Joanna Rutkowska: Vista jest bezpieczniejsza niż XP
"Microsoft włożył dużo pracy w poprawę bezpieczeństwa nowego systemu i że z technicznego punktu widzenia Vista jest po prostu bezpieczniejsza niż XP - jednak ( ... ) obawiam się, że Microsoft może łatwo zmarnować tę całą technologię" - mówi w rozmowie z PCWK Joanna Rutkowska, znana specjalistka w dziedzinie bezpieczeństwa systemów operacyjnych. Z J. Rutkowską rozmawialiśmy m.in. o jej dyskusji na temat zabezpieczeń Visty z Markiem Russinovichem oraz o tym, dlaczego proces łatania błędów w produktach Microsoftu jest tak skomplikowany. Zapraszamy do lektury wywiadu.
Ostatnio poinformowała pani o kolejnych, nazwijmy to "niedociągnięciach" Windows Visty - http://www.pcworld.pl/news/106601.html. Czy może pani wyjaśnić, na czym one polegały i jakie niebezpieczeństwo kryło się w przypadku ataku cyberprzestępców?
Joanna Rutkowska Joanna Rutkowska: Ponieważ od ponad dwóch miesięcy używam systemu Vista na moim laptopie, postanowiłam, w wolnym czasie, napisać artykuł o moich wrażeniach z używania tego systemu na co dzień. W artykule tym wskazałam dwa problemy związane z tym, jak jest zaprojektowany mechanizm User Account Control ( UAC ) oraz wytknęłam w nim jeden przykładowy błąd implementacyjny.
Pierwszy problem dotyczy tego, że UAC zakłada, iż wszystkie programy instalacyjne ( popularne "setupy" czy "instalki" ) powinny być uruchamiane z uprawnieniami pełnego administratora i wszystko wskazuje na to, że użytkownik nie może uruchomić takiego programu korzystając z nieuprawnionego konta. Jest to według mnie bardzo złe założenie, ponieważ większość programów można zainstalować dając im jedynie prawa do dodawania plików i kluczy rejestru odpowiednio do katalogu Program Files czy HKLMSoftware, nie pozwalając jednocześnie na modyfikację już istniejących tam plików czy kluczy rejestru, a o możliwości modyfikacji innych elementów systemu ( jak np. dodawania sterowników do jądra ) nie wspominając.
Druga sprawa, na którą zwróciłam uwagę, to fakt, że mechanizm poziomów integralności ( Integrity Levels ) został zaprojektowany w ten sposób, aby ochronić pliki oznaczone wyższym poziomem integralności jedynie przed modyfikacją, a nie przed ich przeczytaniem. Oznacza to m.in., że tak powszechnie reklamowany "Protected Mode IE" nie ochroni prywatnych danych użytkowników przed ich wykradzeniem.
Oba powyższe problemy są wynikiem świadomej decyzji projektantów Microsoftu. Stwierdzenie, że ja "odkryłam te problemy" jest zwykłym nieporozumieniem - ja tylko napisałam swoją opinię i podałam przykłady, jakie konsekwencje takie założenia projektowe mogą mieć.
Trzeci problem, który wytknęłam w moim artykule, to błąd implementacyjny mechanizmu User Interface Privilege Isolation ( UIPI ), który jest wykorzystywany w UAC do ochrony aplikacji działających na wyższym poziomie integralności, które współdzielą pulpit z aplikacjami o niższym poziomie integralności. Błąd ten umożliwia przesyłanie pewnych tzw. "komunikatów okienkowych" do procesów na wyższych poziomach integralności i w efekcie, w pewnych okolicznościach, umożliwia procesowi działającemu na najniższym poziomie integralności ( np. Protected Mode IE ) na wykonanie arbitralnego kodu z przywilejami administratora.
Odpowiedział pani świetny fachowiec, Mark Russinovich. Jego słowami była pani jednak bardzo zaskoczona. Bo i było czym. Wyjaśnienie było wyjątkowo zawiłe. Co tak naprawdę panią zaskoczyło?
Mark Russinovich nie odpowiedział bezpośrednio mnie. Po prostu, w tydzień po ukazaniu się mojego artykułu, na blogu Marka Russinovicha pojawił się post na temat mechanizmów UAC i IL, w którym to Mark Russinovich stwierdził, że oba te mechanizmy nie tworzą granic bezpieczeństwa ( ang. security boundaries ), więc wszelkie błędy implementacyjne, umożliwiające np. podniesienie uprawnień z poziomu niskiego na wysoki, nie będą traktowane jako tzw. "security bugs".
Innymi słowy, Mark Russinovich, jeden z czołowych ekspertów Microsoftu do Windows, przyznał, że te wszystkie tak mocno reklamowane nowe mechanizmy bezpieczeństwa w Viście, jak np. UAC i IL, nie są... mechanizmami bezpieczeństwa!
Myślę, że jest to dość zaskakujące zagranie...To już nie pierwszy raz, gdy pani słowa wywołują spore zamieszanie. Jak odbija się to na jej pracy? Domyślam się, że otrzymuje pani w takich momentach wiele maili i zdarzają się wśród nich zapewne i takie, które bardzo nieprzyjemnie się czyta.
Pomimo tego, że wiele moich słów jest często wyjmowanych z kontekstu, ponieważ wielu dziennikarzy lubuje się w robieniu sensacji ze wszystkiego, co się da, to i tak większość ludzi, którzy wysyłają do mnie maile czyta również mojego bloga ( albo moje prezentacje ) i na ogół posiada właściwy ogląd sprawy. Krótko mówiąc, bardzo rzadko dostaję maile, które "nieprzyjemnie się czyta".
A jak zachowuje się w takich wypadkach Microsoft?
Po tym, jak w zeszłym roku zaprezentowałam jak można załadować niepodpisany cyfrowo kod do jądra Visty, Microsoft zmienił parę rzeczy w systemie tak, by uniemożliwić przeprowadzenie ataku ( nie była to łata - raczej małe przeprojektowanie pewnego API ). Z kilku możliwych metod zaradczych Microsoft wybrał akurat tę najprostszą, ale i najmniej skuteczną. Ale przynajmniej coś zrobił. Ciekawe, jakie stanowisko przyjmie Microsoft wobec problemów z UAC...
Czy zawahała się pani kiedyś? Pomyślała, "po co narażać się takiemu gigantowi"?
W Microsofcie pracują mili i inteligentni ludzie. Wiele osób z Redmond mam przyjemność znać osobiście, a niektóre z nich darzę wyjątkowym szacunkiem za ich wiedzę. Microsoft jest wielką firmą i należy zdawać sobie sprawę, iż w wielu kwestiach nie ma pełnej swobody działania ( np. słynny problem zachowania kompatybilności ) i że podstawowym motorem jego działania są prawa rynku. Co, oczywiście, nie znaczy, że nie powinniśmy go krytykować. I właśnie o to w tym wszystkim chodzi, o konstruktywną krytykę, na którą Microsoft jak najbardziej wydaje się być otwarty ( nawet jeśli niekoniecznie się z nią zgadza ). W każdym razie nie ma tu mowy o żadnym "zastraszaniu badaczy" przez Microsoft - przynajmniej ja się nigdy z czymś takim nie spotkałam.
Nie chodziło mi o zastraszanie, bo sam zdrowy rozsądek podpowiada, że żadna rozsądna firma takimi metodami się nie posługuje. Myślę tutaj raczej o tym, co nazywamy "świętym spokojem". Po co wytykać błędy gigantowi, narażać się na mniej lub bardziej kulturalne ataki ze strony chociażby osób zazdroszczących Pani pozycji zawodowej. Nigdy taki "spokój" pani nie kusił?
Cóż, wydaje się, że zazdrość jest nieodłącznym elementem osiągania sukcesu w dowolnej dziedzinie, bez względu na to, czy ma to związek z "wytykaniem błędów gigantowi" czy też nie. Chociaż muszę przyznać, że za wyjątkiem drobnych incydentów nie spotykam się z jakimiś szczególnymi przejawami zawiści. Być może oznacza to, że jeszcze nie osiągnęłam odpowiedniej pozycji zawodowej ; )
Co pani myśli o bezpieczeństwie Visty? Jak wypada ono na tle XP?
Wielokrotnie wypowiadałam się publicznie na ten temat i za każdym razem podkreślałam, że Microsoft włożył dużo pracy w poprawę bezpieczeństwa nowego systemu i że z technicznego punktu widzenia Vista jest po prostu bezpieczniejsza niż XP.
Jednak z obecnym podejściem, zaprezentowanym przez Marka Russinovicha, obawiam się, że Microsoft może łatwo zmarnować tą całą technologię. Wszak jeśli Microsoft będzie się dalej upierał, że UAC to nie jest mechanizm bezpieczeństwa, to wkrótce zapewne pojawi się więcej ataków wykorzystujących niedociągnięcia w UAC... Jeśli dla Microsoftu ich łatanie nie będzie priorytetem ( no bo nie są to "security bugs", tak? ), to wkrótce bezpieczeństwo Visty, z punktu widzenia przeciętnego malware'u, będzie tożsame z bezpieczeństwem XP...
Miejmy jednak nadzieję, że Microsoft zmieni zdanie.
Czy czuje się pani na siłach porównać Vistę z Mac OS X-em czy najpopularniejszymi dystrybucjami Linuksa ( np. Ubuntu, Red Hat, Mandriva, Debian SuSE )? Jeśli tak, jak na ich tle wypada Vista?
To jest temat na osobny, długi artykuł.Jak wygląda zgłaszanie znalezionych błędów? Kto i w jaki sposób się o nich dowiaduje?
Nie wiem, ja nie jestem tzw. "bug hunterem" - w mojej pracy zajmuję się raczej problemami bardziej generycznymi aniżeli wyszukiwaniem błędów implementacyjnych np. błędów przepełnienia bufora. Przykładowo, zaprezentowany przeze mnie w zeszłym roku "Blue Pill" korzysta tylko z udokumentowanych właściwości procesorów AMD, pokazując problem, którego nie można łatwo rozwiązać wypuszczając kolejną łatę.
Pewnemu znajomemu, fanowi Linuksa, zacytowałem wypowiedź, w której stwierdziła pani, że nie można jednoznacznie stwierdzić, który z OS-ów, Linux czy Windows, jest bardziej bezpieczny [wypowiedź dla Hacking.pl - redakcja]. W odpowiedzi usłyszałem: "baby będziesz słuchał?". Często spotyka się pani z takimi reakcjami?
Nie przypominam sobie podobnej sytuacji. Być może ma to związek z tym, że obracam się wśród cywilizowanych ludzi... ; )
Prowadzi pani bloga. Jest on bardziej sposobem na komunikację z internautami czy z podobnymi pani specjalistami?
Sposobem na ekspresję moich przemyśleń i, oczywiście, na zwrócenie uwagi na moją pracę. : )
Dostaje pani wiele listów z pytaniami: "jak zostać hakerem?", "jak zostać specjalistą ds. bezpieczeństwa IT?". No właśnie... Czy specjalista taki, jak pani, to tylko programista, czy ktoś więcej?
Nie uważam się ani za hakera, ani za programistkę. Jestem po prostu badaczką oraz specjalistką od budowy ( niektórych ) systemów operacyjnych.
Poza komputerami ma pani czas na inne zainteresowania? Przy czym najlepiej pani odpoczywa?
Najlepiej odpoczywam urządzając sobie popołudniową drzemkę na kanapie. : )