Protección del remiendo del grano

Kernel Patch Protection (KPP), informalmente conocida como PatchGuard, es un rasgo de ediciones (x64) de 64 bites de Windows de Microsoft que previene el zurcido del grano. Se introdujo primero en 2005 con las ediciones x64 de Windows XP y Service Pack de 2003 del Servidor de Windows 1.

"El zurcido del grano" se refiere a modificación no apoyada del componente central o grano del sistema operativo Windows. Tal modificación nunca ha sido apoyada por Microsoft porque puede reducir enormemente la seguridad del sistema y la fiabilidad. Sin embargo, aunque Microsoft no lo recomienda, es técnicamente posible remendar el grano en ediciones x86 de Windows. Pero con las ediciones x64 de Windows, Microsoft decidió poner en práctica barreras técnicas para el zurcido del grano.

Desde el zurcido del grano técnicamente se permite en ediciones (x86) de 32 bites de Windows, varios reveladores del software antivirus usan el zurcido del grano para poner en práctica el antivirus y otros servicios de seguridad. Esta clase del software antivirus no trabajará en ordenadores que corren x64 las ediciones del Windows. A causa de esto, la Protección del Remiendo del Grano se ha criticado por obligar a fabricantes del antivirus a replantear su software sin usar técnicas de zurcido del grano.

También, debido al diseño del grano de Windows, la Protección del Remiendo del Grano no puede impedir completamente el grano remendar. Esto ha llevado a la crítica adicional que ya que KPP es una defensa imperfecta, los problemas causados a fabricantes del antivirus no pesan más que las ventajas porque los autores del software malévolo encontrarán simplemente caminos alrededor de su defensa. Sin embargo, el Zurcido del Grano todavía puede prevenir problemas de fiabilidad y estabilidad del sistema causados por el software legítimo que remienda el grano de modos no apoyados.

Descripción técnica

El grano de Windows se diseña de modo que los controladores de dispositivos tengan el mismo nivel del privilegio que el propio grano. Por su parte, se espera que los controladores de dispositivos no modifiquen o remiendan estructuras del sistema principales dentro del grano. En ediciones x86 de Windows, Windows no hace cumplir esta expectativa que los conductores no remiendan el grano. Pero porque la expectativa no se hace cumplir en sistemas x86, algunos programas, notablemente cierta seguridad y programas del antivirus, se diseñaron para realizar tareas necesarias a través de conductores que cargan que modificaron estructuras del grano principales.

En ediciones x64 de Windows, Microsoft decidió comenzar a hacer cumplir las restricciones de que conductores de estructuras pueden y no pueden modificar. La Protección del Remiendo del grano es la tecnología que realmente hace cumplir estas restricciones. Trabaja comprobando periódicamente para asegurarse que las estructuras del sistema protegidas en el grano no se han modificado. Si una modificación se descubre, entonces Windows iniciará un control del error de programación y cerrará el sistema, con una pantalla azul y/o reinicio. El número bugcheck correspondiente es 0x109, el código de bugcheck es CRITICAL_STRUCTURE_CORRUPTION.

Las modificaciones prohibidas incluyen:

Hay que notar que la Protección del Remiendo del Grano sólo defiende contra controladores de dispositivos que modifican el grano. No ofrece ninguna protección contra un controlador de dispositivos que remienda al otro.

Por último, ya que los controladores de dispositivos tienen el mismo nivel del privilegio que el propio grano, es imposible impedir completamente a conductores evitar la Protección del Remiendo del Grano y luego remendar el grano. KPP realmente presenta sin embargo un obstáculo significativo para el zurcido del grano acertado. Con código muy ofuscado y nombres del símbolo engañosos, KPP emplea la seguridad a través de la oscuridad para dificultar tentativas de evitarlo. Las actualizaciones periódicas de KPP también lo hacen un "objetivo móvil", ya que las técnicas de carretera de circunvalación que pueden trabajar un rato probablemente romperán con la siguiente actualización. Desde su creación en 2005, Microsoft ha soltado hasta ahora dos actualizaciones principales de KPP, cada uno diseñado para romper técnicas de carretera de circunvalación conocidas en versiones anteriores.

Ventajas

El zurcido del grano nunca ha sido apoyado por Microsoft porque puede causar varios efectos negativos. La Protección del Remiendo del grano protege contra estos efectos negativos, que incluyen:

Las preguntas frecuentes de Protección del Remiendo del Grano de Microsoft adelante explican:

Críticas

Aplicaciones del tercero

Algún software de seguridad informática, como McAfee de McAfee VirusScan y Norton de Symantec AntiVirus, trabaja remendando el grano. Además, se ha conocido que el software antivirus authored por el Laboratorio Kaspersky hace el uso extensivo del zurcido del código del grano en ediciones x86 de Windows. Esta clase del software antivirus no trabajará en ordenadores que corren x64 las ediciones del Windows debido a la Protección del Remiendo del Grano. A causa de esto, McAfee pidió que Microsoft quitara KPP de Windows completamente o hiciera excepciones para el software hechas por compañías confiadas tal como ellas mismas.

De manera interesante, la variedad de 2010 de Norton y el software antivirus corporativa de Symantec y más allá realmente trabaja en ediciones x64 de Windows a pesar de las restricciones del KPP.

¡

Software antivirus hecho por competidores ESET, Tendencia Micro, Grisoft AVG, avast!, Avira Anti-Vir y Sophos no remiendan el grano configuraciones vencidas, pero pueden remendar el grano cuando los rasgos como "protección de proceso avanzada" o "impiden la terminación no autorizada de procesos" se permiten. Sophos en público declaró que no siente que KPP limita la eficacia de su software.

Al contrario de algunos informes de medios, Microsoft no debilitará la Protección del Remiendo del Grano haciendo excepciones a ello, aunque se haya conocido que Microsoft relaja sus restricciones de vez en cuando, tal en cuanto a la ventaja de la hipervisera virtualization software. En cambio, Microsoft trabajó con compañías del tercero para crear nuevas Interfaces de programación de aplicaciones que ayudan al software de seguridad a realizar tareas necesarias sin remendar el grano. Estos nuevos interfaces se incluyeron en Service Pack de Windows Vista 1.

El 21 de diciembre de 2006, el director científico George Heron de McAfee declaró que McAfee fue contento con el progreso que Microsoft hacía en nuevo APIs.

Debilidades

A causa del diseño del grano de Windows, la Protección del Remiendo del Grano no puede impedir completamente el grano remendar. Esto llevó a los abastecedores de seguridad informática McAfee y Symantec a decir que ya que KPP es una defensa imperfecta, los problemas causados a abastecedores de seguridad no pesan más que las ventajas porque el software malévolo encontrará simplemente caminos alrededor de la defensa del KPP.

En el enero de 2006, los investigadores de seguridad conocidos por los seudónimos "skape" y "Skywing" publicaron un informe que describe métodos, unos teóricos, a través de que la Protección del Remiendo del Grano se podría evitar. Skywing continuó a publicar un segundo informe en el enero de 2007 sobre la evitación de la versión 2 de KPP y un tercer informe en el septiembre de 2007 sobre la versión 3 KPP. También, en la compañía de seguridad del octubre de 2006 Authentium desarrolló un método trabajador de evitar KPP.

Sin embargo, Microsoft ha declarado que están comprometidos a quitar cualquier defecto que permita que KPP se evite como la parte de su proceso del Centro de Respuesta de Seguridad estándar. De acuerdo con esta declaración, Microsoft ha soltado hasta ahora dos actualizaciones principales de KPP, cada uno diseñado para romper técnicas de carretera de circunvalación conocidas en versiones anteriores.

Comportamiento antimonopolio

En 2006, la Comisión Europea expresó la preocupación por la Protección del Remiendo del Grano, diciendo que era anticompetitivo. Sin embargo, el propio producto del antivirus de Microsoft, Windows OneCare Vivo, no tenía excepción especial a KPP. En cambio, Windows OneCare Vivo usó (y siempre había usado) los métodos además del zurcido del grano para proporcionar servicios de protección del virus. De todos modos, por otros motivos una edición x64 de Windows OneCare Vivo no estaba disponible hasta el 15 de noviembre de 2007.

Enlaces externos

Uninformed.org artículos:

La carretera de circunvalación trabajadora se acerca

a

Seguridad de Microsoft advisories:



Buscar