Windows Vista (e Security Guide) Prontos!

Hoje a Microsoft concluiu o desenvolvimento do Windows Vista, o novo sistema operacional cliente da Microsoft para plataformas x86 e x64. Ele vai estar disponível no dia 30 de Novembro para clientes corporativos, e 30 de Janeiro de 2007 para o varejo em geral.

Foram cinco no total cinco anos de desenvolvimento, em um processo que levou segurança como o fator primordial desde o primeiro dia. A arquitetura incorpora em todo o sistema os princípios do menor privilégio, defesa em profundidade e da redução da superfície de ataque. Milhares de modelos de ameaça foram construídos, fuzzing envolvendo mais 100 milhões de padrões diferentes em todos as interfaces possíveis, e ao final o maior pen testing da história.

De todas as melhorias de segurança que o Vista introduz, as que mais me empolgam são as relacionadas à integridade do sistema. Qualquer medida de segurança já nasce morta se o sistema operacional estiver comprometido, e o Vista traz a assinatura obrigatória de todos os drivers e arquivos do sistema e a proteção contra modificação do kernel para proteger o sistema contra ataques de modo kernel (leia-se: rootkits); Mandatory Integrity Control, uma implementação do modelo Biba para proteger a integridade do sistema contra código executado pelos usuários e pelos próprios administradores; e BitLocker para proteção do sistema contra ataques off-line usando um chip TPM.

Agora vai ser a hora de vermos se todo este investimento valeu a pena, e estou especialmente curioso para ver qual vai ser o impacto do Vista na segurança da Internet no Brasil.

P.S. Para quem já quer começar a usar o Vista já, também foi lançado hoje o Windows Vista Security Guide, com toda a documentação necessária para se fazer o hardening do Vista e implementá-lo em um ambiente corporativo.