La mayoría de las PC nuevas se han enviado con Versión de 64 bits de Windows - tanto Windows 7 como 8 - desde hace años. Las versiones de 64 bits de Windows no solo se tratan de aprovechar la memoria adicional. También son más seguras que las versiones de 32 bits.
Los sistemas operativos de 64 bits no son inmunes al malware, pero tienen más funciones de seguridad. Algo de esto también se aplica a las versiones de 64 bits de otros sistemas operativos, como Linux. Los usuarios de Linux obtendrán ventajas de seguridad al cambiar a una versión de 64 bits de su distribución de Linux .
Aleatorización del diseño del espacio de direcciones
ASLR es una función de seguridad que hace que las ubicaciones de los datos de un programa se organicen aleatoriamente en la memoria. Antes de ASLR, la ubicación de los datos de un programa en la memoria podía ser predecible, lo que facilitaba mucho los ataques a un programa. Con ASLR, un atacante tiene que adivinar la ubicación correcta en la memoria cuando intenta explotar una vulnerabilidad en un programa. Una suposición incorrecta puede provocar que el programa se bloquee, por lo que el atacante no podrá volver a intentarlo.
Esta función de seguridad también se usa en versiones de 32 bits de Windows y otros sistemas operativos, pero es mucho más poderosa en versiones de 64 bits de Windows. Un sistema de 64 bits tiene un espacio de direcciones mucho más grande que un sistema de 32 bits, lo que hace que ASLR sea mucho más efectivo.
Firma obligatoria del conductor
La versión de 64 bits de Windows impone la firma obligatoria de controladores. Todo el código de controlador del sistema debe tener una firma digital. Esto incluye los controladores de dispositivos en modo kernel y los controladores en modo usuario, como los controladores de impresora.
La firma obligatoria de controladores evita que los controladores no firmados proporcionados por malware se ejecuten en el sistema. Los autores de malware tendrán que evitar de alguna manera el proceso de firma a través de un rootkit en el momento del arranque o lograr firmar los controladores infectados con un certificado válido robado a un desarrollador de controladores legítimo. Esto dificulta que los controladores infectados se ejecuten en el sistema.
La firma de controladores también podría aplicarse en versiones de 32 bits de Windows, pero no es así, probablemente para una compatibilidad continua con controladores antiguos de 32 bits que pueden no estar firmados.
Para deshabilitar la firma de controladores durante el desarrollo en ediciones de 64 bits de Windows, debería adjuntar un depurador de kernel o use una opción de inicio especial que no persiste en los reinicios del sistema.
Protección de parche de kernel
KPP, también conocido como PatchGuard, es una función de seguridad que solo se encuentra en las versiones de Windows de 64 bits. PatchGuard evita que el software, incluso los controladores que se ejecutan en modo kernel, apliquen parches al kernel de Windows. Esto siempre ha sido incompatible, pero es técnicamente posible en versiones de Windows de 32 bits. Algunos programas antivirus de 32 bits han implementado sus medidas de protección antivirus mediante parches del kernel.
PatchGuard evita que los controladores de dispositivos apliquen parches al kernel. Por ejemplo, PatchGuard evita que los rootkits modifiquen el kernel de Windows para integrarse en el sistema operativo. Si se detecta un intento de parchear el kernel, Windows se apagará inmediatamente con una pantalla azul o se reiniciará.
Esta protección podría implementarse en la versión de 32 bits de Windows, pero no lo ha sido, probablemente para una compatibilidad continua con el software heredado de 32 bits que depende de este acceso.
Protección de ejecución de datos
DEP permite que un sistema operativo marque ciertas áreas de la memoria como "no ejecutables" estableciendo un "bit NX". Las áreas de memoria que se supone que solo contienen datos no serán ejecutables.
Por ejemplo, en un sistema sin DEP, un atacante podría usar algún tipo de desbordamiento de búfer para escribir código en una región de la memoria de una aplicación. Luego, este código podría ejecutarse. Con DEP, el atacante podría escribir código en una región de la memoria de la aplicación, pero esta región se marcaría como no ejecutable y no se podría ejecutar, lo que detendría el ataque.
Los sistemas operativos de 64 bits tienen DEP basado en hardware. Si bien esto también es compatible con las versiones de 32 bits de Windows si tiene una CPU moderna, la configuración predeterminada es más estricta y DEP siempre está habilitado para programas de 64 bits, mientras que está deshabilitado de manera predeterminada para programas de 32 bits por razones de compatibilidad.
El diálogo de configuración de DEP en Windows es un poco engañoso. Como Documentación de Microsoft estados, DEP siempre se utiliza para todos los procesos de 64 bits:
“Los ajustes de configuración del sistema DEP se aplican solo para aplicaciones y procesos de 32 bits cuando se ejecuta en versiones de Windows de 32 o 64 bits. En las versiones de 64 bits de Windows, si está disponible DEP reforzado por hardware, siempre se aplica a los procesos de 64 bits y a los espacios de memoria del kernel y no hay opciones de configuración del sistema para deshabilitarlo ".
WOW64
Las versiones de 64 bits de Windows ejecutan software de Windows de 32 bits, pero lo hacen a través de una capa de compatibilidad conocida como WOW64 (Windows de 32 bits en Windows de 64 bits). Esta capa de compatibilidad impone algunas restricciones a estos programas de 32 bits, lo que puede evitar que el malware de 32 bits funcione correctamente. El malware de 32 bits tampoco podrá ejecutarse en modo kernel (solo los programas de 64 bits pueden hacerlo en un sistema operativo de 64 bits), por lo que esto puede evitar que algunos malware de 32 bits más antiguos funcionen correctamente. Por ejemplo, si tiene un CD de audio antiguo con el rootkit de Sony, no podrá instalarse en una versión de Windows de 64 bits.
Las versiones de 64 bits de Windows también eliminan la compatibilidad con programas antiguos de 16 bits. Además de evitar la ejecución de virus antiguos de 16 bits, esto también obligará a las empresas a actualizar sus antiguos programas de 16 bits que podrían ser vulnerables y no estar parcheados.
Dado lo generalizadas que están ahora las versiones de Windows de 64 bits, es probable que el nuevo malware pueda ejecutarse en Windows de 64 bits. Sin embargo, la falta de compatibilidad puede ayudar a proteger contra el malware antiguo en la naturaleza.
A menos que use programas viejos y chirriantes de 16 bits, hardware antiguo que solo ofrece controladores de 32 bits o una computadora con una CPU de 32 bits bastante antigua, debería usar la versión de 64 bits de Windows. Si no está seguro de qué versión está usando pero tiene una computadora moderna con Windows 7 u 8, probablemente esté usando la edición de 64 bits.
Por supuesto, ninguna de estas funciones de seguridad es infalible y una versión de Windows de 64 bits sigue siendo vulnerable al malware. Sin embargo, las versiones de Windows de 64 bits son definitivamente más seguras.
Credito de imagen: William Hook en Flickr
