18Aug
La maggior parte dei nuovi PC è stata spedita con la versione a 64 bit di Windows, Windows 7 e 8, da anni. Le versioni bit di Windows a 64 bit non si limitano a sfruttare la memoria aggiuntiva. Sono anche più sicuri delle versioni a 32 bit. I sistemi operativi a 64 bit
non sono immuni al malware, ma hanno più funzionalità di sicurezza. Alcuni di questi si applicano anche alle versioni a 64 bit di altri sistemi operativi, come Linux. Gli utenti Linux otterranno vantaggi in termini di sicurezza passando a una versione a 64 bit della loro distribuzione Linux.
Randomizzazione layout spazio indirizzo
ASLR è una funzione di sicurezza che fa sì che le posizioni dei dati di un programma siano disposte in modo casuale in memoria. Prima di ASLR, le posizioni dei dati di un programma in memoria potevano essere prevedibili, il che ha reso molto più facile l'attacco a un programma. Con ASLR, un utente malintenzionato deve indovinare la posizione corretta in memoria quando tenta di sfruttare una vulnerabilità in un programma. Un'ipotesi errata potrebbe causare il blocco del programma, quindi l'utente malintenzionato non potrà riprovare.
Questa funzione di sicurezza viene utilizzata anche su versioni a 32 bit di Windows e altri sistemi operativi, ma è molto più potente nelle versioni a 64 bit di Windows. Un sistema a 64 bit ha uno spazio di indirizzamento molto più ampio rispetto a un sistema a 32 bit, rendendo l'ASLR molto più efficace.
Mandatory Driver Signing
La versione a 64 bit di Windows applica la firma del driver obbligatoria. Tutto il codice del driver sul sistema deve avere una firma digitale. Ciò include driver di dispositivi in modalità kernel e driver in modalità utente, come i driver di stampa.
La firma del driver obbligatorio impedisce ai driver non firmati forniti da malware di essere eseguiti sul sistema. Gli autori di malware dovranno in qualche modo bypassare il processo di firma attraverso un rootkit di avvio o riuscire a firmare i driver infetti con un certificato valido rubato da uno sviluppatore di driver legittimo. Ciò rende più difficile l'esecuzione dei driver infetti sul sistema. La firma del driver
potrebbe anche essere applicata alle versioni a 32 bit di Windows, ma non è probabile che continui la compatibilità con i vecchi driver a 32 bit che potrebbero non essere stati firmati.
Per disabilitare la firma del driver durante lo sviluppo su edizioni a 64 bit di Windows, è necessario collegare un debugger del kernel o utilizzare un'opzione di avvio speciale che non permane attraverso i riavvii del sistema. Protezione patch del kernel
KPP, noto anche come PatchGuard, è una funzionalità di sicurezza disponibile solo nelle versioni a 64 bit di Windows. PatchGuard impedisce al software, anche ai driver in esecuzione in modalità kernel, di applicare patch al kernel di Windows. Questo è sempre stato non supportato, ma è tecnicamente possibile su versioni a 32 bit di Windows. Alcuni programmi antivirus a 32 bit hanno implementato le misure di protezione antivirus utilizzando l'applicazione patch del kernel.
PatchGuard impedisce ai driver di dispositivo di applicare patch al kernel. Ad esempio, PatchGuard impedisce ai rootkit di modificare il kernel di Windows per incorporarsi nel sistema operativo. Se viene rilevato un tentativo di patch del kernel, Windows si spegnerà immediatamente con una schermata blu o si riavvierà.
Questa protezione potrebbe essere implementata nella versione a 32 bit di Windows, ma non è stata - probabilmente per la compatibilità continuata con il software legacy a 32 bit che dipende da questo accesso. Protezione esecuzione dati
DEP consente a un sistema operativo di contrassegnare determinate aree di memoria come "non eseguibili" impostando un "bit NX". Le aree di memoria che dovrebbero contenere solo i dati non saranno eseguibili.
Ad esempio, su un sistema senza DEP, un utente malintenzionato potrebbe utilizzare una sorta di overflow del buffer per scrivere codice in un'area della memoria di un'applicazione. Questo codice potrebbe quindi essere eseguito. Con DEP, l'utente malintenzionato potrebbe scrivere codice in un'area della memoria dell'applicazione, ma questa regione sarebbe contrassegnata come non eseguibile e non potrebbe essere eseguita, il che interromperebbe l'attacco. I sistemi operativi a 64 bit
hanno DEP basato su hardware. Anche se questo è supportato nelle versioni a 32 bit di Windows se si dispone di una CPU moderna, le impostazioni predefinite sono più rigorose e DEP è sempre abilitato per i programmi a 64 bit, mentre per default è disabilitato per i programmi a 32 bit per motivi di compatibilità.
La finestra di dialogo di configurazione di DEP in Windows è un po 'fuorviante. Come afferma la documentazione di Microsoft, il DEP viene sempre utilizzato per tutti i processi a 64 bit:
"Le impostazioni di configurazione del sistema DEP si applicano solo alle applicazioni e ai processi a 32 bit quando sono in esecuzione su versioni a 32 o 64 bit di Windows. Nelle versioni a 64 bit di Windows, se è disponibile DEP basato su hardware, viene sempre applicato ai processi a 64 bit e agli spazi di memoria del kernel e non sono presenti impostazioni di configurazione del sistema per disabilitarlo. "
WOW64
Versioni a 64 bit di WindowsSoftware Windows a 32 bit, ma lo fanno attraverso un livello di compatibilità noto come WOW64( Windows 32-bit su Windows 64-bit).Questo livello di compatibilità applica alcune restrizioni a questi programmi a 32 bit, che potrebbero impedire il corretto funzionamento del malware a 32 bit. Anche i malware a 32 bit non potranno essere eseguiti in modalità kernel - solo i programmi a 64 bit possono farlo su un sistema operativo a 64 bit - quindi questo potrebbe impedire il funzionamento corretto di alcuni vecchi malware a 32 bit. Ad esempio, se si dispone di un vecchio CD audio con il rootkit Sony, non sarà in grado di installarsi su una versione a 64 bit di Windows. Le versioni
a 64 bit di Windows rilasciano anche il supporto per i vecchi programmi a 16 bit. Oltre a impedire l'esecuzione di antichi virus a 16 bit, questo costringerà le aziende a aggiornare i loro programmi a 16 bit che potrebbero essere vulnerabili e privi di patch.
Data la diffusione delle versioni a 64 bit di Windows, i nuovi malware saranno probabilmente in grado di funzionare su Windows a 64 bit. Tuttavia, la mancanza di compatibilità può aiutare a proteggere dai vecchi malware in natura.
A meno che non si usino vecchi programmi a 16 bit cigolanti, hardware antico che offre solo driver a 32 bit o un computer con una CPU a 32 bit piuttosto vecchia, si dovrebbe usare la versione a 64 bit di Windows. Se non sei sicuro di quale versione stai utilizzando ma disponi di un computer moderno con Windows 7 o 8, probabilmente utilizzi l'edizione a 64 bit.
Naturalmente, nessuna di queste funzionalità di sicurezza è infallibile e una versione a 64 bit di Windows è ancora vulnerabile al malware. Tuttavia, le versioni a 64 bit di Windows sono decisamente più sicure. Credito immagine
: William Hook su Flickr