Alt du bør vite om sikkerhet i Vista

Microsoft har fått mye og fortjent pepper både for sikkerhetsinnstilling og implementering av IT-sikkerhet i sine produkter. I neste generasjon Windows tar de kritikken på alvor og legger inn en massiv sikkerhetssatsing.

Det pågår nå en egen debatt om sikkerhetssatsingen i Vista er blitt for massiv. Den sikreste (!) konklusjonen vi kan dra så langt er at selv Microsoft kan kritiseres for å være for sikkerhetsbevisst...

En inndeling i strategitenkningen har vært at kontroll og sikring av både operativsystemmiljø, innhold og data skal bli bedre. Forgjengeren Windows XP er fortsatt den mest bunnsolide stabile versjonen av Windows vi noensinne har kjørt.

Hemmeligheten er selvsagt å ha god maskinvare og unngå råtne drivere og programvare – samt antivirurs, antispionprogramvare, brannmur og å kjøre jevnlige oppdateringer.

En viktig strategiendring kom da Microsoft introduserte prinsippet om «Trustworthy Computing» (TwC), som markerte startskuddet for satsingen Microsoft har hatt med å fikse opp et råttent rykte innen IT-sikkerhet.

Prosessendringen vises i «Security Development Lifecycle (SDL)», som på den ene siden er sikkerhet inn i alle elementer av design og utvikling, den andre siden er en streng testing under ferdigstillingsperioden før produkter får lanseres (for den som kjenner ITIL-metodikk er det snakk en streng «Release process»), hvor produkt og funksjoner blir testet av bl.a. sikkerhetseksperter for sikkerhetssvakheter og hull.

Det første produktet designet etter dette var tjener-OSet Server 2003, som i utgangspunktet skulle komme sammen med klient-OSet Windows XP. Men sikkerhetskravene er sagt å være en av grunnene til at produktet kom 18 måneder senere. Senere skal alle produkter fra Microsoft gå gjennom SDL-prosessen.

Aldri feilfritt

Så hvorfor er det likevel stadig varsler og kriser rundt Microsoft og sikkerhet? Svaret er sammensatt, noe skyldes at det er mennesker som gjør utvikling her, og det er menneskelig å feile. Ingen programvare er uten feil, svakheter og hull i utgangspunktet – men gode rutiner for å avdekke og oppdatere skal fikse dette.

Nå er oppdateringer ikke noe som interesserer vanlige brukere så altfor mye, og mange millioner bruker eldre programvare. Mye av dette er sjelden eller aldri blitt oppdatert. Derfor lykkes angrep. Og den som har levert det hele, også det gamle skrapet, får helt fortjent pepperen.

Mange av dem som driver og utvikler virus og lignende nye trusler, vil alltid rette aktivitetene mot det miljøet som er størst, og spesielt hjemmebrukere som vil ha ting gjort uten å være dataekspert.

Motivasjonen til virusutviklerne er på den ene siden å bli kjent i de miljøene hvor sånt gir omtale og respekt. Den skumlere siden av det er utviklere med økonomisk vinning som hensikt. Denne type digital mafiavirksomhet gir seg utslag i fenomener som botnet, nettfiske (phishing), og andre bedrageriformer.

I denne artikkelen skal vi se på noen hovedpunkter for ny sikkerhet som vil komme i en eller annen form i Vista. Noen vil få endret funksjonalitet, eller ha andre navn. Ikke alle er relevante for alle Vista-brukere, fordi folk ikke bruker PCer likt. Og som alltid i sikkerhetsarbeid, sikkerhet er en vei vi går, ikke et sted vi når.

Veivalgene som tas, er ut fra risikovurderingene som passer hva IT-verktøyet skal brukes til. Basis har vært artikler og informasjon fra Microsoft og IDGs nyhetstjeneste, som PC World Norge er tilknyttet. Vi har også den helt nyeste sikkerhetsinformasjonen fra et teknisk seminar hos Microsoft i starten av juni.

De viktigste sikkerhetsfunksjonene

Vær oppmerksom på at ordene og begrepene vi har oversatt til norsk, kan endres etter hvert som produktet og kjennskapen vår til det utvikles. Vi setter derfor de engelske uttrykkene i parentes slik at det skal være enkelt å finne igjen senere.

Vær spesielt oppmerksom på disse uttrykkene:

- Brukerkontokontroll og standardprivilegier (User Account Control)

- Godkjenning og rettigheter (Consent and Credentials)

- Kodeintegritet (Code Integrity)

- Kryptering av data (Data Encryption)

- Programisolering (Application Isolation)

- Data-omdirigering (Data Redirection)

- Kryptografi (Cryptography)

- Innloggingsinformasjon (Credential Providers)

- Tjenesteherding (Service Hardening)

- Antispionverktøy (Windows Defender)

- Rettighetskontroll (Rights Management Services)

- Toveis personlig brannmur

En av de store svakhetene i Windows er elsket av brukerne og inderlig kritisert av sikkerhetsfolk: For det som oppfattes som normal bruk av Windows, krever fulle rettigheter, såkalt administratorprivilegier.

Ulempen er at dette også gir fri tilgang til kjernefunksjoner i Windows, som utnyttes av virusskribenter, spionprogramvarevare-distributører og dets like. Grunnen er at dersom en administrator tillater noe å installeres og kjøres, gir det full kontroll av PCen over hele linjen.

Ifølge analyseselskapet Gartner kjører fire av fem hjemmebrukere med administratorprivilegier i PCen, og sytti prosent av bedriftsbrukerne. Grunnen er selvsagt at om en bruker kjører med lavere privilegier, såkalt bruker- eller superbrukerprivilegier, så er det mye funksjonalitet som kort og godt forsvinner. Og mye dårlig programmeringspraksis har ført til at høyrisikoprogrammer som dataspill har måttet bli kjørt som administratorprogramvare.

Får mer ansvar

Windows Vista løser dette ved å kjøre mer ordinær funksjonalitet på vanlig brukernivå, og lære utviklerne av programvare fra å kreve administratorprivilegier for alt mulig tøys.

I tillegg lager de et snedig system som også verner kjernen mot slepphendte administratorer: Selv med administratorkonto vil programmer som går inn i kjernen av OS kreve ekstra-autentisering. Slik skal også administratorer ansvarliggjøres. Dette er selvsagt for å varsle administrator om mistenkelig aktivitet, men reduserer også poenget i å bruke administratorkontoen for å unngå mas om privilegier.

I tillegg blir det enklere å kjøre vanlig brukermodus og aktivere administratormodus uten å måtte skifte bruker eller gå i kommandolinjemodus.

I de første betaene lå det an til at denne funksjonaliteten la opp til det rene skjære autentiseringskaoset, med pop-up-bilder overalt.

Tilbakemeldinger og en litt mer edruelig holdning har fått ordnet dette slik at det som er kritisk er sortert fra det som ikke er det, og da roer det seg noe ned i fra beta 2. Men det vil innebære en stor endring for hvordan man opplever Windows, og antagelig også kreve en del opplæring i hvorfor visse typer brukeratferd nå innebærer en sikkerhetstrussel.

En like stor endring vil ligge hos de som skal utvikle programvare og applikasjoner til denne plattformen, som må legge opp et regime som ikke innebærer at deres programvare må godkjennes før kjøring hele tiden.

Det er lagt stor vekt på at det ikke skal være mulig å utføre programkode inn mot kjernen i operativsystemet. Slik kode innebærer både ulik type datavirus og/eller spionprogramvare, eller drivere for maskinvare som ikke er verifisert.

Når slik kode, uansett gode intensjoner, får kjernetilgang, har vi en typisk årsak til at Windows blir ustabil. Ny funksjonalitet innebærer at OS-kjernen, mellomlaget/driversettene mot maskinvaren (HAL – Hardware Abstraction Layer) og oppstartsdriverne sjekkes for at ingenting er endret før Windows startes.

Om dette er godkjent, vil en egen CI (Code Integrity)-funksjon sjekke alt som lastes inn mot OS-kjernen mot en standardliste for å sjekke at de ikke er endret. Samme CI er også sikkerhetsvakt for prosesser som kjøres i spesielle vernete prosesser eller innebærer kryptering.

En artig teknikk Vista tar i bruk, er «Address Space Layout Randomization –ASLR» som teknikk for å redusere angrepsflaten for crackere, spesielt de som vil utnytte sårbart arbeidsminne («buffer overrun») til angrep.

ASLR supplerer andre sikkerhetsgrep ved å endre Vista-utseendet for angripere, noe som gjør automatiserte angrep mindre sannsynlig. Det som skjer, er at når systemet starter og kjørende kode lastes inn i arbeidsminnet, så sørger ASLR for at dette ikke plasseres i samme minneområde fra gang til gang. Slik må en angriper prøve alle lokasjoner for hver eneste prosess eller kode hun vil ha tak i, noe som er tidkrevende og vanskeligere.

Utfordringen her vil være at Windows relativt åpne linje for å slippe til programkode fra allehånde maskinvaredrivere og annen programvare ikke føres videre uten problemer. For leverandører som ikke vil legge seg inn under sertifisering innebærer dette at deres programkode ikke vil kunne kjøre med samme funksjonalitet som før, eller at de forsvinner. Og en del som oppdaterer gammel PC vil kunne se på problemer med driverne til maskinvaren fra «Fræna Frukt, Betong og Data»...

Det er ikke bare i brukerprivilegier hvor vi vil se at Vista legger opp til at normaltilstanden er tilstrekkelig, ikke fulle, rettigheter. Også i programkjøring gjelder denne inndelingen. En funksjon som Mandatory Integrity Control (MIC) gir Vista kontroll over nivå og integrasjon med andre programmer, applikasjoner og prosesser som foregår.

MIC inndeler all programvare og applikasjoner i ulike integritetsnivåer, som avgjør i hvilken grad de får innvirke i andre prosesser.

Et eksempel på hvordan dette fungerer, er at Internett-utforskeren IE 7 som følger med Vista, kun får kjøre med laveste integritetsnivå – den anses som en høyrisikoapplikasjon og bør isoleres mest mulig fra andre funksjoner.

Dette skjer så til de grader at det ikke lenger er mulig for IE å endre slikt som brukerdata, og dermed vil dette effektivt hindre mange av de virus som før har utnyttet svake brukerprivilegier og mangel på applikasjonsisolering.

Integrasjonsnivåene for de ulike applikasjonene kan endres av administrator, det viktige er at det å ta stilling til integritetsnivået blir obligatorisk. For den vanlige brukeren vil det si at standardinnstillingene for en stor del blir optimale fra grunninstalleringen. En interessant sideeffekt av dette er at nivået arves av alle avledete filer.

I tilfellet IE i standardversjon innebærer det at programvare som f.eks. lastes ned fra Web får samme nivå som IE7 selv, altså lav. Så alle automatiske nedlastinger og installasjoner blir dermed sikrere, fordi selv om det er installert, kan de ikke gjør skade før de aktivt godkjennes.

Datakryptering er blitt viktigere etter hvert som mobil databehandling og –jobbing brer om seg. Tall som 600.000 tapte bærbare PCer i USA årlig, og rundt 1 200 gjenglemte PCer i Oslo-taxiene i 2004 alene viser at dette er reelle trusler. Det er fryktelig mye informasjon, og noe av det er sannsynligvis både konfidensielt og kritisk.

Vern av data gjennom kryptering gjør at tap av PCer ikke spiller noen rolle, fordi selv om man kan få tak i harddisken, inneholder den ingenting som kan leses. Og maskinvare er som regel billig og erstattbart i forhold til verdien av informasjonen, og man har selvsagt sikkerhetskopi.

Vista gjør den innebygde krypteringsfunksjonen EFS Encrypting File System litt bedre med å knytte den til en bedre brukerkontomodell. Denne krypteringen tar imidlertid kryptering på fil- og katalognivå, og egner seg best for stasjonære løsninger.

I tillegg kommer heldiskkrypteringen BitLocker, som er diskkryptering av hele den fysiske harddisken. BitLocker er en såkalt blokkbasert kryptering, som innebærer at krypteringen krypterer hele blokker på harddisken, og ikke er avhengig av hvilke filer som ligge der, og dermed gjør det enda vanskeligere å knekke innholdet for uvedkommende.

Krypteringen er på plass før harddisk og OSet starter, og riktig passord må leveres. Begge typer krypteringsautentisering kan knyttes til smartkort, vanlig PIN-kode eller sammen med en TP-Modul (TPM – Trusted Platform Module, en sikkerhetschip som monteres i hovedkortet for å yte forskjellige sikkerhetsfunksjoner i maskninvare).

Vista endrer innloggingsmetoden som har vært brukt i noen versjoner, og erstatter denne med en mer fleksibel metode for å gi innloggingsinformasjon. Eventuelt gis det nå mulighet for flere typer innlogging i samme miljø. Standardinnloggingen vil imidlertid være satt opp sikkert.

Endringen begrunnes i at dersom det blir enklere å lage sikre innlogginger, vil det innebære bedre og mer tilpassete løsninger bygd til den sikkerheten sluttkunden ønsker. I dette ligger at man kan rulle ut flernivåa autentisering i en innloggingsprofil, og samtidig ha en lettere autentisering i en annen. Dette gir mulighet til å elevere innlogging avhengig av hvor kritisk systemene man skal ha tilgang til er.

Et grep som gjøres, bl.a. for å komme rundt mulige problemer med nye brukeprivilegier, er å endre systemreferanser til filer i sterkt vernete områder til filer i områder med ordinære privilegier. Denne omdirigeringen bruker en type variabelsetting i programmer og virtualisering som er kjent for systemadministratorer og de som liker å lage små skript som gjør enkelte jobber enkelt.

I korthet innebærer det at man kan kompensere for at eldre applikasjoner ikke lenger bør kjøres med fulle rettigheter med å omdirigere kall fra vernete systemkataloger til kataloger med ordinære brukerprivilegier. Her puttes også de aktuelle filene og funksjonene fra systemkatalogen. Her er rettighetene tilpasset brukeren av applikasjonen, og dermed bør alt normalt fungere. Funksjonen er delvis automatisk, og Vista forutsetter at nyere programvare ikke vil trenge dette i samme grad.

Den andre siden av kryptering er støtten for å gjøre det enkelt å bruke kryptering til å sikre systemhandlinger (EFS og BitLocker er primært rettet inn mot brukerdatavern og systemsikring). For utviklere er det derfor utviklet en ny versjon av programmeringsgrensesnittet Crypto API til Crypto NextGen (CNG).

CNG gir mulighet for å bruke krypteringsteknologier overalt det trengs den ekstrasikkerheten som ligger i kryptering. Dette inkluderer både nye og standardiserte krypteringsalgoritmer. MS introduserer også bruk av ECC-kryptografiteknikker (Elliptic Curve Cryptography). Utviklere får også standardverktøy for å bruke kryptografiske teknikker i alle typer smartkort.

Windows er basert på ulike tjenester, engelsk «Services» som kjører på toppen av OS-kjernen og som gir grunnlaget for at programvare og applikasjoner kan fungere på tvers av brukerprivilegier og kontoer. En service har kontroll og påvirkning på alle typer ressurser i systemet, og kan påvirke eller være basis for andre tjenester. Services er en sentral komponent i hvordan Windows virker, og har vært mål for finjusteringer i systemet, kontroll og angrep hele tiden. Krysstøtten de skal gi, åpner selvsagt for at den som kontrollerer en tjeneste kan gjøre temmelig mye gærent.

I Vista legges det opp til at slike tjenester ikke skal ha alle rettigheter i basis, men mer etter behov. Standard er det bare basisprivilegier som gis. Dette innebærer at rettigheter som endres eller kreves av tjenesten vil måtte autentiseres og godkjennes. Flere mekanismer legges inn for at dette skal skje så sikkert som mulig, bl.a. muligheten for sikre identifikatorer (SIDs) og godkjente tilgang- og privilegielister (ACLer).

En ny sikkerhetsfunksjon som nå legges inn i OSet, er RMS – Rights Management Service. Dette er et system for å verne digitalt innhold, og har i mediaindustrien vært en populær skyteskive. Imidlertid hevder Microsoft, med rette, at rettighetskontroll innebærer at selv i Internett si tid må opphavskvinner og –menn kunne beskytte sine åndsverk.

Enda viktigere, og mer sentralt, er selvsagt at tjenesten gjør det mulig å verne integriteten i et dokument. Endringer, om de er gjort med vilje eller ei, blir tydeligere. Sporbarhet og revisjonskontroll er andre elementer, og målsettingen er å legge enda mer til rette for digitale samarbeidsløsninger og dokumentdeling.

RMS-vern kan i utgangspunktet bli lagt på alle filer som produseres i et Vista-system, og muligheter for å sette dette i selve egenskapene til de filformatene for Word.

Antispionprogramvaren Windows Defender

Antispionprogramvare har blitt et viktig element i sikkerhet etter hvert som problemet økte med programvare som mer eller mindre med hensikt er skrevet for å snike rundt i brukerdata, samle opp informasjon og sende det til eksterne parter eller simpelthen brukes for å fjernkontrollere en PC. Grunnen er sikkerhetsmessig ikke bare trusler om fjernkontroll og mot datavern, men også systemstabilitet og kontroll.

Windows Defender blir en integrert del av Vista, etter å ha vært en gratis betanedlasting en god stund. Microsoft hevder at de har skrevet hele programmet på nytt, men det skal være gjenkjennelig for brukere flest. Støtte både for manuelle og automatiserte skann er til stede, samt nedlastinger av nye trusselsignaturer. Programmet skal også verne typiske angrepssteder, filer og tjenestene i PCen.

Windows har hatt en enkel brannmur integrert som standard i Windows XP, og den har som standard vært skrudd på i Service Pack 2, den første service pack for Windows XP som var godkjent etter SDL-prosedyren. Dette har vært en brannmur med kun nødtørftig funksjonalitet for vern av inngående trafikk, mens utgående trafikk stort sett har fått strømme fritt.

Dette er bra nok for hjemmebrukeren med en skikkelig brannmur i bredbåndsruteren, men ikke bra nok for mobilbruk. Ny personlig brannmur vil inneholde en type toveis kontroll kjent fra ordinære personlige brannmurer, og vil heve standardgulvet kraftig. Om det vil holde for mobilbrukerne, gjenstår imidlertid å se.