dodany: 15.02.2013 | tagi: , , ,

Autor:

W Windows 8 postawiono na bezpieczeństwo – wywiad z Danielem Grabskim

2
Wywiad

Mieliście już okazję pracować na najnowszym Windowsie? Jego wygląd w takim stopniu budzi emocje, że chyba nie ma osoby, która nie miałaby zdania na temat nowej szaty graficznej. Swoim interfejsem ósemka może kusić użytkowników spragnionych tchnienia nowoczesności – ale równie dobrze odpychać designowych konserwatystów. Pytanie o słuszność (bądź jej brak) nowego wyglądu pozostawiamy w eterze… tymczasem jednego nie można odmówić najnowszemu systemowi Windows – podczas jego projektowania położono szczególny nacisk na ochronę użytkownika.

daniel_grabski_1459 (1)O nowościach pod kątem bezpieczeństwa w najnowszym Windowsie rozmawiamy z Danielem Grabskim. Nasz rozmówca piastuje stanowisko Chief Security Advisor w Microsoft Sp. z o.o. Jest odpowiedzialny za zarządzanie inicjatywami i programami w obszarze cyberbezpieczeństwa dedykowanymi dla sektora rządowego w Polsce. Od 12 lat związany z branżą IT między innymi w takich firmach jak SAP, Geac i Cap Gemini, gdzie odpowiadał za rozwój biznesu oraz sprawował funkcję szefa Sektora Publicznego. Absolwent MBA Wyższej Szkoły Zarządzania w Warszawie i Thames Valley University z Londynu oraz M.S.P.C. Społecznej Wyższej Szkoły Przedsiębiorczości i Zarządzania/Clark University z Bostonu.

 

Red.:Jak wyjaśniłby Pan nietechnicznemu użytkownikowi, dlaczego Win 8 jest bezpieczniejszy od Win 7? Dlaczego warto zdecydować się na ten system (pod kątem bezpieczeństwa)?

Daniel Grabski: Nie chciałbym dokonywać porównywania, ale raczej uwypuklić te funkcjonalności, które stanowią dość istotną zmianę w zakresie zwiększania bezpieczeństwa w Windows 8.  System Windows 8 powstawał na bazie wieloletnich doświadczeń firmy Microsoft i użytkowników naszego systemu operacyjnego, został uzupełniony o nowe funkcjonalności wychodzące proaktywnie naprzeciw obecnym cyberzagrożeniom. Tak jak przez ostatnich 10 lat przy budowie systemu operacyjnego czy też jakiegokolwiek produktu Microsoft, Windows 8 powstał z zastosowaniem metodyki bezpiecznego budowania oprogramowania tzw. SDL – Security Development Lifecycle. Tych nowości jest dużo, ale warto zwrócić uwagę chociażby na kilka z nich.

Pierwsza, to wbudowany i zintegrowany z systemem Windows 8 program antywirusowy Windows Defender, co w praktyce oznacza, że użytkownik nie musi dokonywać zakupu dodatkowego programu antywirusowego, otrzymuje go po prostu w cenie systemu.

Kolejna bardzo istotna zmiana, to UEFI (z ang. Unified Extensible Firmware Interface) z funkcją Secure Boot, która powoduje, w pewnym uproszczeniu – nie wchodząc w szczegóły tego procesu, że podczas uruchamiania systemu aktywują się tylko narzędzia zatwierdzone (podpisane) przez Microsoft, co w praktyce w bardzo dużym stopniu zmniejsza ryzyko przedostania się złośliwego oprogramowania (tzw. rootkitów) w trakcie ładowania systemu.

Warto wspomnieć również o funkcji SmartScreen, która do tej pory obejmowała tylko przeglądarkę Internet Explorer, a w Windows 8 została przeniesiona do całego systemu i zapewnia kompleksową ochronę przed ściąganiem i instalowaniem podejrzanych programów i aplikacji z sieci, za którymi może stać szkodliwe oprogramowanie.  Nie zapomniano także o najmłodszych użytkownikach systemu i mechanizmach ochrony – przyjazna i rozbudowana funkcja tzw. Ochrony Rodzicielskiej, umożliwia, bardziej elastyczne zarządzanie konfiguracją systemu dostosowaną do indywidualnych potrzeb naszych najbliższych.

System Windows 8 został zbudowany w celu zapewnienia maksymalnego poziomu bezpieczeństwa i oprócz nowego interfejsu jest to moim zdaniem obszar, gdzie wprowadzono najwięcej zmian i innowacyjnych rozwiązań. Większość usprawnień i nowych mechanizmów w obszarze bezpieczeństwa w Windows 8 jest niewidoczna dla użytkownika, który skupia się na funkcjach użytkowych, takich jak nowy interfejs czy też Sklep Windows z tysiącami bezpiecznych aplikacji.

Wbudowanie filtru SmartScreen do całego systemu (a nie jak do tej pory działającego z poziomu IE) to dobry pomysł? Była to potrzebna zmiana?

Tak, uważam, że wbudowanie SmartScreen do Windows 8 to bardzo dobry krok w kierunku utrudnienia naruszenia bezpieczeństwa systemu. Filtr ten chroni przed ściąganiem i instalowaniem aplikacji z niepewnych źródeł, zagrożonych posiadaniem złośliwego oprogramowania. Ta ochrona i ewaluacja odbywa się w czasie rzeczywistym, co z perspektywy bezpieczeństwa ma bardzo duże znaczenie, ponieważ spora ilość nieuprawnionych ingerencji w nasze systemy odbywa się właśnie tą drogą – wprowadzenie mechanizmu zarządzającego tą sferą jest bezdyskusyjne. Z drugiej strony, integracja SmartScreen z całym systemem dodatkowo wzmacnia i rozszerzy jego zakres działania, co czyni go bardziej odpornym na potencjalne ataki. Oczywiście, zawsze mogą znaleźć się sceptycy negujący tego typu strategię i pomysł służący tylko i wyłącznie maksymalnej ochronie użytkownika.

Filtr SmartScreen wysyła do Microsoftu dane o instalatorze każdej aplikacji. Jeśli użytkownikowi się to nie podoba, może wyłączyć filtr. Czy wtedy nadal jego przeglądarka będzie chroniona? Dlaczego nie można wyłączyć samej opcji „przesyłania statystyk”?

Działanie filtru SmartScreen jest bezużyteczne, jeżeli nie można przekazać do bazy informacji na podstawie, której system dokonuje oceny i weryfikacji źródła aplikacji, którą zamierzamy ściągnąć i zainstalować. Jeżeli wyłączymy SmartScreen przeglądarka będzie chroniona przez inne mechanizmy bezpieczeństwa – np. Windows Defender, jednakże nie będzie to tak kompleksowa ochrona, jak z włączonym filtrem.

W Internecie można poczytać, że pomimo wbudowanego w Windows 8 Defendera, użytkownicy instalują dodatkowe oprogramowanie AV. To słuszna ostrożność?

Nie chcę komentować czy to słuszna ostrożność, czy też nie. Warto moim zdaniem podkreślić fakt, że Windows 8 posiada wbudowany i zintegrowany program antywirusowy – Windows Defender. Oczywiście od decyzji użytkownika końcowego zależy, czy skorzysta z gotowego już rozwiązania, które jest dostępne w systemie, czy też skłoni się do podjęcia decyzji o wyborze i zakupie dodatkowego oprogramowania antywirusowego firmy trzeciej.

Czy może pan wyjaśnić, w jaki sposób wsparcie BIOS-u przez system UEFI ma ograniczać możliwość uruchamiania np. rootkitów czy wirusów umieszczonych w sektorach startowych?

Aby przygotować system operacyjny odporny na coraz bardziej ukierunkowane ataki w najnowszym systemie operacyjnym Microsoft Windows 8 bardzo duży nacisk został położony na sferę bezpieczeństwa, tutaj znajduje się szereg nowatorskich zmian, o których warto pamiętać i pokrótce opowiedzieć. UEFI (Unified Extensible Firmware Interface) – następca BIOS-u jest jedną z kluczowych zmian. System ten zwiększa bezpieczeństwo i ochronę poprzez uniemożliwienie uruchomienia się oprogramowania typu rootkit podczas procesu poprzedzającego uruchamiania systemu operacyjnego (tzw. rozruch systemu).  UEFI wpływa również na szybsze uruchamianie się samego systemu operacyjnego oraz wznawianie jego pracy z trybu hibernacji. Kolejna funkcja to Trusted Boot, która powoduje, że narzędzia do ochrony przed złośliwym oprogramowaniem są ładowane przed sterownikami innych firm i aplikacjami. Jeśli złośliwe oprogramowanie zdoła naruszyć coś w czasie rozruchu, system będzie mógł przeprowadzić autonaprawę podczas następnego procesu rozruchowego. Jest to funkcjonalność, której „nie widzi” użytkownik, jednakże  jest ona kluczowa z punktu widzenia zachowania bezpieczeństwa komputera użytkownika pracującego pod Windows 8.

Wprowadzenie UEFI nie niesie ryzyka opanowania go przez nowe, nieznane/niezbadane wirusy?

Uruchamianie systemu operacyjnego – tzw. rozruch – to jeden z newralgicznych momentów, jeśli chodzi o zapewnienie bezpieczeństwa systemowi operacyjnemu, który do tej pory był wykorzystywany przez cyber przestepców. Trudno jest przewidzieć, co przyniesie przyszłość, ale z pewnością znajdą się tacy, którzy będą intensywnie pracowali nad znalezieniem sposobów i mechanizmów przedarcia się przez następcę BIOS-u.

Early Lunch Anti-Malware (w skr. ELAM) ma zapewnić pobranie pierwszego sterownika windowsowskiego oprogramowania od konkretnego dostawcy. Jak to działa?

Zgadza się – wbudowana funkcja Early Launch Anti-Malware (w skr. ELAM) odpowiada za to, żeby pierwszy sterownik oprogramowania pobrany przez Windows 8 pochodził od wybranego dostawcy zabezpieczeń – warto podkreślić, że dotyczy to sterownika każdej aplikacji antywirusowej, która uzyska odpowiedni certyfikat Microsoftu. Jak to działa? Jak wiemy Windows 8 to system, który zawiera zintegrowany w sobie program antywirusowy – Windows Defender. Oczywiście użytkownik ma prawo zainstalować sobie własny program antywirusowy, co powoduje automatyczne wyłączenie Windows Defendera. W systemie Windows 8 narzędzia zabezpieczające uruchamiają się wcześniej, jeszcze w procesie rozruchowym, aby skanować systemowe sterowniki w poszukiwaniu złośliwego oprogramowania szczególnie rootkitów, które uruchamiają się zwykle przed startem antywirusa i mogą się przed nim ukryć. Przy założeniu, że posiadamy Windows Defender sprawa jest prosta, natomiast przy założeniu, że posiadamy program zabezpieczający firmy trzeciej, musi ona uzyskać odpowiedni certyfikatu od Microsoft, aby funkcjonalność ELAM mogła zostać dodana to danego oprogramowania. Warto na to zwrócić uwagę przy podejmowaniu decyzjo o zakupie systemu antywirusowego firm trzecich.

A co zrobiono dla zwiększenia bezpieczeństwa uwierzytelnienia użytkowników? Czy użytkownikowi, który nie interesuje się za bardzo technicznymi aspektami zabezpieczeń można powiedzieć, że teraz jest bezpieczniejszy?

Wspomnę tutaj o dwóch funkcjonalnościach – z podtekstu pytania wnioskuję, że pytają Państwo między innymi o nowy sposób uwierzytelniania w Windows 8 za pomocą hasła obrazkowego i PIN-u.  Logowanie za pomocą hasła obrazkowego to bardzo duża zmiana, przyjazna, powiedziałbym bliska dla użytkownika końcowego, a z drugiej strony bardzo bezpieczna. Po wyborze zdjęcia, którego chcemy użyć, rysujemy na nim kształty, które będą stanowiły nasze hasło – w zależności od posiadanego sprzętu rysujemy je palcem bezpośrednio na ekranie lub przy pomocy myszy.

Kolejny obszar, o którym chciałbym wspomnieć, to Direct Access (pojawił się już w Windows 7), czyli technologia, która pozwala na zdalny, a co najważniejsze bezpieczny dostęp do wewnętrznych zasobów przedsiębiorstwa bez konieczności zestawiania połączenia VPN i uwierzytelniania za pomocą dodatkowego logowania.

 

Chociaż w Windowsie 8 najpierw zauważamy nowy interfejs, należy pamiętać także o wielu niespotykanych dotąd rozwiązaniach zwiększających bezpieczeństwo. Źródło grafiki: windows.microsoft.com.

Chociaż w Windowsie 8 najpierw zauważamy nowy interfejs, należy także pamiętać o wielu niespotykanych dotąd rozwiązaniach zwiększających bezpieczeństwo.
Źródło grafiki: windows.microsoft.com.

 

Które z nowych opcji oraz rozwiązań szczególnie poleciłby Pan rodzicom chcącym chronić i kontrolować swoje dzieci?

Polecam tzw. Kontrolę Rodzicielską (z ang. Family Safety) w Windows 8, która posiada naprawdę bardzo ciekawy zestaw funkcjonalności, dzięki którym nie koniecznie musimy „wszystko blokować”, ale sprawować kontrolę nad tym, co dzieję na komputerze obsługiwanym przez nasze pociechy i reagować na ewentualne zagrożenia. Narzędzie „Family Safety” generuje automatycznie raporty dla rodziców, które zawierają takie informacje, jak czas spędzony w sieci każdego dnia, informacje o treściach, które były wyszukiwane w Internecie wraz z informacjami, z jakich serwisów dzieci korzystały najczęściej. W raporcie będziemy mogli znaleźć np. informacje dotyczące tego, z jakich gier nasze dzieci korzystały najwięcej. W zależności od potrzeb przy pomocy funkcjonalności dostępnej w „Family Safety” będzie można zablokować dziecku dostęp do wybranych programów, gier czy też stron internetowych. Kolejna funkcja to ustawianie czasu, jaki dziecko może spędzić zarówno przed konkretnym programem, grą czy stroną internetową, jak i przed samym komputerem.

Wprowadzono również wiele nowych rozwiązań zwiększających bezpieczeństwo systemu w firmach. Może Pan pokrótce przybliżyć te opcje?

Jest wiele funkcji, które zwiększają bezpieczeństwo w firmach. W tym przypadku chciałbym zwrócić uwagę na dane, które są jedną z najbardziej strzeżonych tajemnic w przedsiębiorstwach – zapewnienie bezpieczeństwa i ochrona przed ich utratą jest jednym z zadań systemu operacyjnego. Skupmy się, zatem chociażby na szyfrowaniu dysków przez funkcję BitLocker w Windows 8 (dostępne w Windows 8 Pro i Windows 8 Enterprise). W przypadku kradzieży komputera odszyfrować i odczytać dane znajdujące się na nim będzie mogła tylko i wyłącznie osoba, która posiada odpowiedni klucz w postaci hasła lub kodu PIN. W zależności od rodzaju dysku jest kilka opcji możliwych do zrealizowania:

  • Tworzone jest hasło lub kod PIN do odblokowania dysku.
  • Następuje powiązanie z danym dyskiem karty zabezpieczeń, tak, aby odblokować mogła go tylko osoba, która ma tę kartę i zna kod PIN.
  • Kopia klucza szyfrowania zapisana zostaje na dysku USB flash, aby odblokować dysk mogła tylko osoba, która ma dany dysk.

Dodam, że w zależności od potrzeb możemy szyfrować dysk z systemem operacyjnym, dysk zewnętrzny lub stały wewnętrzny.

Czy jeśli użytkownik zaszyfruje coś za pomocą BitLockera i zapomni/zgubi hasało czy PIN, jego dane przepadną bezpowrotnie?

Oczywiście, że nie przepadną! W takim przypadku możemy użyć tzw. Klucza odzyskiwania, który składa się z ciągu 48 losowych cyfr. Klucz odzyskiwania przechowujemy w różnych miejscach, ale rekomenduję sporządzić jego kopie zapasową np. w SkyDrive lub też wydrukować i przechowywać „poza komputerem” w bezpiecznym miejscu.

Mówi się, że Win 8 pozwala na łatwiejsze tworzenie kopii zapasowych. Na czym polegać ma to ułatwienie względem poprzednich systemów?

W Windows 8 zmieniła się filozofia tworzenia kopii zapasowych w stosunku do poprzednich wersji systemu. Za łatwiejsze i bardziej zoptymalizowane tworzenie kopii zapasowych odpowiada teraz nowy mechanizm Historia Plików (z ang. File History). Jego praca polega na tym, że cyklicznie (domyślnie, co godzinę) dokonuje sprawdzania, czy pliki się zmieniły. Jeżeli tak, to zostanie wtedy wykonana ich kopia. Nowe narzędzie zastąpiło Kopię zapasową i Przywracanie systemu, które były dostępne w poprzednich wersjach. Historia Plików jest zoptymalizowany tak, aby wykorzystywać jak najmniej zasobów naszego systemu. Decyzja, gdzie chcemy przechowywać nasze kopie zapasowe jest pozostawiona użytkownikowi – miejscem gdzie możemy bezpiecznie przechowywać nasze dane jest np. SkyDrive.

Wprowadzenie „piaskownicy”, jako środowiska uruchamiania aplikacji nie spowolni działania systemu?

Funkcja AppContainer, czyli popularna „piaskownica” określa zakres działania, jaki może realizować dany program. Funkcja ta zatrzymuje wszystkie aplikacje, których działanie zakłóca pracę systemu operacyjnego lub działających prawidłowo aplikacji. Nie wiązałbym jej w żaden sposób z potencjalnym spowolnieniem systemu, lecz ze zwiększeniem bezpieczeństwa, na które położony jest największy nacisk w Windows 8.

Czy podobnie jak dla Win 7 powstanie Przewodnik zabezpieczeń systemu Win 8?  Jeśli tak, to czy również przy współpracy z Agencją Bezpieczeństwa Wewnętrznego?

Tak, prace nad przewodnikiem Windows 8 już się rozpoczeły i podobnie jak dla Win 7 bedzie on opracowywany w ramach programu SCP (z ang. Security Cooperation Program – więcej o tej inicjatywie znajdziecie Państwo na moim blogu dzięki uprzejmości portalu WebSecurity.pl), który realizujemy wspólnie z ABW/CERT.GOV.PL.

Miło widzieć, jak ABW angażuje się w pomoc polskim użytkownikom Windows. A od kogo właściwie wyszła inicjatywa współpracy nad poprzednim Przewodnikiem?

Jest to wspólna inicjatywa realizowana w ramach umowy SCP w zakresie bezpieczeństwa teleinformatycznego pomiędzy ABW i Microsoft.

Redaktorka WebSecurity.pl. Z zamiłowania i wykształcenia dziennikarka. Szlify dziennikarskie zdobywała w prasie lokalnej. W wolnym czasie czyta książki, ogląda filmy albo scrobbluje na last.fmie.

2 odpowiedzi na “W Windows 8 postawiono na bezpieczeństwo – wywiad z Danielem Grabskim”

  1. avatar Zdzich pisze:

    "Historia Plików jest zoptymalizowany tak, aby wykorzystywać jak najmniej zasobów naszego systemu. Decyzja, gdzie chcemy przechowywać nasze kopie zapasowe jest pozostawiona użytkownikowi – miejscem gdzie możemy bezpiecznie przechowywać nasze dane jest np. SkyDrive." – to poproszę o instrukcje jak wskazać SkyDrive jako miejsce docelowe w File History

  2. avatar Look At This pisze:

    There are many well known and respected SEO agencies across the industry. If you have a great product that somehow never seems to get the attention that it deserves, it may be that by creating a landing page and a campaign to drive traffic to that page is all you require, rather than a full website build and optimisation of every page on the website. A good SEO agency will have someone who is fluent in English, even if they are located in another country.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *