هر ساله مکانیزم های جدیدی کشف می شود و هر تکنیک ارزش این را دارد که جداگانه مورد تحلیل و بررسی قرار گیرد. در ادامه با ما همراه شوید تا به تصویر کلی مکانیزم یکپارچه ویندوز نگاهی بیندازیم. 

مدل امنیتی ویندوز اکس پی به طور قابل توجهی با مدل امنیتی ویندوز ویستا و سیستم عامل های جدیدتر فرق دارد. در ویندوز اکس پس دو نوع اکانت کاربر داریم: اکانت استاندارد و اکانت ادمین. اکثر قریب به اتفاق کاربران با حقوق ادمین کار می کردند، گرچه برای امور روزانه شان هیچ گاه به این حقوق نیاز نداشتند. این افراد سیستم های خود را به نرم افزارهای مخرب که حقوق کاربر فعلی را در اختیار داشتند (بیشتر همان حقوق ادمین منظورمان است) آلوده می کردند. در نتیجه، نرم افزارهای مخرب حین دسترسی به مزایای رده بالا در سیستمی که ویندوز اکس پی را اجرا می کرد به هیچ مشکل اساسی و جدی برنخوردند. این مکانیزم تا ورود خانواده ویندوز ویستا همچنان استفاده می شد و درست همینجا بود که مایکروسافت مدل امنیتی جدیدی را معرفی کرد: مکانیزم یکپارچگیِ ویندوز.

 شاید بتوان گفت دو نوع اکانتی که اشاره کردیم در این مکانیزم جدید وجود دارند؛ با این حال، این سیستم عامل اکنون از Admin Approval Mode (حالت تأیید ادمین) استفاده می کند. بله همان UAC دوست داشتنی (منظورمان کنترل دسترسی کاربر است). به محض اینکه نیاز به مزایای رده بالا باشد، کادر UAC پاپ آپ شده کاربر را برای اجرای اقدامی خاص ملزم به گرفتن اجازه می کند. عامل انسانی یکی از اصلی ترین مشکلات امنیتی بوده و درست به همین خاطر است که مسوول کردن فردی که خود مبتدی ترین چیزها در مورد امنیت کامپیوتر را هم نمی داند کاری است غیرعقلانی که همه چیز را زیر سؤال می برد. خودِ مایکروسافت در این خصوص چنین گفته است: چیز مهمی که باید دانست این است که UAC یک مرز امنیتی نیست. UAC به افراد کمک می کند تا امنیت بیشتری داشته باشند اما نمی شود گفت علاجی برای همه آلودگی هاست. UAC بیشتر به خاطر اصراری که پیش از نصب نرم افزار می کند به افراد کمک می کند.

مکانیزم جدید یکپارچگیِ ویندوز مهره محافظتیِ اصلی ساختمان امنیت ویندوزی به حساب می آید. این مکانیزم درخواست های دسترسی را از سوی اپ هایی که تحت همان اکانت کاربری اجرا می شوند، اما قابل اعتماد نیستند محدود می کند. به بیانی ساده تر، این مکانیزم فرآیندها و نیز اجسام قابل امنیت دهی (securable objects)در ویندوز را در سطحی یکپارچه قرار می دهد. این سطح یکپارچگی درخواست های مجوز برای دسترسی را ممکن است بنا به صلاحدید خود محدود کرده و یا آن را اعطا کند.

نمی خواهیم به جزئیات عملکرد این مکانیزم یکپارچه بپردازیم. تنها به جدولی نیاز است که در آن آمار بدست آمده به زبانی ساده شرح داده شود: جدول-1 در حقیقت ارتباط بین سطوح یکپارچگی و شناساگرهای امنیتی SID را نشان می دهد که کاربر، گروه، دامنه یا اکانت های کامپیوتریِ ویندوز را شناسایی می کند.

 بیشترِ اپ هایی که توسط کاربر استاندارد اجرا می شوند از سطح یکپارچگیِ متوسطی برخوردارند. ادمین ها سطح بالایی از یکپارچگی را دارند. سرویس ها و کرنل هم یکپارچگی سیستم را دریافت می کنند. اما سطح پایین یکپارچگی برای مثال به App Container خواهد رسید. این سطح معمولی مخصوص مرورگرهای مدرن است که سیستم عامل را از هجوم احتمالی بدافزار از سوی وبسایت های آلوده محافظت می کنند. اصولاً همین سطح بالای یکپارچگی است که نرم افزارهای آلوده لَه لَه آن را می زنند.

محصولات آنتی ویروس حال حاضر نسبت به امنیت سیستم رویکردی جامع دارند. از همین روست که از کلی اجزا استفاده می کنند تا کد مخرب نتواند سیستم را در مراحل مختلف آلوده کند. این اجزا ممکن است شامل آنتی ویروس وب، امولاتورهای اسکریپت، امضاهای کلود، شناساگرهای اکسپلویت و کلی اجزای دیگر شوند. اطلاعاتی که وارد سیستم می شوند تحت اسکن های متعددی قرار می گیرند (ابتدا توسط یک محصول آنتی ویروس). در نتیجه، تعداد زیادی از برنامه های آلوده هنوز به مرحله اجرا نرسیده شناسایی می شوند. برای مثال بدافزاری سعی داشت به مرحله اجرا برسد اما محصول آنتی ویروس مدرن این جسم بالقوه آلوده را ردیابی و شناسایی کرد که حتی اگر بدافزار به مرحله اجرا هم می رسید باز هم «امضاهای جریان رفتاری» نمی گذاشتند این بدافزار به اهداف پلید خود برسد. برای همین از گروه Behavior Detection خواسته شد تا تیم ما را در جمع آوری آماری برای سطوح مزایای سیستم (جهت اجرا توسط بدافزارهای فعالی که می توان آن ها را با BSS شناسایی کرد) یاری دهد. ظرف 15 روز، با کمک شبکه امنیتی کسپرسکی،اطلاعاتی روی تقریباً 1.5 میلیون شناسایی جمع آوری شد. این آمار، کل طیف سیستم عامل های ویندوزی، از ویندوز ویستا تا ویندوز 10 را دربرگرفت. بعد از فیلتر کردن برخی رویدادها و تنها کنار گذاشتن آن رویدادهای خاص و نیز آن هایی که حاوی امضاهای تست ما نبودند، به 976 هزار شناسایی رسیدیم.نمودار-1 توزیع سطوح یکپارچگی را برای نرم افزارهای فعال آلوده در طول این بازه زمانی نشان می دهد.

   با خلاصه کردن نتایج در گروه های غیرقابل اعتماد، پایین، متوسط، بالا و سیستم، توانستیم نرخ درصد را محاسبه کنیم که اسمش را می گذاریم «از خوب تا بد» (نمودار-2) گرچه سازندگان این بدافزارها ممکن است این نرخ درصد را چندان هم بد ندانند.

دلیل چنین آمار ترسناکی چیست؟ راستش را بگوییم، هنوز نمی شود جوابی سرراست و قاطع داد؛ باید مطالعات بیشتری در این زمینه صورت گیرد. اما یقین داریم نویسندگان ویروس از متودهای مختلفی برای بالا بردن سطح دسترسی هایشان و نیز دور زدن مکانیزم UAC  استفاده می کنند (برای مثال آسیب پذیری های موجود در ویندوز، نرم افزارهای طرف سوم، مهندسی اجتماعی و کلی ترفند دیگر). این امکان نیز وجود دارد که بسیاری از کاربران قابلیت UAC خود را کاملاً غیرفعال کرده باشند زیرا ممکن است برای شان آزاردهنده باشد. با این حال، پر واضح است که سازندگان برای رسیدن به مزایای رده بالای دسترسی در ویندوز هیچ مشکل خاصی ندارند؛ بنابراین توسعه دهندگان حفاظت در برابر تهدید می بایست این مشکل را هر چه سریع تر مورد بررسی قرار داده و نسبت به رفع آن اقدام کنند.

 منبع: کسپرسکی آنلاین