Homepage » come » Perché la versione a 64 bit di Windows è più sicura

    Perché la versione a 64 bit di Windows è più sicura

    La maggior parte dei nuovi PC è stata spedita con la versione a 64 bit di Windows, Windows 7 e 8, da anni. Le versioni bit di Windows a 64 bit non si limitano a sfruttare la memoria aggiuntiva. Sono anche più sicuri delle versioni a 32 bit.

    I sistemi operativi a 64 bit non sono immuni al malware, ma hanno più funzionalità di sicurezza. Alcuni di questi si applicano anche alle versioni a 64 bit di altri sistemi operativi, come Linux. Gli utenti Linux otterranno vantaggi in termini di sicurezza passando a una versione a 64 bit della loro distribuzione Linux.

    Randomizzazione dello spazio degli indirizzi

    ASLR è una funzionalità di sicurezza che fa sì che le posizioni dei dati di un programma siano disposte in modo casuale in memoria. Prima dell'ASLR, le posizioni dei dati di un programma in memoria potevano essere prevedibili, il che ha reso molto più facile l'attacco a un programma. Con ASLR, un utente malintenzionato deve indovinare la posizione corretta in memoria quando tenta di sfruttare una vulnerabilità in un programma. Un'ipotesi errata potrebbe causare il blocco del programma, pertanto l'utente malintenzionato non potrà riprovare.

    Questa funzionalità di sicurezza viene anche utilizzata su versioni a 32 bit di Windows e altri sistemi operativi, ma è molto più potente nelle versioni a 64 bit di Windows. Un sistema a 64 bit ha uno spazio di indirizzamento molto più ampio rispetto a un sistema a 32 bit, rendendo l'ASLR molto più efficace.

    Firma obbligatoria del conducente

    La versione a 64 bit di Windows applica la firma del driver obbligatoria. Tutto il codice del driver sul sistema deve avere una firma digitale. Ciò include driver di dispositivi in ​​modalità kernel e driver in modalità utente, come i driver di stampa.

    La firma del driver obbligatorio impedisce ai driver non firmati forniti dal malware di essere eseguiti sul sistema. Gli autori di malware dovranno in qualche modo bypassare il processo di firma attraverso un rootkit di avvio o riuscire a firmare i driver infetti con un certificato valido rubato da uno sviluppatore di driver legittimo. Ciò rende più difficile l'esecuzione dei driver infetti sul sistema.

    La firma dei driver potrebbe anche essere applicata alle versioni a 32 bit di Windows, ma non è probabile che continui la compatibilità con i vecchi driver a 32 bit che potrebbero non essere stati firmati.

    Per disabilitare la firma del driver durante lo sviluppo su edizioni a 64 bit di Windows, è necessario collegare un debugger del kernel o utilizzare un'opzione di avvio speciale che non permane tra i riavvii del sistema.

    Protezione delle patch del kernel

    KPP, noto anche come PatchGuard, è una funzionalità di sicurezza disponibile solo nelle versioni a 64 bit di Windows. PatchGuard impedisce al software, anche ai driver in esecuzione in modalità kernel, di applicare patch al kernel di Windows. Questo è sempre stato non supportato, ma è tecnicamente possibile su versioni a 32 bit di Windows. Alcuni programmi antivirus a 32 bit hanno implementato le misure di protezione antivirus utilizzando l'applicazione patch del kernel.

    PatchGuard impedisce ai driver di dispositivo di applicare patch al kernel. Ad esempio, PatchGuard impedisce ai rootkit di modificare il kernel di Windows per incorporare se stessi nel sistema operativo. Se viene rilevato un tentativo di patch del kernel, Windows si spegnerà immediatamente con una schermata blu o si riavvierà.

    Questa protezione potrebbe essere implementata nella versione a 32 bit di Windows, ma non è stata - probabilmente per la compatibilità continuata con il software legacy a 32 bit che dipende da questo accesso.

    Protezione esecuzione dati

    DEP consente a un sistema operativo di contrassegnare determinate aree di memoria come "non eseguibili" impostando un "bit NX". Le aree di memoria che dovrebbero contenere solo i dati non saranno eseguibili.

    Ad esempio, su un sistema senza DEP, un utente malintenzionato potrebbe utilizzare una sorta di overflow del buffer per scrivere codice in un'area della memoria di un'applicazione. Questo codice potrebbe quindi essere eseguito. Con DEP, l'utente malintenzionato potrebbe scrivere codice in un'area della memoria dell'applicazione, ma questa regione sarebbe contrassegnata come non eseguibile e non potrebbe essere eseguita, il che fermerebbe l'attacco.

    I sistemi operativi a 64 bit hanno DEP basato sull'hardware. Anche se questo è supportato su versioni a 32 bit di Windows se si dispone di una CPU moderna, le impostazioni predefinite sono più rigorose e DEP è sempre abilitato per i programmi a 64 bit, mentre è disabilitato di default per i programmi a 32 bit per motivi di compatibilità.

    La finestra di dialogo di configurazione di DEP in Windows è un po 'fuorviante. Come afferma la documentazione di Microsoft, il DEP viene sempre utilizzato per tutti i processi a 64 bit:

    "Le impostazioni di configurazione del DEP di sistema si applicano solo alle applicazioni e ai processi a 32 bit quando sono in esecuzione su versioni a 32 bit o 64 bit di Windows. Nelle versioni a 64 bit di Windows, se è disponibile DEP basato sull'hardware, viene sempre applicato ai processi a 64 bit e agli spazi di memoria del kernel e non sono presenti impostazioni di configurazione del sistema per disabilitarlo. "

    WOW64

    Le versioni a 64 bit di Windows eseguono software Windows a 32 bit, ma lo fanno attraverso un livello di compatibilità noto come WOW64 (Windows 32-bit su Windows 64-bit). Questo livello di compatibilità applica alcune restrizioni a questi programmi a 32 bit, che potrebbero impedire il corretto funzionamento del malware a 32 bit. Anche il malware a 32 bit non sarà in grado di funzionare in modalità kernel - solo i programmi a 64 bit possono farlo su un sistema operativo a 64 bit - questo potrebbe impedire il funzionamento corretto di alcuni vecchi malware a 32 bit. Ad esempio, se si dispone di un vecchio CD audio con il rootkit Sony, non sarà in grado di installarsi su una versione a 64 bit di Windows.

    Le versioni a 64 bit di Windows rilasciano anche il supporto per i vecchi programmi a 16 bit. Oltre a impedire l'esecuzione di antichi virus a 16 bit, questo costringerà anche le aziende a aggiornare i loro programmi a 16 bit che potrebbero essere vulnerabili e privi di patch.

    Data la diffusione delle versioni a 64 bit di Windows, i nuovi malware saranno probabilmente in grado di funzionare su Windows a 64 bit. Tuttavia, la mancanza di compatibilità può aiutare a proteggere dai vecchi malware in natura.


    A meno che non si usino i vecchi e cigolanti programmi a 16 bit, l'hardware antico che offre solo driver a 32 bit o un computer con una CPU a 32 bit piuttosto vecchia, si dovrebbe usare la versione a 64 bit di Windows. Se non sei sicuro di quale versione stai utilizzando ma disponi di un computer moderno con Windows 7 o 8, probabilmente utilizzi l'edizione a 64 bit.

    Naturalmente, nessuna di queste funzionalità di sicurezza è infallibile e una versione a 64 bit di Windows è ancora vulnerabile al malware. Tuttavia, le versioni a 64 bit di Windows sono decisamente più sicure.

    Immagine di credito: William Hook su Flickr