hit counter
Un parere sullo User Account Control (UAC), da ingegnere e non da fisico - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Un parere sullo User Account Control (UAC), da ingegnere e non da fisico

Un parere sullo User Account Control (UAC), da ingegnere e non da fisico

  • Comments 17
  • Likes
 

Devo confessarvi un personale dissidio interno: sotto la  corteccia da ingegnere che mi ritrovo, pulsa un cuore da (mancato) teorico di fisica nucleare. Proprio così: da liceale sognavo di avviarmi alla carriera dello "scienziato", grazie ad una illuminazione  avuta in tenera età su uno dei manuali delle Giovani Marmotte (lo so che vi state rotolando dalle risate ma non sto scherzando ...) che mi ha aperto la mente sulle meraviglie dell'infinitamente piccolo: quark, neutrini, muoni, bosoni, antimateria ... Poi la mia strada si è incrociata con i personal computer atterrati nelle case delle famiglie più d'avanguardia (in realtà non la mia, ma quella di un caro amico, Damiano, sì, sei stato tu e il tuo Sinclair ZX Spectrum a farmi appassionare alla computer science!) e ho sentito come più entusiasmante scommettere sulla scienza applicata che su quella pura, sull'Ingegneria rispetto alla Fisica.

Perché vi ho tediato con questo nostalgico flashback ? Perché nel leggere tutto quanto è stato scritto e bloggato sul tema UAC in questi giorni scorsi ho sentito fare a pugni le mie due anime, quella professionale attuale, acquisita, da ingegnere, e quella potenziale,  innata, da fisico teorico: sto parlando appunto del botta e risposta sugli aspetti di sicurezza dello User Account Control di Windows Vista, tra cui spiccano i contributi della ricercatrice Rutkowska e del mio neo-collega (che onore!) Mark Russinovich. E' un confronto bellissimo, con il livello di approfondimento tecnico che adoro. Lascio ad ognuno di farsi la propria idea, ma fatemi dire la mia.

Parlare da ricercatori della sicurezza e dire che lo UAC sia una funzionalità inutile perché non sia in grado di garantire la sicurezza in quanto potrebbe prestarsi ad essere attaccata (come Mark conferma), mostra il tipico atteggiamento del teorico, di chi si confronta con i problemi puri e lo fa a centinaia di km da terra, incurante della realtà. Nonostante una parte profonda di me (come da introduzione) ami questo tipo di atteggiamento, non mi sento di condividere questo punto di vista: stiamo parlando di tecnologia ossia scienza applicata (computer e sistemi operativi) non di scienza pura. E come vede lo User Account Control un ingegnere che ha visto evolvere il modello di sicurezza dei sistemi operativi Windows da 8 anni a questa parte ? Lo vede come una svolta, una fondamentale innovazione architetturale che si propone di far evolvere il sistema operativo e l'intero ecosistema applicativo che si appoggia sulla piattaforma Windows verso la realizzazione di un modello software in grado di applicare nel modo ideale il concetto di "least privilege" per proteggere gli utenti. Non si può capire il valore dello User Account Control se non si tengono presenti quelli che sono (a) il punto di partenza, (b) il punto a cui si vuole tendere e (c) il mezzo nel quale ci si deve muovere, in questo percorso evolutivo. Il punto (b) è chiaro a tutti e l'ho appena indicato: tendere all'applicazione ideale del principio di "least privilege". Tutti hanno sperimentato il punto (a): Windows ha sempre richiesto troppi privilegi per fare le attività più o meno amministrative con il risultato che gli utenti e le applicazioni hanno preferito la via comoda di operare con i privilegi amministrativi  (anche quando non strettamente necessari) pur di evitare i disagi imposti dal tentativo di usare il "least privilege". Il punto chiave che i teorici perdono di vista (ma invece è pane quotidiano per gli ingegneri) è il punto (c), la cosiddetta analisi di impatto:  sarebbe stato troppo facile andare da (a) verso (b) scrivendo il sistema operativo da zero, la vera sfida è farlo facendo evolvere quello che si ha e creando meno disagio possibile a tutta l'immensa libreria di applicazioni che sono state realizzate nel tempo e sono parte integrante della nostra economia in ambito informatico. Chi non sa vedere questa realtà vive nell'iperuranio ... In questa luce forse ora lo UAC si capirà meglio : lo User Account Control si propone di fare in modo che gli utenti non debbano aver bisogno di privilegi amministrativi senza averne motivo, e che chi scrive applicazioni possa farlo utilizzando credenziali dai privilegi limitati, tutto questo salvaguardando per quanto possibile tutte le applicazioni esistenti  e limitando le problematiche di compatibilità applicativa grazie alle caratteristiche di virtualizzazione delle applicazioni legacy. E' chiaro anche che in questo percorso di migrazione dell'architettura si riescano già ad ottenere dei benefici concreti di sicurezza rispetto alla protezione anti-malware: di fronte al nuovo modello di sicurezza offerto dall'introduzione di UAC, più sicuro rispetto al precedente (e questo è innegabile), anche chi scrive malware deve adeguarsi cercando modalità di exploit più sofisticate. Se sommiamo questo aspetto al valore introdotto dalle altre funzionalità di sicurezza introdotte in Windows Vista otteniamo l'effetto efficace di protezione offerta dal principio già segnalato della Defense-In-Depth: se il risultato è aver ridotto la superficie di attacco e quindi aver protetto meglio l'utente, con quale motivazione si può dire che lo UAC non sia una funzionalità di sicurezza utile ?
Se quindi utilizzate Windows Vista, accettate il mio consiglio: non disabilitate lo UAC, usatelo nel modo migliore (come segnalato dal post di Jeff Jones), approfondite tutte le sue potenzialità e raccomandate lo stesso approccio ai vostri conoscenti.

Eppure, mi sarebbe piaciuto tanto fare il fisico ...

Comments
  • Feliciano,

    sto leggendo con estremo interesse tutti i tuoi post che ritengo abbiamo un enorme valore. Mi raccomando, continua in questo ottimo lavoro!

    Ciao

    Caprice

  • Ottime considerazioni. Soprattutto il confronto tra teoria e realtà!

  • Concordo Feliciano, questa è una visione corretta rispetto la realtà attuale. Non si può utopizzare la sicurezza, purtroppo...

  • pensavo di leggere un parere, invece non hai detto nulla.

    hasta la vista

  • Una distinzione seria tra amministratore (possibilmente uno solo!) e utenti normali no, eh?

  • Finalmente dei bei commenti critici !!!! Tutti i commenti positivi ricevuti fino ad ora (che ringrazio ancora) mi stavano facendo preoccupare, temevo di essere atterrato sulla luna... Per Bruno: se anche tu avessi ragione, mi sembra che tu abbia avuto lo stesso atteggiamento, hai forse espresso un parere ? Hai confutato qualche mia argomentazione ? Non mi sembra che ci si possa confrontare in modo costruttivo con l'approccio che mostri tra le righe. Per Alberto: perché dici che la distinzione non è seria ? Io credo che la distinzione sia sempre stata seria, ma pre-Vista era scomoda, poco pratica, e induceva ad abusare del ruolo di amministratore per task normali. Posso concordare che l'idea di un singolo amministratore dia un diverso senso di sicurezza, ma che mi dici delle necessità di operare deleghe amministrative in realtà aziendali complesse dove vi sono più operatori che gestiscono i sistemi ?.

  • Esistono in altri SO strumenti (sudo in primis) che permettono ad utenti normali  di fare determinate operazioni che in genere richiedono privilegi superiori.

    Non so, questi utenti "quasi" amministratori non mi convincono. Il problema è vedere quanto questo "quasi" impedirà gli sfaceli  a cui abbiamo assistito in XPe 2K, con "ospiti abusivi" sparsi allegramente per tutto il filesystem, creazione in background di servizi difficilmente rimuovibili ecc. Vedremo col passare del tempo se la pezza della MS (perché sempre di pezza si tratta) si rivelerà efficace o no.

  • Feliciano, concordo con te sull'estrema utilità delle UAC. Il punto però è che queste cose dovevano essere inserite in Windows almeno una decina di anni fa. Per chi proviene da altri mondi (Linux, MAC) questi sono concetti gia' estremamente noti, e da parecchio tempo. L'innovazione principale di Vista, per quanto riguarda la sicurezza, consiste nel cominciare ad avvicinarsi a cio' che altri sistemi fanno gia' da molto tempo. Sicuramente un bene per Windows, ma guai a parlare di novita'.

  • L'interesse e i commenti sul tema UAC scatenati dal mio precedente post al riguardo, mi spingono a tornare sull'argomento con qualche dettaglio in più, perché mi preme farvi apprezzare il valore dello User Account Control alla luce del percorso che ha

  • Grazie ad Alberto e Giuliastro: i vostri commenti, come quelli di altri, mi hanno spinto ad argomentare meglio quello che volevo condividere con il primo post e quindi ne ho fatto un altro. Buona lettura e commentate ancora, mi raccomando !

  • Chi non ha mai avuto a che fare con User Account Control (UAC), una delle features più toste in ambito

  • Inoltro al volo la segnalazione dell'amico Renato (che ricordo essere, assieme a Giorgio, parte del mitico

  • Per gli affezionati lettori che seguono il mio Security Blog dai suoi albori non sarà una novità

  • Se non state nella pelle dalla curiosità di vedere che fisico (possente) ha questo (mancato) fisico teorico (se non capite questo gioco di parole vuol dire che non avete ancora letto il mio post precedente, non va bene...), potrei darvi un'ottima occasione:

  • Non so quanti di voi l'abbiano già letto, ma questo post che vi segnalo del blog " Engineering Windows

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment