rằng bất cứ điều gì họ tìm thấy sẽ vẫn có giá trị và có thể khai thác lâu dài.

Trong thời đại luôn luôn / thường xuyên, các thiết bị luôn được kết nối, vá lỗi tích cực và thường xuyên là yêu cầu cơ bản của bất kỳ HĐH nào.

Điều nguy hiểm là với các ứng dụng tồn tại trong Windows XP, chẳng hạn như Internet Explorer. Trong XP, phần mềm này sẽ không còn nhận được các bản vá, do đó, các khai thác mới phát triển và được sửa trong Vista và Windows 7, khai thác tương tự sẽ vẫn thuộc XP.

Một khai thác cung cấp bằng chứng virus khai thác bằng chứng WM WMF, cho phép tin tặc chạy mã trên một máy chưa được vá. Khai thác này được phát hiện vào năm 2006 nhưng đã tồn tại vì mã đã được di chuyển từ thời Windows 3.0 và ảnh hưởng đến tất cả các phiên bản Windows từ Windows cho đến Windows Server 2003. Microsoft đã phát hành một bản vá để sửa lỗi Windows 2000, Windows XP và Server 2003, nhưng không vá Windows NT. Microsoft sử dụng lại mã từ các phiên bản cũ của HĐH. Điều đó không có nghĩa là tất cả các lỗi đã được sửa chữa và khai thác được vá.

Đặt vấn đề bảo mật sang một bên và không khắc phục việc khai thác liên tục, người ta có thể nhìn vào sự sẵn có của phần mềm trong tương lai. Ứng dụng mới hơn có thể không chạy trên máy XP do không thể cài đặt các khung .NET mới hơn hoặc các yêu cầu khác không tồn tại trong XP. Như tôi đã thấy với Windows 9X, hầu hết các công ty phần mềm có xu hướng hỗ trợ để đảm bảo rằng sản phẩm của họ sẽ hoạt động theo các hệ điều hành đó. Norton Antivirus là một trong những sản phẩm được nhắc đến, vì việc cài đặt cho sản phẩm này dựa trên Internet Explorer để cài đặt.

Đối với các biện pháp đối phó để bảo vệ hệ thống, với tôi, tôi chỉ cho người ta ảo tưởng về một hệ thống được bảo vệ, vì có nhiều thứ cho Windows. Bạn sẽ phải mất vô số thời gian để theo dõi những gì được vá / và những gì vẫn còn là một rủi ro bảo mật. Chỉ có biện pháp truy cập là thay thế Windows XP bằng HĐH mà Microsoft sẽ tiếp tục Patch. Tất cả tập trung vào những gì bạn sẽ sử dụng PC cho ai, ai đang sử dụng nó (Những người dùng máy tính khác hoặc chỉ cho chính bạn) và những gì nó được đính kèm. Đối với mạng gia đình của tôi, tôi đã ngừng sử dụng XP từ lâu, bỏ qua Vista và các vấn đề của nó, và chạy cả Ubuntu và Windows 7. Tôi đã thử nghiệm Windows 8 nhưng không thích cách nó hoạt động trên mạng của tôi. Hệ điều hành là tổng của tất cả các bộ phận của nó, có nhiều hơn nữa nó chỉ là một tường lửa chưa được vá hoặc cài đặt một trình chống vi-rút mới để thử bảo vệ nó.