Názory k článku Cnews FM: Podpora Windows 7 skončila. Je čas začít panikařit? [podcast]
-
Tak tedy první mudrlant v diskuzi... :)
Stálo by za zmínku ujistit uživatele Windows 7, kteří nemají zapnutý Windows Update, že jich se konec podpory, alespoň zatím, nijak nedotkne.
A dovolil bych si menší polemiku s tímto:
"...i když budete mít aktuální antivirus, a i když budete mít aktuální webovej prohlížeč, tó fakt nepodlíhejte pocitu falešnýho bezpečí, že vás todleto vochrání, jó jako pravděpodobně vás todle stejně neochrání. Před něčím možná ano, ale ale ten děravej systém je zásadní problém."
Vždy záleží na povaze chyby. Už si nepamatuji, kdy (jestli) se objevila poslední vzdáleně zneužitelná chyba pro Windows 7 SP1 (pro XP to byl snad Blaster nebo Sasser). Tzn. uživatel nic nedělal a jen připojil PC do kompromitované sítě. Co se stalo? Vir běžící na jiném PC v síti přistupoval k OTEVŘENÉMU portu, kde běžela zranitelná služba MS Windows s dírou. Pak se PC nakazil. A to platí do dneška, když nejsou otevřené porty se zranitelnými službami, uživatel se nemusí ničeho obávat i kdyby používal Windows 98.
Aby se mohl konzumovat obsah Internetu, je potřeba tento obsah stahovat na lokální PC, zpracovávat ho a zobrazovat. To je druhý způsob možného průniku nechtěného SW do PC "na vyžádání uživatele". Existují zákeřné kódy v Javascriptu, které se snaží využít díry v prohlížečích, a proto by měl být prohlížeč vždy aktuální. Pokud soubor stažený z Internetu budeme zpracovávat jiným programem než samotným prohlížečem, je potřeba aby tento externí program (přehrávač, tabulkový editor, PDF reader atd.) byl také plně aktualizovaný, kde, s trochou štěstí, bude zneužívaná chyba již opravena.
Antiviry prochází obsah stažený z Internetu a snaží se v něm odhalovat zákeřný kód. Bohužel tento způsob ochrany je poněkud nespolehlivý a náročný na výkon PC. Pokud má uživatel jistou sebekázeň v tom, co kde stahuje, bez antiviru se klidně obejde.
Aktualizace přes Windows update jsou pouze na samotné součásti systému (pár výjimek potvrzujících pravidlo byla distribuce FlashPlayeru). Proto bych nepodléhal falešnému pocitu bezpečí ani v podporovaném a záplatovaném Windows.
Bezpečí se zvýší zastavením nepotřebných služeb, které se zbytečně vystavují světu na nějakém otevřeném portu (hodí se alespoň podívat, co vypisuje program TCPView - pochází přímo od MS).
Dnes se pojem bezpečnost stal už takový buzzword, pod kterým si mnoho lidí (a možná i autorů ICT zaměřených magazínů :) ) neumí představit nic moc konkrétního a pak padají taková hysterizující varování jako "ale ten děravej systém je zásadní problém". Není :) -
@gi Za posledního 1/2 roku byly 2 chyby toho typu (uživatel nemusí na nic klikat), obě v RDP. O jedné kluci mluvili, druhá je čerstvá (a už záplatovaná): https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0611
Naštěstí většinu domácích uživatelů od toho ochrání jejich router, který má firewall a jsou ještě za NATem. Ale tak se spousta systémů vystrčených přímo do internetu najde a také v lokálních sítích má takové šíření většinou zelenou.
Tohle bude myslím ještě velká legrace s IPV6, kde se NAT moc nepoužívá (samozřejmě NAT není firewall) a firewally mají různá podivné nastavení, jak s tím ještě výrobci nemají moc zkušeností. Implementace a nastavení IPV6 je složitější jak IPV4, ačkoli se to propagátoři snaží občas bagatelizovat.
Když byla řeč o IE, tak ten má také čerstvě 0-day zranitelnost: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001 -
Trochu schyzofrenie Petre, kdyz na jednom miste rikas, ze te MS podrazil, kdyz vydal zaplatu pro nepodporovany XP a na druhem miste rikas, ze tim, ze nekdo provozuje nepodporovany system, tak ohrozuje nejen sebe, ale i ostatni. Proc asi Microsoft tu sitovou samba zaplatu vydal i pro XP? Protoze se snazil ochranit podporovane systemy, aby se od nepodporovanych nemohly nakazit a nejednodussi reseni bylo tu zaplatu nahrat i na ten nepodporovany system.
U nas ve firme stovky pocitacu, Windows 10 je jen na zlomku, dal se jede na Windows 7, rozsirena podpora pro firmy se nekoupila, IT to vubec neresi. Takze ono to nebude tak horky. Jiste jakmile dojde k prvnim pripadum zneuziti, tak se to resit bude, ale jeste to potrva.
Doma jsem 7.1.2020 tyden pred koncem podpory s Windows 7 skoncil. Ne ze bych chtel, ale blue screen po startu a uz to nerozebehnu, ani nouzak nejde. Jiste je to nahoda, system nepreinstalovavany jsem tam mel snad 8 let, ale je to "pekna" nahoda, ze to skoncilo tak "stylove". :-D
Nicmene uz mam v dualbootu nejakou dobu i Win10, takze zadny veky drama nebylo, jen jsem plynule presel na Win10 a v dubnu az vyjde Ubuntu 20.04 LTS, tak misto Win 7 dam do dualbootu linux, pohoda. ;-) -
Já si myslim, že to tak horké nebude sám jsem běžel na windows xp 2 roky po ukončeni a nic se nestalo a ani že by odcizil nějake data,proč by asi někdo utočil na nějakeho vandráka z ČR a na jeho PC ,kord když jestě pár roku bude podpora ze strany jiných vyvojařu třeba firefox ,avast podporoval windows xp min 2 roky
-
Další možností je Linux. Třeba Mint, Manjaro nebo MX Linux.
https://www.slant.co/versus/2706/18538/~manjaro-linux_vs_linux-mint
https://distrowatch.com/table.php?distribution=mx
Drtivá většina aplikací má své Linuxové alternativy a nebo běží přes Wine. I některé hry lze rozběhnout pomocí https://appdb.winehq.org/ -
KamilZ: O jaké přesně chybě se zmiňovali? Co se týče druhé, tak tam se jasně píše "when a user connects to a malicious server". Čili pokud se uživatel nebude snažit připojovat přes RDP na server útočníka, nic mu nehrozí.
Používat již neaktulizovaný Internet Explorer (MS již oznámil end-of-life) se samozřejmě nesmí. Prohlížeč musí být vždy aktuální a nejlépe od někoho s dostatečnými schopnostmi a zdroji k utáhnutí vývoje a k zajištění rychlých reakcí v případě objevení bezpečnostního problému. -
Neříkali přímo číslo, ale myslím, že se zmiňovali o loňském CVE-2019-0708 ( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0708 ) , chyba známá jako BlueKeep, což byl problém od XP po Windows 7, včetně serverových verzí (demo https://www.youtube.com/watch?v=syF6rSM0JSM ).
CVE-2019-9510 byla také vypečená, byť to není tento typ problému: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9510 (demo https://www.youtube.com/watch?v=Vx6YQ595phw )
K CVE-2020-0611 - OK, máš pravdu. -
Tak přeci jen důvod proč vypínat RDP. A já myslel, že jsem zbytečně paranoidní :) Každopádně NAT to naštěstí zachrání. Čím méně toho v systému běží s otevřeným portem, tím lépe.
Druhá "an attacker with access to a system being used as a Windows RDP client can gain access to a connected remote system", takže se to také většiny domácích uživatelů vůbec netýká. To je problém provozovatele RDP serveru, že se mu tam připojí legitimní uživatel, který pak zákeřným chováním získá plný přístup (jestli jsem to dobře pochopil). -
tak se uvidi,ale já si myslim,že kdyby se vyskytla velká chyba tak microsoft vydá zaplatu pro všechny jako tomu bylo u windows xp a já stejnak ani 10ky přecházet nemůžu z důvodu že monitor ani po všech možnosti nastaveni monitoru (LCD Philips 1366x768 60hz) i grafiky i zkoušeni jine grafiky nepobira nejspiš ty fonty,že z toho bolí oči ,psal jsem to microsoftu a udajně to proberou s experty,tak se uvidi
-
To je často mylný předpoklad. 2FA Tě (většinou) ochrání před tím, že někdo uhodne heslo (nebo někde unikne), ale neuchrání Tě, pokud se Ti někdo nabourá do PC (třeba přes díru v RDP, zranitelnosti v prohlížeči, nalákáním na spuštěním aplikace, ...) a ukradne Ti například celou session v prohlížeči. Tam Ti SMS nepomohou, protože si vezme tvůj stav po přihlášení a úplně autentizaci obejde. Takže 2FA neznamená, že jsi v bezpečí. Samozřejmě, že kde je 2FA, tak ho používat, ale není to univerzální spása.
Návody a tipy
23. 10. 2024
| online
31. 7. 2024
| online
6. 7. 2024
| online
ČLÁNKY DO MAILU