Те из вас, кто ожидает начала зловред-апокалипсиса в стиле «Ходячих мертвецов», успокойтесь. Официальное прекращение поддержки Windows XP уже случилось, но давайте обдумаем некоторые опасения и попытаемся увидеть перспективу.

«Я был киберкриминалистом на протяжении 14 лет, и в моем опыте нет или было очень мало случаев, когда уязвимость непропатченной системы не была источником взлома», — сказал Кристофер Пог, директор Trustwave. Пог заявил, что взломы чаще случаются из-за слабых паролей, ненадежной системы контроля доступа или плохо сконфигурированного брандмауэра, а также зияющей дыры в операционной системе.

«Все, что администраторы понастроят вокруг этих систем, ломается. Злоумышленники хотят идти путем наименьшего сопротивления, — заявил Пог. — Вы должны понимать, что до того, как они применят свой эксплойт на непатченной машине с XP, им нужно взломать окружение, обойти брандмауэры, чтобы добраться до системы, искать непатченную систему в надежде, что на ней есть важные данные, и выполнить на ней код эксплойта. Чтобы это случилось, должно сойтись множество вещей».

Шум и паника вокруг 8 апреля, последнего из длинной череды Судных дней безопасности, растут из теорий, что при большом количестве машин с XP, используемых для хранения данных и обработки транзакций, любая неизвестная уязвимость останется вечной уязвимостью нулевого дня. Есть теории и о том, что злоумышленники создавали и собирали эксплойты для XP, тревожно заламывая руки в ожидании 8 апреля 2014 года.

Отбрасывать все эти страхи было бы безрассудным; злоумышленники, имеющие XP-эксплойты для уязвимостей, которые останутся незакрытыми уже через несколько дней, собираются ждать. Другие менее терпеливы (см. недавнюю уязвимость XP Rich Text Format, которая будет закрыта во вторник). Для тех же малых организаций с ограниченными IT-ресурсами, которые еще держат несколько XP-машин, выполняющих свою работу день за днем, мало что изменится — их позиция станет лишь чуть более рискованной после вторника.

По большому счету тем не менее люди уходят с XP. Технический директор Qualys Вольфганг Кандек опубликовал несколько цифр, основанных на данных флагманского сервиса сканирования уязвимостей, принадлежащего компании, и они показывают, что количество установленных Windows XP упало с 35 до 15% за последние 14 месяцев. По его словам, наиболее резво мигрируют транспортная и медицинская отрасли.

«Это, конечно, крайности, но все другие отрасли также показывают спад систем с XP; ни в одной XP не держится на прежнем уровне», — заявил Кандек.

Кандек придерживается мнения, что злоумышленники активизируют свои атаки на машины с XP и, в частности, будут следить за патчами для современных Windows 7 и Windows 8, чтобы проверять, нет ли тех же уязвимостей на XP, которая больше не поддерживается. Он также призвал организации, еще использующие XP, изолировать эти машины от сети, применяя их лишь для особых задач, и держать их отключенными.

«В мае Microsoft опубликует бюллетени и патчи, которые могут быть взяты хакерами и подвергнуты обратному инжинирингу. Они спросят, что исправляет этот патч. Как только они узнают, что он делает для Windows 7 или 8, что он меняет в DLL или какое переполнение исправляет, они могут вернуться к XP и проверить, есть ли там такой же DLL или уязвимость переполнения, — сказал Кандек. — Патчи указывают на уязвимости, которые могут быть в XP. Иногда они могут касаться новых компонентов Windows 7, но чаще всего вы можете найти эти уязвимости и в XP».

Кандек  заявил, что примерно 70% уязвимостей, которые были закрыты в 2013 году, были найдены в Windows 8 через XP.

«Я не вижу причин, почему это должно прекратиться в мае, июне или июле. Злоумышленники могут использовать это знание как указатель, где эта уязвимость имеется в XP. Это для них как ускоритель. По моим ощущениям, через два или три месяца в обращении появятся инструменты, надежно эксплойтящие XP. Я уже вижу, как это облегчит работу хакера», — заявил Кандек.

Следует подчеркнуть, что по начинке Windows 7 и 8 радикально отличаются от XP. Microsoft вложила время и деньги для встраивания методов защиты от множества опасных атак через память. Такие технологии, как ASLR и DEP, делают работу злоумышленника по запуску вредоносного кода через уязвимости в операционной системе значительно сложнее и дороже. Поиск в XP ошибок, которые имеются в Windows 7 и 8, может быть для хакера не самым лучшим использованием ресурсов.

«Злоумышленники всегда выбирают путь наименьшего сопротивления, чтобы получить доступ к системе; чаще всего им не нужно эксплуатировать уязвимости операционной системы, и в большинстве случаев они этого не делают, — сообщил Пог. — Будь я владельцем небольшого бизнеса, использующего XP для хранения и обработки данных, я бы, пока это возможно, позаботился бы об этом и предпринял бы шаги по обновлению и установке патчей на операционную систему. Но важно помнить, что это не панацея. Обновление до Windows 7 вовсе не значит, что вы в безопасности. Вам нужно строить эшелонированную оборону. Даже когда XP поддерживалась и обновлялась, а я расследовал тысячи взломов систем с XP. Обновленная операционная система не всегда обеспечивает защищенность».

Категории: Главное, Уязвимости