Portál AbcLinuxu, 1. května 2025 14:12
Několik známých mě oslovilo, abych jim poradil, co dělat s Windows XP po ukončení podpory. Popravdě jsem se nad tím musel trochu zamyslet, pohledal jsem po internetu podobné články, kam bych je poslal, ale nic rozumně objektivního jsem nenašel - buď bývá čtenář vyloženě strašen často i nepravdivými informacemi (pokud bude nadále používat XP, odnese jej brzy čert, nebo mu aspoň vybuchne počítač), nebo jsou naopak články s vyzněním "klídek, vůbec nic se neděje". Proto jsem se rozhodl sepsat tento článek, který by měl i laikovi věcně vysvětlit, co pro něj ukončení podpory znamená a jak by se měl zachovat.
Než se podíváme na to, jaký dopad má ukončení podpory systému, vysvětlíme si ještě, jak na tom je tento systém s bezpečností obecně. V praxi se vyskytují zejména dva scénáře - ten první je typický pro domácí uživatele a systém je zpravidla nastaven tak, že pod jedním přihlášením s právy správce systému (administrátora) jsou prováděny všechny úkony - surfování po internetu, hraní her, práce v kancelářském balíku atd. Jestli uživatel pracuje s právy správce poznáte asi nejlépe podle toho, jestli je uživatel schopný nainstalovat do počítače programy. Dále jej budeme nazývat režim správce.
Druhý typický scénář práce s Windows XP je obvyklý ve větších společnostech nebo na úřadech, kdy přihlášený uživatel nemá práva správce (nemůže instalovat nové programy a provádět další správcovské aktivity) a pouze využívá programy, které mu správce nainstaloval a povolil. Říkejme mu režim uživatele.
Už před ukončením podpory byla bezpečnostní situace velmi špatná - posuťe sami:
Nyní se zamysleme, jestli náhodou tyto problémy neměl systém již před ukončením podpory a co se ukončením podpory změní. Odpověď na první otázku je zřejmá - systém má tyto vlastnosti už od instalace a ukončením podpory se to nezlepší.
Pokud jsme vnitřně smířeni s tím, že už několik let používáme systém, který má - řekněme - celkem zásadní problémy s designem už od začátku, můžeme si projít, jaké možné typy útoků nás mohou potkat. Podíváme se na ně od těch nejdůležitějších.
Aby se někdo dostal do systému, musí najít nějakou cestu. Infikování škodlivou aplikací jsme probrali už výše, takže tato rizika známe, nicméně tady se ukončením podpory nic nemění. Jinými slovy - mohli zcela volně předtím, mohou i teď.
Dalšími cestami k vašemu počítači jsou zpravidla internetová síť, resp. přímý útok zvenčí. Tady naštěstí platí, že drtivá většina systémů s XP je k intenetu připojena přes nějakou krabičku, která slouží jako firewall, takže my můžeme komunikovat ven, ale dovnitř k nám nemůže nikdo. Pokud máte počítač připojený přes hardwarový firewall (to je ta krabička se světýlky někde ve skříni nebo pod stolem), měl by být počítač dostatečně chráněn, pokud jste připojeni přímo (váš počítač má přímo veřejnou IP adresu), je dobré použít firewall softwarový. Jeden je i ve Windows a funguje dobře, systém sám jeho zapnutí uživateli doporučí už při instalaci. Pokud bychom byli přímo a bez firewallu, mohla by být časem objevena nějaká trhlina, kudy by se útočník do počítače dostal a ukončení podpory znamená, že na ni nebude vydána záplata. Ale za firewallem jsme v bezpečí, aspoň tedy od útoků i internetu, systém je ale napadnutelný z vnitřní sítě. Pro počítače doma to zpravidla není problém, ale pokud se například svým notebookem připojujete k veřejné WiFi síti, zkontrolujte, jestli je softwarový firewall aktivní.
Další způsob, jakým lze do počítače proniknout, je využít chybu v nějaké aplikaci, která se připojuje k internetu. Dříve jsme si vysvětlili, že každá aplikace si se systémem může dělat skoro cokoli a pokud se tedy někomu podaří protlačit přes nějakou aplikaci do systému vlastní kód a spustit jej, máme problém. V tomto kontextu je nutné upozornit, že jestli je použití dané aplikace bezpečné, záleží zejména na samotné aplikaci, ne na systému. Takže pokud zajistíme aktualizace všech takto komunikujících aplikací, můžeme prohlásit, že jsme v bezpečí i když systém samotný není aktualizovaný. V tomto směru je ovšem potřeba vypíchnout zejména tři nebezpečné položky. Internet Explorer, Microsoft Security Essentials (antivir od Microsoftu) a Office 2003 už nebudou dostávat aktualizace a jejich používání je tedy nebezpečné. Office a antivir nám až tak nevadí - ty nekomunikují po síti (pokud nepočítáme aktualizace antiviru), ale Internet Explorer je rozhodně problém. Co se týká Office, budou pravděpodobně časem nalezeny slabiny, kdy bude možné do systému "propašovat" nějaké zlomyslnosti tak, že Office necháme otevřít soubor, který bude obsahovat škodlivý kód. Ale neotevírat cokoli stáhnu z internetu (i když je to dokument pro Office) myslím patří už dnes k základním znalostem uživatelů.
Tento bod se týká pouze režimu uživatele, protože v režimu správce mohou všechny aplikace dělat úplně cokoli a tudíž jejich práva už není kam zvýšit. Každopádně se může později stát, že bude objeven způsob, jak z režimu uživatele proniknout do režimu správce. Je tedy možné, že počítače v podnicích a na úřadech budou moci instalovat samy aplikace nebo číst soubory, na které nemá daný přihlášený uživatel oprávnění.
Nemyslím si, že by Microsoft už před ukončením podpory nějak horlivě záplatova jednotlivé nefunkčnosti systému a nebude to dělat ani po ukončení. Takže pokud jste s tím, jak běží XP spokojeni, budete i nadále a pokud čekáte na opravu něčeho, tak už čekat nemusíte.
Při tomto důkladném rozboru jsme tedy zjistili, že systém samotný nikdy bezpečný nebyl a udržet stávající chabou míru zabezpečení bude možno při respektování těchto závěrečných doporučení:
PS pro místní komunitu: Komentáře vítány a omlouvám se za "plevelení" portálu jinými operačními systémy, ale je to blog.
Tiskni
Sdílej:
25.4.2014 13:31
=^..^= AmigaPower® | skóre: 30
| blog: BLB
| Praha
V praxi se vyskytují zejména dva scémáře
25.4.2014 13:54
xvasek | skóre: 21
| blog:
| Zlín
25.4.2014 13:35
Fluttershy, yay! | skóre: 93
| blog:
25.4.2014 18:13
Fluttershy, yay! | skóre: 93
| blog:
25.4.2014 18:39
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
25.4.2014 18:57
Fluttershy, yay! | skóre: 93
| blog:
25.4.2014 18:59
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
25.4.2014 19:07
Fluttershy, yay! | skóre: 93
| blog:
Pro upřesnění: (...)Spíš bych tipoval (...)
25.4.2014 19:13
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Pokud máte svá XPčka vystavena přímo do internetu (jako server)
25.4.2014 16:48
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Ono je těch licencí na WinXP víc (Pro/Home, navíc se měnila při každém SP), ale obecně k tomu Microsoft říká toto:
Z licenčního hlediska ovšem není možné pro podporu serverových aplikací použít licenci Windows 8/ 7/ XP, protože tím dochází k porušení licenčních podmínek počítačového operačního systému, které sice povolují současné připojení až 20 (10 u XP) zařízení, ale pouze za účelem přesně stanovených a vymezených služeb
Připojení za jiným účelem (např. práce s ekonomickým softwarem, přijímání pošty z mailového serveru apod.) tedy není povoleno a není ani brán ohled na softwarové požadavky nejrůznějších výrobců softwaru, kteří často jmenují Windows XP či Windows 7 jako dostačující podklad pro běh jejich aplikace.
Navíc ani nehraje roli, jestli je Windows 8/ 7/ XP provozován na serveru ve fyzickém či virtuálním prostředí.
Čili nejde o ten zmíněný limit, nýbrž o to, že to prostě licence "od základu" zakazuje.
25.4.2014 18:31
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
25.4.2014 18:40
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
26.4.2014 01:55
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
25.4.2014 15:14
rADOn | skóre: 44
| blog: bloK
| Praha
Ale za firewallem jsme v bezpečí…To jsou slavná poslední slova.
Na druhou stranu, pokud Microsoft už neposkytuje update, tak jediné síťové služby, co jsou běžně potřeba pro velkou část uživatelů, jsou HTTP(S), DNS a NTP, první jde od internetu oddělit promocí proxy (která nepustí nic, co vypadá podezdřele), druhé a třetí je řešit pomocí lokálního serveru. Nicméně konfigurace takového oddělovacího zařízení by byla pro "běžného uživatele" natolik složitá, že by se vyplatila jen ve velmi specifických případech.
25.4.2014 22:32
xvasek | skóre: 21
| blog:
| Zlín
28.4.2014 12:26
rADOn | skóre: 44
| blog: bloK
| Praha
25.4.2014 15:26
Ruža Becelin | skóre: 40
| blog: RuzaBecelinBlog
25.4.2014 17:10
xvasek | skóre: 21
| blog:
| Zlín
25.4.2014 18:30
Ruža Becelin | skóre: 40
| blog: RuzaBecelinBlog
25.4.2014 19:21
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
25.4.2014 20:08
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
25.4.2014 22:57
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
27.4.2014 12:11
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
27.4.2014 12:22
pavlix | skóre: 54
| blog: pavlix
27.4.2014 12:24
pavlix | skóre: 54
| blog: pavlix
27.4.2014 12:58
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
27.4.2014 13:15
pavlix | skóre: 54
| blog: pavlix
27.4.2014 13:38
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
Z hlediska bezpečnosti musíš dát v takovém případě musíš paket odmítnout nebo zahodit, ale tím zase riskuješ, že nepropustít legální provoz. Implementátoři se mohli buď problému věnovat nebo se na to vysrat a počkat, co bude. Zjevně zvolili druhou možnost.A tým z chyby spravili fjučúru, aha cez naše zariadenie komunikácia prejde. Také manažérske rozhodnutie, nech zákazník neremcá že mu niečo nejde.
25.4.2014 22:27
xvasek | skóre: 21
| blog:
| Zlín
30.4.2014 14:22
Pavel Stárek | skóre: 44
| blog: Tady bloguju já :-)
| Kolín
30.4.2014 16:01
Jendа | skóre: 78
| blog: Jenda
| JO70FB
30.4.2014 16:10
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
30.4.2014 16:11
Jendа | skóre: 78
| blog: Jenda
| JO70FB
30.4.2014 16:24
Pavel Stárek | skóre: 44
| blog: Tady bloguju já :-)
| Kolín
30.4.2014 17:02
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Předpokládám, že v tomto případě bych musel do FF načíst nějaký škodlivý flash soubor.Ano, například když ti někdo udělá MITM na HTTP spojení. Nebo když vyhackuje AbcLinuxu a strčí ho sem.
30.4.2014 18:29
Pavel Stárek | skóre: 44
| blog: Tady bloguju já :-)
| Kolín
30.4.2014 19:02
Jendа | skóre: 78
| blog: Jenda
| JO70FB
30.4.2014 19:02
Jendа | skóre: 78
| blog: Jenda
| JO70FB
25.4.2014 16:57
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Systémy Windows neumí zjistit, jestli bylo mezi vydáním programu autorem a instalací do programu zasahováno, podepisování instalačních balíčků není vyžadováno a i kontrola podepsaných balíčků je zcela nedostatečná.Mám pocit, že to není pravda - že od IE 8 se kontroluje "reputace" každého souboru stahovaného tímto prohlížečem. Microsoft sice přesně neuvádí, jak se reputace stanovuje, ale v podstatě nutnou podmínkou je u spustitelného souboru jeho podepsání code signing klíčem, k němuž byl vystaven certifikát uznávaný Microsoftem. Pokud soubor nemá dostatečnou reputaci, nabídne IE možnosti "Nespouštět" a "Smazat". Aby ho člověk mohl rovnou spustit, musí kliknout na malinký odkaz. I když je možné, že se mýlím a že se to objevilo až v IE 9 (tj. Windows Vista).
25.4.2014 17:28
xvasek | skóre: 21
| blog:
| Zlín
25.4.2014 17:42
Jendа | skóre: 78
| blog: Jenda
| JO70FB
To nevím, já jsem pár .exe vytvořil, nikdy jsem je nepodepisoval a nikdo s nimi problém neměl.Já také tarbally se zdrojáky většinou nepodepisuju a nikdo s tím ještě problém neměl. Co to svědčí o bezpečnosti jednoho nejmenovaného UNIXu?
25.4.2014 22:34
xvasek | skóre: 21
| blog:
| Zlín
25.4.2014 23:28
Jendа | skóre: 78
| blog: Jenda
| JO70FB
30.4.2014 14:26
Pavel Stárek | skóre: 44
| blog: Tady bloguju já :-)
| Kolín
25.4.2014 17:58
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
25.4.2014 18:01
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
A ja som uz niekolko exe podpisoval, sice self-signed certifikatom, ale bol tam nazov firmy pre ktoru som vtedy pracoval. Niekolko odbornikov vystrasilo to windowsacke varovanie, a teraz aj ked vyskoci, ale je tam nazov firmy, tak je to kuzelne v poriadku lebo je tam firma :)
26.4.2014 12:05
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
25.4.2014 17:39
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Pokud se chcete zbavit bezpečnostního problému, kdy každá instalovaná aplikace může se systémem dělat prakticky cokoli se jí zlíbí (v rámci práv aktuálního uživatele) a vy ani nikdo jiný nemá žádnou kontrolu, jestli aplikace dělá jenom to, co má, zvažte změnu systému.Toto mě opravdu trápí. Jsem pro vyřešení tohoto problému ochoten změnit systém, klidně ihned. Poradíš mi nějaký?
25.4.2014 18:03
Fluttershy, yay! | skóre: 93
| blog:
25.4.2014 22:44
xvasek | skóre: 21
| blog:
| Zlín
25.4.2014 23:30
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ne, ale vážně. V distribucích to před podepsáním aspoň někdo překompiluje a přebalí, tzn. někdo jiný než autor nad tím má možnost kontroly. Ty si to můžeš přebalit a zkompilovat taky a tím to taky zkontrolovat.Ruku na srdce, ty to děláš? Já se přiznám, že ne.
Lepší bezpečnostní model má androidDobře, specifičtěji, chci desktop.
nebo se dá použít selinuxA nested X server pro každou aplikaci. To už rovnou můžu mít ty virtuály s woknama…
26.4.2014 02:52
Hans1024 | skóre: 5
| blog: hansovo
26.4.2014 11:13
xvasek | skóre: 21
| blog:
| Zlín
Ruku na srdce, ty to děláš? Já se přiznám, že ne.To je ale tvůj problém.
Já to občas dělám. Občas čtu soubor po souboru (u menších projektů - třeba nedávno setlfoss), občas něco opravdu zkontroluju. A i velké věci se dají různým způsobem kontrolovat - teď jsem třeba dělal diff mezi vanila jádrem a jádrem od Samsungu (ti dávají zdrojáky jako tarball) a pak si to kompiloval upravené sám, takže ani kernel není úplně mimo. Ale je teda fakt, že Firefox nebo LO už těžko jak zkontrolovat.
Možná si to moc maluju, ale opravdu žiju v představě, že si to distribuční maintainer prochází a kontroluje.
Dobře, specifičtěji, chci desktop.A proč ne android na desktopu?
26.4.2014 21:47
pavlix | skóre: 54
| blog: pavlix
Možná si to moc maluju, ale opravdu žiju v představě, že si to distribuční maintainer prochází a kontroluje.Pobavilo.
26.4.2014 22:05
Fluttershy, yay! | skóre: 93
| blog:
26.4.2014 22:40
pavlix | skóre: 54
| blog: pavlix
25.4.2014 22:46
xvasek | skóre: 21
| blog:
| Zlín
26.4.2014 23:26
Agent
| blog: Life_in_Pieces
| HC city
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.