hit counter
Windows Vista ed NSA: le vere informazioni - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Windows Vista ed NSA: le vere informazioni

Windows Vista ed NSA: le vere informazioni

  • Comments 6
  • Likes

 

OK, lo so, c'era da aspettarselo ... vuoi che una notiziona così - Microsoft e "quella" NSA affiancate sul tema Sicurezza in Windows Vista - non venisse sfruttata al volo dai media (l'articolo originale è del WP; molto più accurato è quello di CNET) e dai blogger (...) per andare a "pescare nel torbido " che tanto fa audience ai giorni nostri ? Like a piece of cake, dicono gli anglosassoni, fin troppo facile ...

Già, ne ho letti diversi di post e commenti, con tutti i livelli possibili e immaginabili di dietrologia ... backdoor, coinvolgimento nei programmi di intercettazione, pezzi di codice scritti dall'NSA, et cetera....

Ecco, vi confesso che proprio con la dietrologia io personalmente non riesco molto a convivere ... certo può intrigare (è per questo che credo sia così di moda in questo periodo), affascina anche me a volte  ... ma vedere il torbido dappertutto senza poter mai avere delle prove che possano inequivocabilmente confermarlo non mi fa star meglio ...mah ... sarò un ingenuo, chissà...

 

Fatemi dire allora due parole su quelle che sono, a mio parere, le vere informazioni utili per un security professional che sono mancate, o non sono state sottolineate abbastanza, in questo tam-tam:

 

L'importanza e il valore della "Security Guide di Windows Vista": 5-6 anni fa, con Windows 2000, il mio lavoro di security advisor mi richiedeva uno sforzo non banale per realizzare ad-hoc le diverse security baseline [N1] che i clienti richiedevano di volta in volta, nei vari scenari operativi e di rischio; la documentazione non abbondava e si dovevano recuperare una per una le informazioni relative alle diverse opzioni di configurazione per 1) analizzare il rischio, 2) comprendere la possibile contromisura e 3) conoscere il relativo impatto sulle funzionalità di sistema. Le checklist di hardening non erano completissime ... (tanto che l'NSA se li era fatte da sola e rappresentavano un valido riferimento per tutti ...). Con il massiccio impegno in area sicurezza che Microsoft ha avviato nel gennaio del 2002 con l'iniziativa del Trustworthy Computing (per ora non ho tempo ... ma rassegnatevi: su questo tema vi annoierò fino al punto di farvi desiderare di non leggere più i miei post ...) questo gap è stato via via colmato in un crescendo di completezza ... la Security Guide di Windows 2000, quella di Windows XP e di Windows Server 2003, e la Threat & Countermeasures Guide che le accompagnava, fino a giungere, appunto, a quella per Windows Vista. Sono 107 pagine di dettaglio pubblicate nello stesso momento in cui è stata resa disponibile la versione di Vista per le aziende: non so quanti di voi l'abbiano già letta (io non ho ancora finito...), ma mi viene da dire "questa sì la possiamo chiamare Security Guidance!!". Se già con le guide precedenti l'NSA aveva già considerato non più necessario farne delle proprie ad-hoc (lo dichiarava sul proprio sito), con questa per Windows Vista la sua collaborazione con MS si è spinta fino ad aiutarla per testare al meglio lo scenario di hardening più complesso, lo Specialized-Security - Limited Functionality (SS-LF), quello richiesto appunto dalle organizzazioni militari/governative, le più paranoiche sugli aspetti di sicurezza: in questo modo questo tipo di organizzazioni può istantaneamente (nella guida c'è perfino un tool per implementare le modifiche di configurazione, il GPOAccelerator Tool) mettere in campo lo scenario più robusto di difesa, con tutto l'aiuto e la documentazione necessaria, un tempo impensabile: non è un valore questo ?

 

Il giusto risalto al Government Security Program: quanti di voi sanno cosa sia ? Sapete che è un'iniziativa che permette agli enti governativi/accademici di accedere al codice sorgente di Windows (per consultazioni e riferimenti, non per modifiche)?

Ritornerò su questo tema ma per ora giochiamo a fare i dietrologi e avalliamo l'ipotesi assurda della backdoor messa da MS a disposizione dell'NSA: cosa direbbero le altre nazioni che sono nel programma (c'è anche l'Italia !)?

Non credo proprio che tutte siano pro-USA e che accetterebbero volentieri una tale situazione ... siamo seri... altro che backdoor...

 

Saludos...

 

 

 [N1] Security baseline: l'insieme delle raccomandazioni per l'hardening di una particolare versione di sistema operativo/applicazione che diventano il documento di riferimento utilizzato in azienda per la configurazione dei sistemi e per ogni nuova installazione.

Comments
  • PingBack from http://puntodivista.wordpress.com/2007/01/19/windows-vista-ed-nsa-le-vere-informazioni/

  • Nel rioccuparmi di tematiche di hardening di sistema operativo ho scoperto che il NIST ha pubblicato

  • Non potevo attendere di leggerla tutta prima di segnalarvi questo importante rilascio documentale: la

  • E' assolutamente doveroso per questo security blog rilanciare la segnalazione di Giorgio della disponibilità

  • Vi segnalo un nuovo programma beta della serie " Solution Accelerators " (risorse gratuite

  • Spero che molti di voi abbiano avuto modo di approfittare di questo lungo ponte per ritemprarsi. Io l'ho

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment