hit counter
Un parere sullo User Account Control (UAC), da ingegnere e non da fisico - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Un parere sullo User Account Control (UAC), da ingegnere e non da fisico

Un parere sullo User Account Control (UAC), da ingegnere e non da fisico

  • Comments 17
  • Likes
 

Devo confessarvi un personale dissidio interno: sotto la  corteccia da ingegnere che mi ritrovo, pulsa un cuore da (mancato) teorico di fisica nucleare. Proprio così: da liceale sognavo di avviarmi alla carriera dello "scienziato", grazie ad una illuminazione  avuta in tenera età su uno dei manuali delle Giovani Marmotte (lo so che vi state rotolando dalle risate ma non sto scherzando ...) che mi ha aperto la mente sulle meraviglie dell'infinitamente piccolo: quark, neutrini, muoni, bosoni, antimateria ... Poi la mia strada si è incrociata con i personal computer atterrati nelle case delle famiglie più d'avanguardia (in realtà non la mia, ma quella di un caro amico, Damiano, sì, sei stato tu e il tuo Sinclair ZX Spectrum a farmi appassionare alla computer science!) e ho sentito come più entusiasmante scommettere sulla scienza applicata che su quella pura, sull'Ingegneria rispetto alla Fisica.

Perché vi ho tediato con questo nostalgico flashback ? Perché nel leggere tutto quanto è stato scritto e bloggato sul tema UAC in questi giorni scorsi ho sentito fare a pugni le mie due anime, quella professionale attuale, acquisita, da ingegnere, e quella potenziale,  innata, da fisico teorico: sto parlando appunto del botta e risposta sugli aspetti di sicurezza dello User Account Control di Windows Vista, tra cui spiccano i contributi della ricercatrice Rutkowska e del mio neo-collega (che onore!) Mark Russinovich. E' un confronto bellissimo, con il livello di approfondimento tecnico che adoro. Lascio ad ognuno di farsi la propria idea, ma fatemi dire la mia.

Parlare da ricercatori della sicurezza e dire che lo UAC sia una funzionalità inutile perché non sia in grado di garantire la sicurezza in quanto potrebbe prestarsi ad essere attaccata (come Mark conferma), mostra il tipico atteggiamento del teorico, di chi si confronta con i problemi puri e lo fa a centinaia di km da terra, incurante della realtà. Nonostante una parte profonda di me (come da introduzione) ami questo tipo di atteggiamento, non mi sento di condividere questo punto di vista: stiamo parlando di tecnologia ossia scienza applicata (computer e sistemi operativi) non di scienza pura. E come vede lo User Account Control un ingegnere che ha visto evolvere il modello di sicurezza dei sistemi operativi Windows da 8 anni a questa parte ? Lo vede come una svolta, una fondamentale innovazione architetturale che si propone di far evolvere il sistema operativo e l'intero ecosistema applicativo che si appoggia sulla piattaforma Windows verso la realizzazione di un modello software in grado di applicare nel modo ideale il concetto di "least privilege" per proteggere gli utenti. Non si può capire il valore dello User Account Control se non si tengono presenti quelli che sono (a) il punto di partenza, (b) il punto a cui si vuole tendere e (c) il mezzo nel quale ci si deve muovere, in questo percorso evolutivo. Il punto (b) è chiaro a tutti e l'ho appena indicato: tendere all'applicazione ideale del principio di "least privilege". Tutti hanno sperimentato il punto (a): Windows ha sempre richiesto troppi privilegi per fare le attività più o meno amministrative con il risultato che gli utenti e le applicazioni hanno preferito la via comoda di operare con i privilegi amministrativi  (anche quando non strettamente necessari) pur di evitare i disagi imposti dal tentativo di usare il "least privilege". Il punto chiave che i teorici perdono di vista (ma invece è pane quotidiano per gli ingegneri) è il punto (c), la cosiddetta analisi di impatto:  sarebbe stato troppo facile andare da (a) verso (b) scrivendo il sistema operativo da zero, la vera sfida è farlo facendo evolvere quello che si ha e creando meno disagio possibile a tutta l'immensa libreria di applicazioni che sono state realizzate nel tempo e sono parte integrante della nostra economia in ambito informatico. Chi non sa vedere questa realtà vive nell'iperuranio ... In questa luce forse ora lo UAC si capirà meglio : lo User Account Control si propone di fare in modo che gli utenti non debbano aver bisogno di privilegi amministrativi senza averne motivo, e che chi scrive applicazioni possa farlo utilizzando credenziali dai privilegi limitati, tutto questo salvaguardando per quanto possibile tutte le applicazioni esistenti  e limitando le problematiche di compatibilità applicativa grazie alle caratteristiche di virtualizzazione delle applicazioni legacy. E' chiaro anche che in questo percorso di migrazione dell'architettura si riescano già ad ottenere dei benefici concreti di sicurezza rispetto alla protezione anti-malware: di fronte al nuovo modello di sicurezza offerto dall'introduzione di UAC, più sicuro rispetto al precedente (e questo è innegabile), anche chi scrive malware deve adeguarsi cercando modalità di exploit più sofisticate. Se sommiamo questo aspetto al valore introdotto dalle altre funzionalità di sicurezza introdotte in Windows Vista otteniamo l'effetto efficace di protezione offerta dal principio già segnalato della Defense-In-Depth: se il risultato è aver ridotto la superficie di attacco e quindi aver protetto meglio l'utente, con quale motivazione si può dire che lo UAC non sia una funzionalità di sicurezza utile ?
Se quindi utilizzate Windows Vista, accettate il mio consiglio: non disabilitate lo UAC, usatelo nel modo migliore (come segnalato dal post di Jeff Jones), approfondite tutte le sue potenzialità e raccomandate lo stesso approccio ai vostri conoscenti.

Eppure, mi sarebbe piaciuto tanto fare il fisico ...

Comments
  • Nei giorni scorsi non si parlava d'altro rispetto al tema Windows 7 Security : le frasi sulla bocca di

  • Felix, concordo in pieno con quanto hai scritto e mi rende felice sentire da una voce come la tua la sorpresa per il nuovo corso Microsoft riguardo alle user requests.

    Scrivo qui a te per risollevare una vecchia richiesta che invece non ho mai visto andare oltre e che comprendo essere ormai troppo in ritardo per poter essere implementata in W7:

    E' possibile mai che per capire che eseguibile stia facendo cosa a livello di network debba passare da Process Explorer e meta' degli altri tools di Sysinternals? Sarebbe tanto grave aggiungere al task manager qualche info in piu' (al limite di una modalita' "expert" che non disorienti gli utenti piu' tradizionalisti)? Avere 12 SVCHOST.EXE che girano non sempre aiuta e purtroppo il vecchio netstat non ti dice quale sia il processo owner della connessione tcp o in listening...

    Certo sono tutte cose che si possono recuperare usando 3-4 programmi aggiuntivi ma non costerebbe poi molto tirarle fuori da un tool di sistema, no? Magari per W8 facciamo in tempo...

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment