Cnews FM: Podpora Windows 7 skončila. Je čas začít panikařit? [podcast]

Tenhle podcast už asi děláme dlouho, protože pohřbíváme další operační systém z rodiny Windows. Tentokrát jsou to oblíbené Sedmičky, které si tímto připomínáme.

18
Ilustrační foto (foto: Aleviva-Medien / Pixabay)
Ilustrační foto (foto: Aleviva-Medien / Pixabay)

Program pořadu

Jsou to necelé tři roky, kdy jsme se rozloučili s Windows Vista. Teď se loučíme s jeho přímým pokračovatelem. Windows 7 se už nedočká žádných dalších záplat, pokud ovšem nejste velká firma ochotná platit za dodatečnou podporu nemalé peníze po dobu dalších až tří let. V tomto díle podcastu Cnews FM si připomínáme vznik systému, čím byl zajímavý a také jeho odchod.

Tento díl si můžete stáhnout ve formátu MP3 (42 MB) nebo OGG (32 MB), případně použijte přehrávač níže.

Minulý díl Cnews FM: Co nás zaujalo na veletrhu CES 2020

Cnews FM: Podpora Windows 7 skončila. Je čas začít panikařit? [podcast]
Ohodnoťte tento článek!
4.6 (91.11%) 9 hlas/ů

18 KOMENTÁŘE

  1. Tak tedy první mudrlant v diskuzi… 🙂

    Stálo by za zmínku ujistit uživatele Windows 7, kteří nemají zapnutý Windows Update, že jich se konec podpory, alespoň zatím, nijak nedotkne.

    A dovolil bych si menší polemiku s tímto:
    “…i když budete mít aktuální antivirus, a i když budete mít aktuální webovej prohlížeč, tó fakt nepodlíhejte pocitu falešnýho bezpečí, že vás todleto vochrání, jó jako pravděpodobně vás todle stejně neochrání. Před něčím možná ano, ale ale ten děravej systém je zásadní problém.”

    Vždy záleží na povaze chyby. Už si nepamatuji, kdy (jestli) se objevila poslední vzdáleně zneužitelná chyba pro Windows 7 SP1 (pro XP to byl snad Blaster nebo Sasser). Tzn. uživatel nic nedělal a jen připojil PC do kompromitované sítě. Co se stalo? Vir běžící na jiném PC v síti přistupoval k OTEVŘENÉMU portu, kde běžela zranitelná služba MS Windows s dírou. Pak se PC nakazil. A to platí do dneška, když nejsou otevřené porty se zranitelnými službami, uživatel se nemusí ničeho obávat i kdyby používal Windows 98.

    Aby se mohl konzumovat obsah Internetu, je potřeba tento obsah stahovat na lokální PC, zpracovávat ho a zobrazovat. To je druhý způsob možného průniku nechtěného SW do PC “na vyžádání uživatele”. Existují zákeřné kódy v Javascriptu, které se snaží využít díry v prohlížečích, a proto by měl být prohlížeč vždy aktuální. Pokud soubor stažený z Internetu budeme zpracovávat jiným programem než samotným prohlížečem, je potřeba aby tento externí program (přehrávač, tabulkový editor, PDF reader atd.) byl také plně aktualizovaný, kde, s trochou štěstí, bude zneužívaná chyba již opravena.

    Antiviry prochází obsah stažený z Internetu a snaží se v něm odhalovat zákeřný kód. Bohužel tento způsob ochrany je poněkud nespolehlivý a náročný na výkon PC. Pokud má uživatel jistou sebekázeň v tom, co kde stahuje, bez antiviru se klidně obejde.

    Aktualizace přes Windows update jsou pouze na samotné součásti systému (pár výjimek potvrzujících pravidlo byla distribuce FlashPlayeru). Proto bych nepodléhal falešnému pocitu bezpečí ani v podporovaném a záplatovaném Windows.

    Bezpečí se zvýší zastavením nepotřebných služeb, které se zbytečně vystavují světu na nějakém otevřeném portu (hodí se alespoň podívat, co vypisuje program TCPView – pochází přímo od MS).

    Dnes se pojem bezpečnost stal už takový buzzword, pod kterým si mnoho lidí (a možná i autorů ICT zaměřených magazínů 🙂 ) neumí představit nic moc konkrétního a pak padají taková hysterizující varování jako “ale ten děravej systém je zásadní problém”. Není 🙂

  2. @gi Za posledního 1/2 roku byly 2 chyby toho typu (uživatel nemusí na nic klikat), obě v RDP. O jedné kluci mluvili, druhá je čerstvá (a už záplatovaná): https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0611

    Naštěstí většinu domácích uživatelů od toho ochrání jejich router, který má firewall a jsou ještě za NATem. Ale tak se spousta systémů vystrčených přímo do internetu najde a také v lokálních sítích má takové šíření většinou zelenou.

    Tohle bude myslím ještě velká legrace s IPV6, kde se NAT moc nepoužívá (samozřejmě NAT není firewall) a firewally mají různá podivné nastavení, jak s tím ještě výrobci nemají moc zkušeností. Implementace a nastavení IPV6 je složitější jak IPV4, ačkoli se to propagátoři snaží občas bagatelizovat.

    Když byla řeč o IE, tak ten má také čerstvě 0-day zranitelnost: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001

    • KamilZ: O jaké přesně chybě se zmiňovali? Co se týče druhé, tak tam se jasně píše “when a user connects to a malicious server”. Čili pokud se uživatel nebude snažit připojovat přes RDP na server útočníka, nic mu nehrozí.

      Používat již neaktulizovaný Internet Explorer (MS již oznámil end-of-life) se samozřejmě nesmí. Prohlížeč musí být vždy aktuální a nejlépe od někoho s dostatečnými schopnostmi a zdroji k utáhnutí vývoje a k zajištění rychlých reakcí v případě objevení bezpečnostního problému.

  3. Trochu schyzofrenie Petre, kdyz na jednom miste rikas, ze te MS podrazil, kdyz vydal zaplatu pro nepodporovany XP a na druhem miste rikas, ze tim, ze nekdo provozuje nepodporovany system, tak ohrozuje nejen sebe, ale i ostatni. Proc asi Microsoft tu sitovou samba zaplatu vydal i pro XP? Protoze se snazil ochranit podporovane systemy, aby se od nepodporovanych nemohly nakazit a nejednodussi reseni bylo tu zaplatu nahrat i na ten nepodporovany system.

    U nas ve firme stovky pocitacu, Windows 10 je jen na zlomku, dal se jede na Windows 7, rozsirena podpora pro firmy se nekoupila, IT to vubec neresi. Takze ono to nebude tak horky. Jiste jakmile dojde k prvnim pripadum zneuziti, tak se to resit bude, ale jeste to potrva.

    Doma jsem 7.1.2020 tyden pred koncem podpory s Windows 7 skoncil. Ne ze bych chtel, ale blue screen po startu a uz to nerozebehnu, ani nouzak nejde. Jiste je to nahoda, system nepreinstalovavany jsem tam mel snad 8 let, ale je to “pekna” nahoda, ze to skoncilo tak “stylove”. 😀
    Nicmene uz mam v dualbootu nejakou dobu i Win10, takze zadny veky drama nebylo, jen jsem plynule presel na Win10 a v dubnu az vyjde Ubuntu 20.04 LTS, tak misto Win 7 dam do dualbootu linux, pohoda. 😉

  4. Já si myslim, že to tak horké nebude sám jsem běžel na windows xp 2 roky po ukončeni a nic se nestalo a ani že by odcizil nějake data,proč by asi někdo utočil na nějakeho vandráka z ČR a na jeho PC ,kord když jestě pár roku bude podpora ze strany jiných vyvojařu třeba firefox ,avast podporoval windows xp min 2 roky

    • Jestli někdo odcizil data se obtížně zjišťuje. Většinou se na to přijde až na základě zablokování účtu u poskytovatele služeb nebo uveřejněním soukromích dat. I nějaký vandrák z ČR má cenu jako “zombie” zařízení, když má spolehlivé a rychlé připojení.

      • jasny chápu,jako ani za dob windows xp 2 roky po jsem nezjistil ,že by někdo odcizil hesla,a i kdyby někdo náhodou odcizil heslo třeba od Bankovnictvi,tak sms kod asi těžko obejde ,většinu službe mám zabezpečenou přes sms kody tj i facebook ,takže předpokaldam že takové oveřeni se nedá obejit

        • To je často mylný předpoklad. 2FA Tě (většinou) ochrání před tím, že někdo uhodne heslo (nebo někde unikne), ale neuchrání Tě, pokud se Ti někdo nabourá do PC (třeba přes díru v RDP, zranitelnosti v prohlížeči, nalákáním na spuštěním aplikace, …) a ukradne Ti například celou session v prohlížeči. Tam Ti SMS nepomohou, protože si vezme tvůj stav po přihlášení a úplně autentizaci obejde. Takže 2FA neznamená, že jsi v bezpečí. Samozřejmě, že kde je 2FA, tak ho používat, ale není to univerzální spása.

          • ano,ale třeba u bankovnictvi,kde nejsem stále přihlašen a ani heslo uložene nemám,ale i kdyby zjistil ,tak do bankovnictvi by se ani nedostal přece ? protože třeba má banka má třeba 15min než tě to automaticky odhlasí a pak znova přihlašeni s ověřenim přes sms

            • Session má smysl unést jen tehdy, pokud je aktivní (jsi přihlášený). Facebook nebo jiné služby (e-mail) předpokládám necháváš pro vyšší pohodlí trvale přihlášené, nebo se tam poctivě odhlašuješ?

              Ale i ta banka by šla obejít, pokud by Ti hackli PC a zaměřili se na Tebe. Sice podle toho, co a jak píšeš, u Tebe nepředpokládám naletění na phishing. Mohou Ti ale Ti třeba provést DNS cache poisoning a pak počkají, až se pokusíš přihlásit a zadáš jim tam i kód z SMS, který obratem použijí do pravého bankovnictví. Certifikát předpokládám pokaždé nekontroluješ až na úroveň SN a vystavitele.
              Nebo jen počkají, až se budeš přihlašovat do pravého bankovnictví, ale zablokují poslední krok – odeslání kódu z SMS a opět ho využijí pro sebe.
              Je samozřejmě otázka, co tam mohou dál provést, většinou je pro kritičtější kroky zásahy opět vynucena SMS. Ale pokud budeš dávat příkaz k úhradě a oni ho vhodně pozmění, aby sis toho v SMS na první pohled nevšiml (přihodí nulu), tak to můžeš přehlédnout.

              Těch možností je dost. Zatím je stále nejúčinnější obyčejný phishing a soc. inženýrství.

            • chápu,jako je pravda že se neodhlašuju z facebooku apod,ale kdyby někdo se pokusil třeba DNS cache poisoning ,tak bych to pak i nejspiš poznal jestli dany web ,který navstěvuju má https protokol či ne ? Já si myslim,že pokud uživatel je fakt opatrny,tak se nic stát nemůže,když se mě nestalo 2 roky nic ani u windows xp po ukončení podpory tenkrát

        • tak se uvidi,ale já si myslim,že kdyby se vyskytla velká chyba tak microsoft vydá zaplatu pro všechny jako tomu bylo u windows xp a já stejnak ani 10ky přecházet nemůžu z důvodu že monitor ani po všech možnosti nastaveni monitoru (LCD Philips 1366×768 60hz) i grafiky i zkoušeni jine grafiky nepobira nejspiš ty fonty,že z toho bolí oči ,psal jsem to microsoftu a udajně to proberou s experty,tak se uvidi