20 января 2014
Умирает ли Windows XP и нужна ли миграция на самом деле?
Компания Microsoft не перестаёт рассказывать пользователям Windows XP, насколько важно для них успеть перейти на более новую операционную систему до окончания поддержки этой системы. Этим летом вендор обратился к своим партнёрам с просьбой увеличить интенсивность предупреждений о завершении поддержки системы в апреле следующего года, а в последние месяцы к подобным предупреждениям присоединились и специалисты Microsoft. Разумеется, компании выгодно поддерживать настроения, ведущие к покупке её новых продуктов, но помимо поддержки очевидных коммерческих интересов компании эксперты в области информационной безопасности указывают на действительно существующие опасности в этой среде.
В частности, Тим Рэйнс (Tim Rains) в Microsoft Security Blog указал на тот факт, что после прекращения выхода обновлений к системе у любой новой угрозы «нулевой день», когда она наиболее опасна, будет длиться вечно, ведь уяязвимость самой операционной системы разработчик закрывать уже не будет. Сейчас Microsoft выпускает обновления для всех своих продуктов одновременно, но с того момента, как обновления станут выходить только для Windows 7 и Windows 8, хакеры смогут изучить эти обновления и проверить, существует ли «дыра» в безопасности, которую они закрывают, в Windows XP. Такая практика, неофициально называемая «угроза первого дня», существует и сейчас, ведь не все пользователи скачивают и устанавливают обновления для своего программного обеспечения в день их выхода, чем пользуются киберпреступники, изучающие патчи и применяющие найденные в процессе уязвимости на пользователях, не успевших обновиться. Однако в случае с ПО, к которому обновления не выйдут никогда, преступники могут даже не торопиться – жертва всё равно никуда от них не денется. Единственным вопросом стаётся «кроссплатформерность» уязвимостей, на которые будут направлены патчи к Windows 7 и Windows 8. Разумеется, точно заранее предсказать процент совместимости невозможно, но можно использовать уже существующие данные и дать приблизительный прогноз. В промежуток между июлем 2012 года и июлем 2013 года по данным Microsoft Windows XP являлся объектом новых атак в 45 случаях, при этом 30 из них также влияли на Windows 7 и Windows 8. Получается, что такой сценарий развития событий, описываемый экспертом компании, является вполне вероятным, и традиционные средства защиты от киберугроз очень быстро потеряют свою актуальность. Однако Windows XP всё равно не останется абсолютно беззащитной – ряд производителей антивирусных решений сообщили о своих планах поддерживать свои продукты для Windows XP ещё как минимум несколько лет, что поможет пользователям избежать грубых атак с применением вредоносного кода, а уже существующие решения защиты от вторжений на уровне хоста, расчитанные как раз для защиты от угроз нулевого дня и таргетированных атак, продолжат работать вне зависимости от наличия или отсутствия обновлений от Microsoft.
Согласно многочисленным заявлениям Microsoft, пользователи Windows XP, до сих пор не мигрировавшие с этой операционной системой, уже практически опоздали. Многие организации и домашние пользователи уже перешли на Windows 7, усиливается тренд перехода на Windows 8, но огромное количество человек и компаний продолжают использовать на своих компьютерах Windows XP, а именно, согласно данным NetMarketShare, 31,22% всех стационарных компьютеров. При этом в сентябре этого года данный показатель составлял 31,42%, так что с текущими темпами отказа от Windows XP этот процесс может занять долгие годы. По словам Microsoft, полноценный переход на другую версию операционной системы Windows может, в зависимости от размера организации, занять до 6 месяцев, а поддержка XP заканчивается, напомним, уже 8 апреля 2014 года. Кроме того, необходимо обратить внимание на совместимость отдельного программного обеспечения с новыми версиями операционной системы, ведь новые программы или их версии могут привести к дополнительным финансовыми тратам, лишним трудозатратам, потерянному времени и упущенной выгоде. Отдельной сложностью может стать выбор между 7 и 8 – 8 мобильнее и перспективнее, но 7 надёжнее и проще в миграции. При частичном переходе части компьютерного парка на 8 может возникнуть ситуация, в котором сисадминам понадобится поддерживать одновременно три операционных системы, что очевидным образом повлияет на работоспособность сотрудников и риски вторжения извне.
Единственным способом избежать подобных проблем при миграции является составление списка всех необходимых в работе сотрудникам программ с дальнейшими официальными запросами к вендорам о поддержке их ПО новыми версиями ос от Microsoft. В случае необходимости апгрейда его лучше произвести заранее. Если же получить ответ не представляется возможным, имеет смысл создать тестовую машину для проверки всех программ, находящихся под вопросом, но это может занять дополнительные полгода.
Ещё одно решение, имеющее все шансы оказаться необходимым – создание виртуальной машины с операционной системой, на которую планируется переход, заранее – с целью дать сотрудникам возможность опробовать новые версии программного обеспечения и привыкнуть к новому интерфейсу. Такой подход был опробован в City of Sydney при миграции около 1900 машин с XP на Windows 7, и он оправдал себя. Другим путём пошли в Campari Australiaпри переходе на Windows 8 – от каждого департамента было выбрано по одному сотруднику, который впоследствии обучился интерфейсу Windows 8 напрямую у Microsoft и в дальнейшем обучал всех остальных сотрудников. При этом самой сложной частью такого подхода оказалось обучение «супер-пользователей», о которых идёт речь – очевидно, интерфейс Windows 8 не самый простой в освоении для продвинутых пользователей.
Так какие же проблемы поджидают компьютеры, продолжающие использовать Windows XP после 8 апреля 2013 года? В первую очередь, драйвера для нового «железа» очень скоро перестанут появляться, что приведёт к конфликтам совместимости. Так уже происходило с Windows 98 и Windows 2000, и хотя сторонние решения обходили некоторые проблемы с драйверами, гарантированно помочь во всех случаях у них не получалось. Большая часть производителей ПО перестанут тестировать свои разработки на Windows XP, а значит, нет никакой уверенности в том, что новые версии самого разного ПО будут работать на машинах с XP.
Кроме того, Windows XP – самая популярная операционная система для банкоматов и прочих устройств самообслуживания. Согласно словам Роберта Джонстона (Robert Johnston), руководителя маркетингом в компании NCR, более 95% банкоматов во всём мире до сих пор используют Windows XP. Windows XP Embedded, «урезанная» версия этой операционной системы, также крайне популярна в подобных системах, её поддержка закончится чуть позже – в начале 2016 года, что даёт чуть больше времени на поиск решения, но проблема остаётся той же. Банкоматов в мире насчитывается около 3 миллионов, и задача не исчерпывается необходимостью обновлять программное обеспечение на каждом из них один за другим. Многие банкоматы просто не смогут использовать Windows 7 или более поздние операционные системы от Microsoft, а значит, цена миграции будет варьироваться от нескольких сотен долларов в случае, если конфигурация оборудования позволяет обновить только ПО, до нескольких тысяч долларов, если само оборудование требует замены. При этом не делать ничего для владельцев банкоматов – недопустимо, ведь Windows XP сама по себе не способна защитить программное обеспечение банкоматов от информационных угроз после завершения поддержки этой операционной системы, а финансовые потери от уменьшения доверия к организации начнут происходить даже раньше, чем до банкоматов дойдёт вредоносный код злоумышленников. Напомним, что согласно отчёту экспертов ATMIA за 2012 год логические угрозы вышли на третье место среди всех угроз для банкоматов.
Майкл Сильвер (Michael Silver), эксперт компании Gartner, соглашается с утверждением, что использование Windows XP после прекращения поддержки создаст новые риски для использующих эту ОС компьютеров, но такие риски можно нивелировать до определённой степени. Например, таким машинам можно отключить возможность получать электронную почту или выходить в Интернет, что автоматически повысит безопасность пользователя, ведь основные атаки происходят через эти каналы. Если же у пользователя есть необходимость выходить в интернет и использовать интернет-браузеры, следует запретить использование Internet Explorer 6, 7 и 8. Также желательно защитить администраторскую учётную запись на этом компьютере и настроить компьютер так, чтобы после каждой перезагрузки все сделанные на нём изменения отменялись. Подобные минимальные меры защиты компьютера могут иметь очень высокую эффективность для предотвращения нарушения работоспособности программного обеспечения. Также возможно использование специализированного ПО, призванного запретить любые изменения в программной среде системы вне зависимости от источника этих изменений, что даст ещё более надёжную защиту даже для систем без традиционных средств защиты вроде антивирусов.
Некоторые компьютеры уже настолько старые, что возможности перейти на Windows 7 или 8 y них просто нет, а со своими текущими функциями после отмены поддержки Microsoft по каким-либо причинам они справляться уже не смогут. Очевидным решением в таком случае может стать превращение компьютера в сетевое хранилище, но нельзя забывать о трёх вещах – безопасность, отсутствие в XP поддержки жёстких дисков объёмом больше 2 терабайт.
Однако не все готовы и желают переходить с проверенной и привычной системы, что влечёт за собой ещё и расходы на новое оборудование и программное обеспечение, и при этом не все готовы покупать отдельное защитное программное обеспечение, нацеленное на защиту от таргетированных атак и нулевого дня. Китайское Государственное бюро интеллектуальной собственности (State Copyright Buerau of China’s government) заявляет, что Microsoft своими действиями подвергает пользователей серьёзным угрозам информационной безопасности. Напомним, что в Китае около 54% населения использует Windows XP, а 38% рынк принадлежит операционной системе Windows 7, базовую версию которой компания Microsoft недавно прекратила продавать в этом регионе. При этом речь идёт вовсе не только о домашних пользователях – целые государственные департаменты в Китае работают практически исключительно на Windows XP. Китайские чиновники заявляют, что Microsoft должна продлить поддержку Windows XP и возобновить продажи Windows 7, поскольку обновление до Windows 8 повлечёт за собой слишком большие расходы. На данный момент Windows 8 занимает меньше 3% китайского рынка операционных систем.
Разумеется, следование подобным запросам не соответствует интересам компании Microsoft, которая заинтересована в продаже своих новых продуктов. Кто виноват в подобных ситуациях и чт должна сделать каждая из заинтересованных сторон – эти вопросы остаются открытыми, но на решение подобных вопросов остаётся всё меньше времени.
В заключение остаётся только добавить, что наша компания не планирует прекращать поддержку наших решений, созданных специально под Windows XP, и выход в этом году решения SafenSoft for Windows XP Embedded демонстрирует серьёзность наших намерений. Слишком большое количество компьютеров, управляющих важнейшими элементами инфраструктуры банков, предприятий, заводов и электростанций работает под управлением именно этой системы, и маловероятно, что апрель 2014-го года станет последним месяцем её применения. А вот любое нарушение в работе таких систем может привести – и уже приводит – к очень серьёзным последствиям.