18Aug
A maioria das novas PCs foram enviadas com a versão de 64 bits do Windows - tanto do Windows 7 quanto do 8 - há anos. As versões de bits de 64 bits do Windows não se limitam a aproveitar a memória adicional. Eles também são mais seguros que versões de 32 bits. Os sistemas operacionais
de 64 bits não são imunes ao malware, mas eles têm mais recursos de segurança. Alguns destes também se aplicam a versões de 64 bits de outros sistemas operacionais, como Linux. Os usuários do Linux obterão vantagens de segurança ao mudar para uma versão de 64 bits da distribuição do Linux.
Address Space Layout Randomization
ASLR é um recurso de segurança que faz com que os locais de dados de um programa sejam organizados aleatoriamente na memória. Antes do ASLR, as localizações de dados de um programa na memória podiam ser previsíveis, o que tornava os ataques em um programa muito mais fácil. Com o ASLR, um invasor deve adivinhar a localização correta na memória ao tentar explorar uma vulnerabilidade em um programa. Um engano incorreto pode resultar na queda do programa, então o invasor não poderá tentar novamente.
Este recurso de segurança também é usado em versões de 32 bits do Windows e outros sistemas operacionais, mas é muito mais poderoso em versões de 64 bits do Windows. Um sistema de 64 bits possui um espaço de endereço muito maior do que um sistema de 32 bits, tornando ASLR muito mais efetivo.
Assinatura do driver obrigatório
A versão de 64 bits do Windows impõe a assinatura do driver obrigatório. Todo o código do driver no sistema deve ter uma assinatura digital. Isso inclui drivers de dispositivos em modo kernel e drivers de modo de usuário, como drivers de impressora.
A assinatura do driver obrigatório evita que os drivers não assinados fornecidos pelo malware sejam executados no sistema. Os autores de malware terão que de alguma forma ignorar o processo de assinatura através de um rootkit de inicialização ou conseguir assinar os drivers infectados com um certificado válido roubado de um desenvolvedor de driver legítimo. Isso torna mais difícil para os drivers infectados serem executados no sistema. A assinatura do driver
também pode ser aplicada em versões de 32 bits do Windows, mas não é provável para compatibilidade contínua com drivers antigos de 32 bits que talvez não tenham sido assinados.
Para desativar a assinatura do driver durante o desenvolvimento em edições de 64 bits do Windows, você deve anexar um depurador do kernel ou usar uma opção de inicialização especial que não persista durante as reinicializações do sistema.
Kernel Patch Protection O
KPP, também conhecido como PatchGuard, é um recurso de segurança encontrado apenas em versões de 64 bits do Windows. O PatchGuard impede que o software, mesmo os drivers que executam no modo kernel, corrigem o kernel do Windows. Isso sempre foi suportado, mas é tecnicamente possível em versões de 32 bits do Windows. Alguns programas antivírus de 32 bits implementaram suas medidas de proteção antivírus usando o patch de kernel.
PatchGuard impede que os controladores do dispositivo corrigam o kernel. Por exemplo, o PatchGuard impede que os rootkits modifiquem o kernel do Windows para se incorporarem no sistema operacional. Se uma tentativa de patch do kernel for detectada, o Windows fechará imediatamente com uma tela azul ou reiniciará.
Esta proteção poderia ser implementada na versão de 32 bits do Windows, mas não foi provável para compatibilidade contínua com o software antigo de 32 bits que depende desse acesso.
Proteção de Execução de Dados O
DEP permite que um sistema operacional marque certas áreas de memória como "não executáveis" definindo um "bit NX". As áreas de memória que são supostamente contidas apenas serão executáveis.
Por exemplo, em um sistema sem DEP, um invasor pode usar algum tipo de buffer overflow para escrever código em uma região da memória de um aplicativo. Esse código poderia então ser executado. Com o DEP, o atacante poderia escrever código em uma região da memória do aplicativo - mas essa região seria marcada como não executável e não poderia ser executada, o que poderia interromper o ataque. Os sistemas operacionais
de 64 bits possuem DEP baseado em hardware. Embora isso também seja suportado em versões de 32 bits do Windows se você tiver uma CPU moderna, as configurações padrão são mais rigorosas e o DEP sempre está habilitado para programas de 64 bits, enquanto ele está desativado por padrão para programas de 32 bits por motivos de compatibilidade.
O diálogo de configuração DEP no Windows é um pouco enganador. Como afirma a documentação da Microsoft, o DEP é sempre usado para todos os processos de 64 bits:
"As configurações de configuração do DEP do sistema aplicam-se apenas para aplicativos e processos de 32 bits ao serem executados em versões de 32 bits ou 64 bits do Windows. Nas versões de 64 bits do Windows, se o DEP forçado por hardware estiver disponível, ele sempre é aplicado a processos de 64 bits e espaços de memória do kernel e não há configurações de sistema para desativá-lo. "
WOW64
Versões de 64 bits do Windows executadasSoftware de 32 bits do Windows, mas eles fazem isso através de uma camada de compatibilidade conhecida como WOW64( Windows 32 bits no Windows 64 bits).Esta camada de compatibilidade impõe algumas restrições a esses programas de 32 bits, o que pode impedir que o malware de 32 bits funcione corretamente. O malware de 32 bits também não pode ser executado no modo kernel - apenas os programas de 64 bits podem fazer isso em um sistema operacional de 64 bits - então isso pode impedir que um malware antigo de 32 bits funcione corretamente. Por exemplo, se você tiver um antigo CD de áudio com o rootkit da Sony, ele não será capaz de se instalar em uma versão de 64 bits do Windows.
versões de 64 bits do Windows também soltam suporte para programas antigos de 16 bits. Além de evitar que os antigos vírus de 16 bits sejam executados, isso também forçará as empresas a atualizar seus antigos programas de 16 bits que podem ser vulneráveis e desprovidos.
Dado o quão generalizadas as versões de 64 bits do Windows, o novo malware provavelmente será capaz de funcionar no Windows de 64 bits. No entanto, a falta de compatibilidade pode ajudar a proteger contra malwares antigos na natureza.
A menos que você use programas antigos de 16 bits, hardware antigo que oferece apenas drivers de 32 bits ou um computador com uma CPU de 32 bits bastante antiga, você deve usar a versão de 64 bits do Windows. Se você não tem certeza de qual versão você está usando, mas você possui um computador moderno com o Windows 7 ou 8, você provavelmente usará a edição de 64 bits.
Claro, nenhum desses recursos de segurança é infalível e uma versão de 64 bits do Windows ainda é vulnerável ao malware. No entanto, as versões de 64 bits do Windows são definitivamente mais seguras.
Crédito da imagem: William Hook no Flickr