Seit ein paar Tagen liegt Windows7 Release Candidate (RC) für mehrere Wochen zum Download und Testen bereit. Wir haben das neue Betriebssystem virtuell und auf einem älteren PC installiert.

Erwartungsgemäss kaum Probleme zeigen sich auf einer einfachen Virtual Machine von Microsoft, dem Virtual PC. Hier kann direkt das heruntergeladene .iso File ab Memorystick oder einer USB-Harddisk in eine VM eingebunden und dann installiert werden. Zu beachten: Die Simpel-VM von Microsoft emuliert nur ein 32-Bit System, es muss also die 32-Bit Version von Windows7 runtergeladen werden. Dabei ist ein Ausdruck oder Screenshot des Produkt Keys aufzubewahren und am Schluss der Installation einzugeben. Das ganze dauert etwas über 20 Minuten.

Harte Ware

Einen Eindruck vom Installationskomfort erhält man allerdings erst auf echter Hardware. Wir verwenden hier die 64-Bit Version von Windows7 und einen angejahrten PC von transtec aus dem Jahr 2006 mit einem Pentium 4 mit 3MHz und 2GByte RAM. Die Installation lässt sich in drei Phasen unterteilen.

1. Intitialisieren und erste Eingaben: Sie besteht aus dem Booten von DVD, ersten Installvorgängen und den Eingaben von Sprache und Installationsmodus (Upgrade / neu mit Sichern einer allfälligen früheren Version). Dauer 3 Minuten.

2. Auspacken und Installieren: Expandig Files, Installing Features, Updates. Mit einem Restart und Preparing for First Use geht diese Phase nach 19 Minuten zu Ende, während denen keine Useraktion erforderlich ist.

3. Letzte Usereingaben und Ferstigstellen: Nun sind noch Angaben wie Kontoname, PW, Produkt Key, Update settings und Zeitzone erforderlich. Nach einigen Harddiskschüben und weiteren 3 Minuten ist das Betriebssystem Gebrauchsfertig installiert.

Checken

Die Installation des Betriebssystems hat 25 Minuten gedauert, bei einem ersten Check funktioniert alles. Wir wollen es aber genauer wissen und hätten gern eine Übersicht über Probleme beim Installieren. Ohne in die Logs gehen ist das über “Problem Reports” möglich. Hier werden über die Lebensdauer einer Installation Probleme gelistet, die auf Wunsch selektiv Microsoft für automatisierte Lösungsvorschläge unterbreitet werden können. Eine mehr technische Sicht bietet der “System Diagnostics Report” der jederzeit generiert werden kann.

Sichtbar werden zwei Treiberprobleme – für ein IPMI Verwaltungs-Interface von Intel und für die inzwischen veraltete serielle Schnittstelle (siehe Bilder unten). Beides möchten wir gar nicht in Betrieb nehmen und verzichten auf eine Suche nach Treibern. Die Maschine ist für den Alltagsgebrauch einsatzfähig.

Ein Labortest ist nie Real Live. Die Installationsprozedur macht aber einen reifen Eindruck. Wie ich in Reviews sehe, ist die Treiberausstattung auch für neuere Geräte ziemlich gut. Die Grundfunktionen sollten sich für Maschinen aus den letzten zwei, drei Jahren out of the Box in Betrieb nehmen lassen.

INFO
Ed Bott: What to expect from Windows 7 (bespricht verrschiedene Aspekte)
c’t heise: Das soll es sein – Der erste Release Candidate von Windows 7 (Review)
Microsoft: What’s New in Windows 7 for IT Pros (Ausführliche Beschreibung)

 Abbildungen: Report Windows

Browsing Security 1 

Das Besuchen (DriveBy) von Websites ist seit längerem der wichtigste Infektionsweg, auf dem Malware in Computer gelangt. Im folgenden sollen die verschiedenen Stufen betrachtet werden, über die der Angriff verlauft. Dabei entsteht ein einfaches Schichtenmodell einer DriveBy Infektion.

Ein Schichtenmodell erleichtert die Risikobeurteilung und zeigt, dass Browsing Security nicht nur den Webbrowser betrifft. Es wird auch sichtbar, dass auf verschiedenen Ebene Abwehr- und Optimierungsmöglichkeiten bestehen.

Der Browser als Eingangsporte kann in ganz unterschiedlichen Szenarien erscheinen. Etwa auch mit Papierbrief, der zum Download eines Programms einlädt. Wir hier von einer Szenario kritischen Verletzlichkeit aus, wie sie bei Internet Explorer oder Firefox immer wieder bekannt werden. Was muss passieren, damit eine noch nicht gepatchte (und allenfalls gar nicht öffentlich bekannte…) Verletzlichkeit ausgenutzt werden kann?

Malware. Gefährliche Malware muss geschrieben und ausgewildert werden. Hier geht die Beliebtheit eines bestimmten Browsers in die Betrachtung ein: für Verletzlichkeiten wenig verbreiteter Browser wird weniger Malware geschrieben.

Kontaktpotential. Wenn nicht umgehend ein Patch bereit liegt muss auf einige Tage hinaus das Kontaktpotential der eigenen Maschinen mit malwarebestückten Websites einschätzt werden. Das Kontaktpotential ist die Überlappung zwischen der Verbreitung der Malware und dem Browsing Horizont der eigenen Maschinen. Der Browsing Horizont wird durch das Verhalten der User und durch allfällige Einschränkungen auf Firewall oder Proxy bestimmt. Üblicherweise entwickelt sich das Kontaktpotential nicht explosionsartig. Es ist wenig wahrscheinlich, dass vielbesuchte Websites behackt und stundenlang Tausende von Maschinen infizieren. Vorherrschendes Muster ist, dass eher marginale Websites über Wochen oder Monate hinweg anfällige Besuchermaschinen anstecken.

Firewall, Proxy. Sie können sowohl das Kontaktpotential durch Blocken von Traffic beschränken

Virenscanner. Der Fall einer öffentlich diskutierten ungepatchten Verletzlichkeiten gehört wohl zu den stärksten Szenen von Virenscannern, weil da mit Hochdruck an Signaturen für sich ausbreitende Exploits gearbeitet wird. Generell darf aber die Wirksamkeit von Virenscannern nicht überschätzt werden – und die Qualitätsunterschiede sind riesig.

Widerstandsfähigkeit, Resilienz. Wir gehen hier ja von der Existenz einer ungepatchten Verletzlichkeit aus. Wenn die Malware auf die Maschine gelangt, können auch Widerstandsmechanismen des Browsers und des Betriebssystems verhindern, dass sie sich installieren kann. Ein Beispiel wäre eine Buffer Overflow, der zwar ausgelöst werden kann, aber wegen Adress-Randomisierung in einer Sackgasse verläuft.

Userintervention. Häufig wird der Download lauffähiger Software vom Browser oder vom Betriebssystem als problematische identifiziert und dem User ein Dialog präsentiert. Stimmt der User dem Install entgegen seinen Interessen zu?

Kompromittierungstiefe. Während unter Adminrechten das ganze System potentiell zugreifbar ist, kann unter Standarduserrechten nur der Userkontext kompromittiert werden. Das ist zwar nicht harmlos (wenn es unentdeckt bleibt) – aber weniger gravierend als eine Kompromittierung des Systems selbst. Ein Löschen des Userkontexts entfernt die Malware; Rootkits können nicht installiert, Virenschutz und Firewalls nicht abgeschaltet werden.

Abschliessend kann festgehalten werden, dass die grosse Masse der Drive By Infektion nicht nach einem Epidemiemuster ablaufen, sonder eher wie das leise Rieseln von Schnee. Es darf auch nicht vergessen werden, dass ein wesentlicher Teil der DriveBy Infektionen (im weiteren Sinn) gar nicht auf einer Verletzlichkeit basieren, sondern auf Social Engineering. Den Usern wird erfolgreich ein Install angeboten.

Das Diagramm zeigt die verschiedenen Schichten, die eine Malware zwischen Produzent und dem Zielsystem durchläuft.