Kritický verdikt nad bezpečností Windows 10

Pavel Houser , 30. říjen 2015 08:00 0 komentářů

James Forshaw z Google Project Zero podrobil analýze zabezpečení Windows 10. Některé změny sice ocenil, jiné však kritizoval. Svoji přednášku nazval „Dva kroky vpřed, jeden krok zpět“, přičemž z další analýzy to dokonce vypadá málem obráceně.

Analýza se soustředí na samotný systém, nikoliv na diskutované otázky o tom, jaká svá data uživatel Windows 10 sdílí a jak se s nimi dále nakládá. Pomíjí se také způsob distribuce aktualizací. Konkrétně Forshawovi ale vadí zejména to, že Windows 10 mají ve výchozím nastavení zapnuto 196 systémových služeb a 291 ovladačů.

Pro srovnání, u Windows 8.1 jsou tato čísla 169/253, u Windows 7 SP1 pak 150/238. Více systémových služeb a ovladačů podle Forshawa znamená prostě více možností útoku. Navíc ve Windows 10 větší procento služeb běží s vyššími oprávněními – i když na druhé straně samotný systém omezil možnosti eskalace práv. Forshaw kritizuje i fungování nástroje Řízení uživatelských účtů (UAC), který se z bezpečnostní komponenty spíš proměnil spíš v otravnou zbytečnost. Naopak chválí to, že prohlížeč Edge se ve výchozím nastavení spouští v chráněném režimu, nicméně riziko dle něj představuje způsob, jak je zde implementován plug-in pro Flash (přes ActiveX). Naopak v rámci Chrome se Google snaží Flash od vlastního prohlížeče i systému maximálně izolovat.


Komentáře

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

21. 09. Mobilní řešení pro business
25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
RSS 

Zprávičky

Američtí operátoři T-Mobile US a Sprint jednají o fúzi

ČTK , 20. září 2017 11:00

Tržní hodnota T-Mobile US se pohybuje kolem 51 miliard dolarů hodnota Sprintu dosahuje zhruba 30 mil...

Více 0 komentářů

EK chce vyšší pravomoci pro řešení kybernetických útoků

ČTK , 20. září 2017 09:00

Celounijní certifikace by se měla týkat miliardy zařízení kritické infrastruktury....

Více 0 komentářů

Oblíbený nástroj CCleaner obsahoval malware

Pavel Houser , 19. září 2017 17:17

Ohroženy mohou být miliony uživatelů. Zranitelné jsou verze CCleaner 5.33 a CCleaner Cloud 1.07.3191...

Více 1 komentářů

Starší zprávičky

EK navrhuje nová pravidla pro pohyb dat neosobního charakteru

ČTK , 19. září 2017 15:26

Členské státy EU by už podle návrhu neměly nutit organizace, aby uchovávaly či zpracovávaly data na ...

Více 0 komentářů

Na trh přichází Synology C2 Backup

Pavel Houser , 19. září 2017 11:34

Synology strávila více než rok budováním vlastního datového centra....

Více 0 komentářů

Hackathon veřejné správy přilákal na 6 desítek vývojářů

Pavel Houser , 19. září 2017 08:00

Propojit otevřená data veřejné správy v užitečné aplikace bylo cílem šesti desítek programátorů, kte...

Více 0 komentářů

Úřad pro ochranu hospodářské soutěže zkoumá zakázky na IT systémy

Pavel Houser , 18. září 2017 12:50

Úřad aktuálně se zaměřil na smlouvy na IT systémy uzavřené v jednacím řízení bez uveřejnění. ...

Více 0 komentářů