Cele mai multe PC-uri noi au fost livrate cu versiunea pe 64 de biți a Windows - atât Windows 7 cât și 8 - de ani de zile. 64 biți versiuni de Windows nu sunt doar despre a profita de memorie suplimentară. Sunt, de asemenea, mai sigure decât versiunile pe 32 de biți.
Sistemele de operare pe 64 de biți nu sunt imune la programe malware, dar au mai multe caracteristici de securitate. Unele dintre acestea se aplică și versiunilor pe 64 de biți ale altor sisteme de operare, cum ar fi Linux. Utilizatorii Linux vor câștiga avantaje de securitate prin trecerea la o versiune pe 64 de biți a distribuției lor Linux.
ASLR este o caracteristică de securitate care determină locațiile de date ale unui program să fie aranjate aleator în memorie. Înainte de ASLR, locațiile de date ale unui program în memorie ar putea fi previzibile, ceea ce a făcut mult mai ușor atacurile asupra unui program. Cu ASLR, un atacator trebuie să ghicească locația corectă din memorie atunci când încearcă să exploateze o vulnerabilitate într-un program. O presupunere incorectă poate duce la crasarea programului, astfel încât atacatorul nu va mai putea încerca din nou.
Această caracteristică de securitate este utilizată și pe versiunile pe 32 de biți de Windows și alte sisteme de operare, dar este mult mai puternică în versiunile pe 64 de biți ale Windows. Un sistem pe 64 de biți are un spațiu de adresă mult mai mare decât un sistem pe 32 de biți, ceea ce face ASLR mult mai eficient.
Versiunea pe 64 de biți a sistemului Windows impune semnarea obligatorie a driverului. Toată codul driverului din sistem trebuie să aibă o semnătură digitală. Acestea includ drivere de dispozitive kernel-mode și drivere de moduri de utilizare, cum ar fi driverele imprimantei.
Semnarea obligatorie a șoferului împiedică rularea driverelor nesemnate furnizate de malware în sistem. Autorii malware vor trebui să ocolească cumva procesul de semnare printr-un rootkit de boot-time sau să reușească să semneze driverele infectate cu un certificat valid furat de la un dezvoltator legitim de driver. Acest lucru face mai dificil pentru driverele infectate să ruleze pe sistem.
Semnarea cu șofer poate fi aplicată și pe versiunile pe 32 de biți ale Windows, dar nu este posibil - pentru compatibilitatea continuă cu driverele vechi pe 32 de biți care s-ar putea să nu fi fost semnate.
Pentru a dezactiva semnarea driverului în timpul dezvoltării pe ediții pe 64 de biți de Windows, va trebui să atașați un program de depanare a kernel-ului sau să utilizați o opțiune de pornire specială care nu persistă în repornirea sistemului.
KPP, cunoscut și sub numele de PatchGuard, este o caracteristică de securitate găsită doar pe versiunile pe 64 de biți ale Windows. PatchGuard împiedică software-ul, chiar și driverele care rulează în mod kernel-ului, să patcheze kernel-ul Windows. Acest lucru a fost întotdeauna neacceptat, dar este posibil din punct de vedere tehnic pe versiunile pe 32 de biți ale Windows. Unele programe antivirus de 32 de biți au implementat măsurile de protecție antivirus, utilizând patch-uri de nucleu.
PatchGuard împiedică driver-ele de dispozitiv să patch-le kernel-ul. De exemplu, PatchGuard împiedică rootkiturile să modifice kernelul Windows pentru a se încorpora în sistemul de operare. Dacă este detectată o încercare de corelare a kernel-ului, Windows se va închide imediat cu un ecran albastru sau se va reporni.
Această protecție ar putea fi instalată pe versiunea Windows pe 32 de biți, dar nu a fost posibil - pentru compatibilitatea continuă cu software-ul vechi pe 32 de biți care depinde de acest acces.
DEP permite unui sistem de operare să marcheze anumite zone de memorie ca fiind "non-executabile" prin setarea unui "bit NX". Domeniile de memorie care ar trebui să dețină numai date nu vor fi executate.
De exemplu, pe un sistem fără DEP, un atacator ar putea folosi un fel de preaplin pentru a scrie cod într-o regiune a memoriei unei aplicații. Acest cod ar putea fi apoi executat. Cu DEP, atacatorul ar putea scrie cod într-o regiune a memoriei aplicației - dar această regiune ar fi marcată ca ne-executabilă și nu ar putea fi executată, ceea ce ar opri atacul.
Sistemele de operare pe 64 de biți au DEP bazate pe hardware. Deși acest lucru este, de asemenea, compatibil cu versiunile pe 32 de biți ale Windows, dacă aveți un CPU modern, setările implicite sunt mai stricte și DEP este întotdeauna activată pentru programele pe 64 de biți, în timp ce este dezactivată implicit pentru programele pe 32 de biți din motive de compatibilitate.
Dialogul de configurare DEP din Windows este puțin înșelător. După cum indică documentația Microsoft, DEP este întotdeauna utilizată pentru toate procesele pe 64 de biți:
"Setările de configurare a sistemului DEP se aplică numai aplicațiilor și proceselor pe 32 de biți când rulează versiuni Windows pe 32 de biți sau pe 64 de biți. În cazul versiunilor pe 64 de biți de Windows, în cazul în care este disponibilă o aplicație hardware DEP, este întotdeauna aplicată proceselor pe 64 de biți și spațiilor de memorie kernel și nu există setări de configurare a sistemului pentru ao dezactiva. "
Versiunile pe 64 de biți ale sistemului de operare Windows rulează Windows pe 32 de biți, dar o fac printr-un strat de compatibilitate cunoscut sub numele de WOW64 (Windows 32-bit pe Windows 64-bit). Acest strat de compatibilitate impune anumite restricții asupra acestor programe pe 32 de biți, care pot împiedica funcționarea corectă a programelor malware pe 32 de biți. De asemenea, malware-ul pe 32 de biți nu va putea funcționa în modul kernel - numai programele pe 64 de biți pot face acest lucru pe un sistem de operare pe 64 de biți - astfel încât aceasta ar putea împiedica funcționarea corectă a unor malware mai vechi de 32 de biți. De exemplu, dacă aveți un CD audio vechi cu rootkit-ul Sony pe acesta, acesta nu va putea să se instaleze pe o versiune pe 64 de biți a Windows.
Versiunile pe 64 de biți ale sistemului de operare Windows scad suportul pentru programele vechi pe 16 biți. În plus față de prevenirea executării vechilor virusuri de 16 biți, aceasta va obliga companiile să-și actualizeze programele vechi de 16 biți, care ar putea fi vulnerabile și neprotejate.
Având în vedere modul în care sunt actualizate versiunile pe 64 de biți ale Windows, noul program malware va fi probabil capabil să ruleze pe Windows pe 64 de biți. Cu toate acestea, lipsa de compatibilitate poate ajuta la protejarea împotriva malware-ului vechi în sălbăticie.
Cu excepția cazului în care utilizați programe vechi de 16 biți scârbos, hardware antic care oferă numai drivere pe 32 de biți sau un computer cu un procesor destul de vechi pe 32 de biți, ar trebui să utilizați versiunea Windows pe 64 de biți. Dacă nu sunteți sigur care versiune pe care o utilizați, dar aveți un computer modern care rulează Windows 7 sau 8, probabil că utilizați ediția pe 64 de biți.
Desigur, niciuna dintre aceste caracteristici de securitate nu este sigură și o versiune pe 64 de biți a Windows este în continuare vulnerabilă la malware. Cu toate acestea, versiunile pe 64 de biți ale Windows sunt cu siguranță mai sigure.
Credit de imagine: William Hook pe Flickr