Budou Windows Vista bezpečnější než Windows XP? Budou fungovat antivirové programy třetích stran? Nebude lepší počkat na SP1 pro Windows Vista z důvodu odladění systému? Nejen na tyto otázky odpovídal Martin Žugec, certifikovaný Microsoft Most Valuable Professional.
Na vaše otázky k bezpečnosti Windows Vista odpovídal Martin Žugec. Martin Žugec je MVP (Microsoft Most Valuable Profesional) a specializuje se na deployment, spyware, skriptování a WinInternals. Účastní se např. meetingů WUG, Technet konferencí a na IT Fóru v Barceloně v rámci sekce „Ask the expert“ radil účastníkům fóra v oblasti nové generace MS Shell – Monada.
V tomto článku najdete otázky a odpovědi týkající se tématu rozhovoru. Některé dotazy a odpovědi jsme kvůli přehlednosti zkrátili, jiné rozdělili do více částí. Některé otázky se opakovaly a v takových případech byly zpravidla zodpovězeny jen jednou. Originální verzi rozhovoru najdete na této stránce.
Odpovědi na otázky čtenářů Živě.cz
Plánujete později vlastní antivirus pro WV? (Jaroslav Hušbauer)
Martin Žugec: Já osobně určitě ne. Pokud to ale měla být otázka na Microsoft (kde nejsem zaměstnán), tak antivirus již existuje (OneCare), bohužel však nemohl být integrovaný přímo do WV (Symantec intervenoval a také EU se to příliš nelíbilo).
Všude se píše, že WV budou méně bezpečnější než současné WXP. Odpovězte mi objektivně jako nestranný odborník: Budou Vista bezpečnější než XP? (Martin Plavec)
Martin Žugec: Nejsem zaměstnanec ani zástupce Microsoftu. Takže nestranná odpověď zní ano. Věřím tomu, že WV budou bezpečnější než WXP. Hlavní rozdíl vidím v tom, že ve Vistách je uživatel opravdu jen uživatelem a ne administrátorem. Pro většinu lidí je překvapením, že v oblasti zabezpečení jsou nejdůležitější ty nejmasovější kroky. SP2 pro WXP přinesl velmi velké změny, ale nejdůležitější bylo automatické zapnutí firewallu. A i když my z IT to neradi přiznáváme, zabezpečení opravdu začíná u lidových mas.
Jaký máte názor na kvalitu blokování malware a detekční schopnosti Windows Defenderu. Je srovnatelný s uznávanými produkty jako jsou Spy Sweeper či Spyware Doctor? Kdy bude přeložen Windows Defender do češtiny (pro uživatele WXP)? (Yankee)
Martin Žugec: Jak to bude s českou verzí bohužel netuším, ale zkusím to zjistit. Co se týká konkurence, na přednáškách o spyware jsem doporučoval svého času hlavně Giant Antispyware. To je produkt, který právě Microsoft koupil a přejmenoval na Windows Defender. Pro mne osobně jsou nejlepší dva produkty na trhu – jednoznačně Windows Defender a CounterSpy od Sunbeltu.
Bude mít implementace DRM vliv na spolehlivost práce s WV? Co soudíte o použití tzv. „divokých bitů“, mající za následek zastavení běhu WV při podezření ohledně útoku na DRM? (Martin Němec)
Martin Žugec: Já osobně nejsem zastáncem DRM a s ohledem na poslední projev Billa Gatese si myslím, že Microsoft k němu taktéž začíná mít odmítavější přístup. Takže v tomto ohledu jsem poměrně optimistický. DRM (v soukromí) začne být na ústupu, ale doufám, že se poměrně uchytí ve firemní sféře.
Jaké jsou šance na obnovení dat z poškozeného disku, na kterém je nefunkční systém a který je zašifrován pomocí technologie BitLocker? (Štěpán Weber)
Martin Žugec: Jedno důležité upozornění na začátek, jelikož vždy to zapomenu připomenout – já jsem korporátní uživatel a proto se tak i dívám na všechny problémy.
Obnovení dat není problém, protože existují možnosti vytvořit si backup certifikát, který většinou mají doménoví administrátoři – a díky němu mají možnost obnovit data poškozeným uživatelům.
Slyšel jsem, že WV mají obsahovat nějaký antivirus nebo podobný software na ochranu proti škodlivým programům (vyjma Windows Defenderu). Je to pravda? A bude se to týkat i českého trhu? (Zdeněk Rindt)
Martin Žugec: Bohužel nebude v základní konfiguraci dostupný – poděkovat můžeme EU a Symantecu.
Je v IE7 ve verzi pro Visty nějakým způsobem upraveno zabezpečení flash animací? Mám na mysli ono nutné kliknutí na flash pro jeho aktivaci, které je nyní ve WinXP po nějaké záplatě a které běžným uživatelům brání v používání této technologie. Jsou ještě i jiné konkurenční technologie ve Vistě takto blokovány? Co XAML? Je možná náprava ze strany Adobe (jiný plugin, instalace pomocí rozšíření atd.)? (Milan Hagan)
Martin Žugec: jedná se bohužel o právní problém (viz soudní spor Eolas vs. Microsoft). Takže žádnou změnu (k lepšímu) bych nečekal a Microsoft bych z tohoto jednání nevinil.
Pořídil jsem si legálně MS Windows Vista Business a mám problém s antivirovými programy. Můžete prosím uvést, které antivirové programy jsou kompatibilní s WV? (Roman Polášek)
Martin Žugec: Doporučuji podívat se na seznam Antivirus_Windows_Vista_Software_Compatibility_List.
Bylo zjištěno, že do zdrojového kódu byly přidány části, na jejichž tvorbě Microsoft spolupracoval s NSA. Ty zajistí, že v případě, bude-li uživatelem osoba nepřátelská USA, bude možné interní šifrování či bezpečnostní zabezpečení obejít a dostat se tak k informacím, které jsou pro ochranu zájmů USA nezbytné. Považujete takovou bezpečnostní díru za nutné zlo nebo věříte, že ji půjde zacelit pomocí softwaru jiných výrobců? (Jiří Jelínek)
Martin Žugec: Asi mám méně informací. Vím pouze o tom, že NSA pomohlo Microsoftu při honey-pot testu, což není nic nového (vím ještě minimálně o spolupráci s NSA u OSX, Suse Linux nebo WXP/W2K3...). Ale jinak se musím přiznat, že můj postoj je takový, že i kdyby to byla pravda, tak to celkem chápu. Však svého času kvůli PGP nemohli v NSA spávat a myslím, že se všemi velkými hráči mají dohody o tom, že se to už nebude opakovat. Jenže to už je diskuze, která nikam nevede a zavání flamewarem.
Do jaké míry je zabezpečen přenos dat (šifrováním) při použití protokolu Vzdálená plocha. Existuje nějaký rozdíl oproti W2K a W2K3? (Karel)
Martin Žugec: Rozdíly jsou – jedná se o RDP 6.0. Hlavně se ale projeví při kombinaci RDP 6.0 vs. Longhorn server.
WV nabídnou vyšší výchozí míru zabezpečení pro nové, nezkušené uživatele. Zajímal by mě ale váš názor na nutnost upgradu z pohledu člověka, který už má zabezpečení dobře nastavené na WXP či W2K? Domnívám se totiž, že WV v tomto ohledu nepřináší zase tolik novinek. (Mr.Gentleman - Přemysl V.)
Martin Žugec: Na to je těžká odpověď, spíše závisí na tom, co vám ve WXP chybí. Mně osobně vyhovuje u WV úplně jiný management (zabývám se hlavně skriptováním a deploymentem), tj. nový scheduler a event viewer.
Můj osobní názor je jednoduchý – WV doporučuji nainstalovat, pár týdnů nebo měsíců zkoušet a potom se zkusit vrátit k WXP. Pokud to pro uživatele nebude problém, tak mu WXP pravděpodobně stačí. Já osobně jsem zjistil, že tento downgrade je pro mne již velmi těžký, protože ve WV existuje velké množství drobných vylepšení, které mi přirostly k srdci. Víceméně tak platí totéž jako u přechodu z W2K na WXP (jediný rozdíl je ten, že přechod z WXP na WV je o mnoho větší než tomu bylo v případě W2K na WXP).
WV mají obsahovat bezpečnostní technologii InfoCard. O co vlastně jde a jak tato technologie funguje? (Jiří Felix)
Martin Žugec: InfoCard (přejmenovaný na Windows CardSpace) není ani tak bezpečnostní technologie jako spíše správa identit. Nejlepším příkladem je dnes již hodně rozšířený RoboForm anebo DigitaPersona od Microsoftu. Pro bližší informace doporučuji standardně Wikipedii. Jinak tato technologie není ani tak součástí Windows Vista jako spíše .NET Framework 3.0.
Přinese WV nějakou změnu ohledně Windows Firewallu (ICF) oproti WXP? Myslím tím nejen změněné uživatelské rozhraní, ale bude třeba nový Windows Firewall konečně odolný např. proti útokům ihned po startu? Tedy v pár sekund dlouhé době, kdy ICF nebyl u Windows XP aktivní. (dayvee)
Martin Žugec: No změn je poměrně dost. Asi nejlepší článek je od CableGuye. Jinak ten vzpomínaný útok hned po startu byl vyřešený již ve WXP SP2.
Mohl byste stručně popsat, jak funguje technologie ochrany proti phishingu v IE7? (David B.)
Martin Žugec: Tato technologie je rozdělena na dvě části. První část spočívá v porovnání stránky s blacklistem. Tento blacklist neudržuje Microsoft, ale (mně) neznámá třetí strana. Druhá část spočívá v tom, že se detekuje klasické fungování phishingových stránek a na jejich základě je uživatel upozorněn, že možná navštívil phishingovou stránku. Bližší informace asi antiphishing whitepaper.
Jak si máme přebrat informace uvedené např. zde? Četl jste Orwella, 1984? (Eda)
Martin Žugec: Četl, několikrát. Ale tohle vidím spíše na klasicky přehnané téma. Honey-pot (část spolupráce je běžná), stejně tak jako že s NSA spolupracují všechny větší firmy (Apple OSX, Novell Suse a Microsoft XP/2003/Vista). Přiznám se, že opravdu nevidím důvod, proč se tomu tedy nyní každý diví.
Není lepší počkat rok u WXP, než se WV odladí a začnou být všeobecně používané a podporované výrobci softwaru? (Nezname)
Martin Žugec: Já osobně jsem vždy čekal na SP1, ale Vista budou asi první výjimkou, jelikož ji mám v plánu nasadit co nejdříve. Ale tohle je píše otázka osobních preferencí a toho, jak člověk důvěřuje Microsoftu.
Slyšel jsem, že byl vytvořen crack na WV. Co je na tom pravdy? Bude se Microsoft bránit nějakým opatřením proti pirátství? (Jakub Sůva)
Martin Žugec: Cracky jsou, byly a (podle mne určitě) budou. Co se týká plánů Microsoftu, tak nemám nejmenší tušení, zaměstnancem ani akcionářem nejsem. A po pravdě s tím jak nyní trh IT funguje, bych v úspěch produktu, který cracky „nepodporuje“, ani trošku nevěřil. Prostě většina lidí si u software chce nejprve vyzkoušet co kupují a až potom jsou ochotni za to zaplatit i nějaké peníze (tedy v lepších případech).
Budou už někdy Windows opravdu bezpečná a spolehlivá? První, co se u každé nové verze píše je, jak bude bezpečnější a spolehlivější, ale stále to není ono. Co třeba takový příkaz SU jako má UNIX? Správce je přihlášen jako běžný uživatel a po zadání příkazu SU může okamžitě pracovat jako administrátor a nemusí čekat půl hodiny, než se mu celé prostředí překlopí, jak je tomu ve WXP. (Yankee Doodle)
Martin Žugec: Já osobně rozlišuji major a minor verze. Poslední major verzí pro mne byly W2K a nyní WV – a u těchto major verzí je posun v bezpečnosti opravdu viditelný. Můj osobní názor ale je, že Microsoft to v určitých oblastech s bezpečností přehání – snad se mu to vyplatí a lidé si na to zvyknou.
Ekvivalent SU ve WV existuje. Jedná se o integrování SAFERu (software restriction policy), který sice již měly v sobě WXP, ale WV jej plně podporují. SAFER spočívá ve speciálním flagování procesů – pokud má proces toto návěstí, automaticky běží pod oprávněním uživatele i v případě, že user je ve zkutečnosti administrátor. Sám jsem SAFER několikrát (úspěšně) nasazoval na WXP stanicích, ale ještě to není ono. Ve WV to dotáhli dále, návěstí je mořné dynamicky měnit, a to je asi největší rozdíl. Já osobně nyní očekávám, jak se projeví nákup společnosti Desktop Standard, jejíž PolicyMaker umožňoval opačný proces, tj. přiřazení určitých administrátorských oprávnění k procesům běžícím pod běžným účtem.
V minulém týdnu se objevila kritika bezpečnosti WV v souvislosti s příliš rozsáhlým důrazem na DRM oproti bezpečí uživatele a stabilitě samotného systému. Myslíte si, že se dočkáme v dohledné době zneužití těchto vlastností? Vysvětlení této situace se zaměřilo spíše na omlouvaní kvality přehrávání videa než na otázky stability a bezpečnosti. (Satai)
Martin Žugec: Otázky stability a bezpečnosti – těch se DRM nedotýká tak, jak to napsal Nick White. Tyto prvky již byly dávno ve WXP, některé dokonce již ve W2K. Tilt bity se používaly již dávno pro performance monitoring (a to je i jejich účel), takže tuto kritiku beru spíše jako takové vrtání do Microsoftu, na které jsme si již tuším všichni zvykli. Jediná věc, která mi na tom osobně vadí, je to, že v záplavě nesmyslné kritiky se ta důležitá obvinění vždy ztratí.
Ochrana obsahu BR/HD DVD - to je přeci přímo ve white papers těchto médií, proto nechápu humbuk, který okolo vznikl. Pokud se bavíme o oficiálních / legálních produktech, musí to splňovat všechny systémy a přehrávače. Můj názor je ten, že k tomuto kroku dotlačili Microsoft velcí giganti. Momentálně za podobné problémy viní každý Microsoft, i když viník je někde úplně jinde a veřejné odsouzení DRM Billem Gatesem mi trošku dává za pravdu. Osobně se mi velmi nelíbí představa, že RIAA/MPAA rozhoduje o tom, co operační systém povolí a co ne.
Je dobré mít ve WV všechna zabezpečení? Devadesát procent domácích uživatelů ani neví, co slovo zabezpečení znamená a pletou si pojmy spyware, mallware a jiné. Navíc si myslí, že pokud mají antivir, často neaktualizovaný, tak jsou v bezpečí. Já pořád říkám, že je lepší prevence. Jinak to s bezpečností půjde čím dál více dolů. (Mike)
Martin Žugec: V podstatě stoprocentní souhlas. Mě vždy poměrně vytáčí řeči o tom, že stačí nahradit Internet Explorer Firefoxem a člověk se už ničeho nemusí bát. Pokud se o zabezpečení Windows / Linuxu s někým bavím, víceméně vždy skončíme u toho, že Windows jsou bezpečná, ale problém je v uživatelých. Jestliže uživatel dobrovolně pracuje s vyššími právy a dobrovolně si z internetu stáhne nějaký software, dobrovolně si po automatickém odklikání upozornění tento software nainstaluje, tak nikdo nemůže obviňovat Microsoft.
Pro mne byl rozhodující přelom WXP SP2. Od té doby jsme neviděl jedinou drive-by instalaci spywaru. Pravdou je, že příliš nepracuji s domácími uživateli, ale pokud mi někdo poskytne odkaz na drive-by instalační stránku, budu mu vděčný. Víceméně jsem časem dospěl k názoru, že důležité ani tak není zabezpečení, ale za prvé to, že zabezpečení, které uživatele neotravuje (u většiny uživatelů platí, že co je otravuje vypínají). Proto jsem byl velkým zastáncem toho, aby Windows Firewall nebyl by-default bidirectional, protože by ho většina uživatelů vypínala. A za druhé největší změny zabezpečení jsou ty, které se týkají lidí. WXP SP2 přinesly velmi radikální změny v zabezpečení, ale největší rozdíl byl již v tom, že byl firewall standardně zapnut. Proto věřím tomu, že Vista situaci se zabezpečením změní tím, že uživatel je userem. To, co ve světe Windows není velkou výjimkou (bavíme se o firmách) se konečně dostane i k normálním uživatelům.
Kolik jste musel smazat „dotazů“ od zakomplexovaných linuxářů? (Tomas)
Martin Žugec: Zatím tři, ale stále přibývají. Jinak linuxáře bych do jednoho pytle neházel, mám mezi nimi hodně kamarádů. :)
