Por que a versão de 64 bits do Windows é mais segura
A maioria dos novos PCs já vem com a versão de 64 bits do Windows - Windows 7 e 8 - há anos. As versões de 64 bits do Windows não se limitam a aproveitar a memória adicional. Eles também são mais seguros que as versões de 32 bits.
Os sistemas operacionais de 64 bits não são imunes a malware, mas possuem mais recursos de segurança. Parte disso também se aplica a versões de 64 bits de outros sistemas operacionais, como o Linux. Usuários de Linux ganharão vantagens de segurança mudando para uma versão de 64 bits de sua distribuição Linux.
Alinhamento de Layout de Espaço de Endereço
O ASLR é um recurso de segurança que faz com que os locais de dados de um programa sejam organizados aleatoriamente na memória. Antes do ASLR, os locais de dados de um programa na memória podiam ser previsíveis, o que tornava os ataques a um programa muito mais fáceis. Com o ASLR, um invasor precisa adivinhar o local correto na memória ao tentar explorar uma vulnerabilidade em um programa. Um palpite incorreto pode resultar na falha do programa, para que o invasor não possa tentar novamente.
Esse recurso de segurança também é usado em versões de 32 bits do Windows e outros sistemas operacionais, mas é muito mais poderoso em versões de 64 bits do Windows. Um sistema de 64 bits tem um espaço de endereçamento muito maior do que um sistema de 32 bits, tornando o ASLR muito mais eficiente.
Assinatura obrigatória de motorista
A versão de 64 bits do Windows impõe a assinatura obrigatória do driver. Todo o código do driver no sistema deve ter uma assinatura digital. Isso inclui drivers de dispositivos no modo kernel e drivers de modo de usuário, como drivers de impressora.
A assinatura obrigatória do driver impede que drivers não assinados fornecidos pelo malware sejam executados no sistema. Os autores de malware terão que ignorar o processo de assinatura por meio de um rootkit de inicialização ou conseguir assinar os drivers infectados com um certificado válido roubado de um desenvolvedor de driver legítimo. Isso dificulta a execução de drivers infectados no sistema.
A assinatura do driver também pode ser aplicada em versões de 32 bits do Windows, mas não é provável que haja compatibilidade contínua com drivers antigos de 32 bits que podem não ter sido assinados.
Para desabilitar a assinatura de driver durante o desenvolvimento em edições de 64 bits do Windows, você teria que anexar um depurador de kernel ou usar uma opção de inicialização especial que não persiste entre reinicializações do sistema.
Proteção de Patch do Kernel
O KPP, também conhecido como PatchGuard, é um recurso de segurança encontrado apenas em versões de 64 bits do Windows. O PatchGuard impede que softwares, mesmo drivers rodando no modo kernel, consertem o kernel do Windows. Isso sempre foi sem suporte, mas é tecnicamente possível em versões de 32 bits do Windows. Alguns programas antivírus de 32 bits implementaram suas medidas de proteção antivírus usando o patch de kernel.
O PatchGuard impede que os drivers de dispositivos consertem o kernel. Por exemplo, o PatchGuard impede que os rootkits modifiquem o kernel do Windows para incorporar-se no sistema operacional. Se uma tentativa de correção do kernel for detectada, o Windows será desligado imediatamente com uma tela azul ou reinicializar.
Essa proteção pode ser implementada na versão de 32 bits do Windows, mas não é provável que continue a compatibilidade com o software legado de 32 bits que depende desse acesso.
Proteção de Execução de Dados
A DEP permite que um sistema operacional marque certas áreas da memória como “não executáveis” definindo um “NX bit”. Áreas de memória que supostamente contêm dados apenas não serão executáveis..
Por exemplo, em um sistema sem DEP, um invasor pode usar algum tipo de estouro de buffer para gravar código em uma região da memória de um aplicativo. Este código poderia então ser executado. Com o DEP, o invasor poderia gravar o código em uma região da memória do aplicativo - mas essa região seria marcada como não executável e não poderia ser executada, o que impediria o ataque..
Os sistemas operacionais de 64 bits possuem DEP baseada em hardware. Embora isso também seja suportado em versões de 32 bits do Windows, se você tiver uma CPU moderna, as configurações padrão serão mais rigorosas e a DEP estará sempre habilitada para programas de 64 bits, enquanto está desabilitada por padrão para programas de 32 bits por motivos de compatibilidade.
O diálogo de configuração da DEP no Windows é um pouco enganador. Como afirma a documentação da Microsoft, a DEP é sempre usada para todos os processos de 64 bits:
“As definições de configuração do DEP do sistema aplicam-se apenas a aplicativos e processos de 32 bits quando executados em versões de 32 bits ou 64 bits do Windows. Em versões de 64 bits do Windows, se a DEP aplicada por hardware estiver disponível, ela sempre será aplicada a processos de 64 bits e espaços de memória do kernel, e não haverá configurações do sistema para desativá-la. ”
WOW64
As versões de 64 bits do Windows executam o software Windows de 32 bits, mas o fazem por meio de uma camada de compatibilidade conhecida como WOW64 (Windows de 32 bits no Windows de 64 bits). Essa camada de compatibilidade impõe algumas restrições a esses programas de 32 bits, o que pode impedir que o malware de 32 bits funcione corretamente. O malware de 32 bits também não poderá ser executado no modo kernel - somente programas de 64 bits podem fazer isso em um sistema operacional de 64 bits - portanto, isso pode impedir que alguns malwares de 32 bits mais antigos funcionem corretamente. Por exemplo, se você tiver um CD de áudio antigo com o rootkit da Sony, ele não será capaz de se instalar em uma versão de 64 bits do Windows..
As versões de 64 bits do Windows também descartar o suporte para programas antigos de 16 bits. Além de impedir a execução de vírus antigos de 16 bits, isso também forçará as empresas a atualizar seus antigos programas de 16 bits que poderiam estar vulneráveis e sem correção..
Dada a ampla difusão das versões de 64 bits do Windows, o novo malware provavelmente será capaz de rodar no Windows de 64 bits. No entanto, a falta de compatibilidade pode ajudar a proteger contra malware antigo em estado selvagem.
A menos que você use programas antigos de 16 bits, hardware antigo que oferece apenas drivers de 32 bits ou um computador com uma CPU de 32 bits bastante antiga, você deve usar a versão de 64 bits do Windows. Se você não tem certeza de qual versão está usando, mas tem um computador moderno com Windows 7 ou 8, provavelmente está usando a edição de 64 bits.
É claro que nenhum desses recursos de segurança é à prova de falhas, e uma versão de 64 bits do Windows ainda é vulnerável a malware. No entanto, as versões de 64 bits do Windows são definitivamente mais seguras.
Crédito de imagem: William Hook no Flickr