... il modo è: lascio la porta aperta! Starete sicuramente pensando: il caldo record di questi giorni sta dando alla testa di Feliciano ... Tranquilli! E' solo che volevo trovare un modo semplice semplice, ma proprio semplice, per spiegare un concetto che credevo ovvio, ma a quanto pare non lo è:
le credenziali (leggi: il nome utente e la sua password) di amministratore del computer sono equivalenti all'intero mazzo di chiavi di casa vostra (comprensivo di chiavi per il box, cancello, portoncino, porta blindata, cassetta per le lettere, cassaforte, e lucchetti vari ed eventuali...): qualsiasi persona o programma che riesca ad impossessarsi di tali credenziali è di fatto il nuovo co-proprietario del vostro PC.
Dove nasce il bisogno di ribadire questa considerazione lapalissiana ? Ancora una volta, dopo la già discussa storia del malware attraverso Windows Update, si spaccia per problema di sicurezza di Windows Vista una delle innumerevoli manipolazioni che si possono fare SOLO DOPO aver guadagnato le credenziali di amministratore: mi riferisco alle notizie partite dall'articoletto su ComputerPerformance. L'articolo spiega come sostituire l'eseguibile del Magnifier con cmd.exe per ottenere al logon la possibilità di avere una finestra di comandi eseguita con i pieni poteri (LocalSystem) senza dover inserire alcuna password. E' vero sì, si può chiamare backdoor, ma chi può crearla ? SOLO UN AMMINISTRATORE. Fine dell'analisi: è appunto la stessa cosa che dire "Ho scoperto un modo per entrare in casa mia senza chiavi ... lascio la porta aperta!". A dire la verità l'articoletto dice (abbastanza) chiaramente che ci sono questi requisiti, ma chissà perché il passaparola fa passare solo l'informazione distorta di "vulnerabilità" e non porta con sè i requisiti di partenza: risultato finale, si parla del solito Vista bacato. Terminato lo sfogo...(scusatemi...) aggiungerei qualche best practice in più sul tema in oggetto, anche se sono ovvie sono informazioni che non fanno mai male.
Per gli utenti privati: custodire le credenziali di amministratore con la stessa cura con cui teniamo d'occhio il nostro mazzo di chiavi. Non facciamo copie = non creiamo altri utenti amministratori. Usiamolo il meno possibile = usiamo utenti non amministratori per le attività a rischio infezione (lettura e-mail, navigazione Internet, apertura di file ricevuti da terzi), non disabilitiamo lo User Account Control in Windows Vista. Se veniamo infettati da un Trojan mentre siamo loggati da amministratori, di fatto stiamo implicitamente consegnando a tale programma le chiavi del computer: partita chiusa.
Per lo scenario aziendale: questo discorso si traduce nelle considerazioni della mia 7a perla di Security Governance (post e link del mini-portale), ossia ancora limitare al massimo il numero di amministratori di dominio, sfruttando le possibilità di delega dei privilegi per dare solo il potere strettamente necessario per le attività che i singoli operatori hanno bisogno di compiere.
Il guaio del web 2.0 è che certe notizie, anche quando si è (abbastanza?) chiari poi vengono riprese parzialmente in un'eco infinita e diventa difficile capire come stanno realmente le cose.
Due esempi:
1. <a href="http://www.dotnetside.org/blogs/batdan/archive/2007/05/11/Primo-post.aspx">qui</a> l'autore in buona fede riporta la stessa notizia di cui hai scritto in questo post come un bug di sicurezza di Windows Vista, poiché così l'ha trovata in rete
2. <a href="http://aovestdipaperino.com/archive/2007/03/17/Occhio-alla_2E002E002E00_-bufala.aspx#734">qui</a> un altro caso di "falsa" notizia, Vista distrugge le fotografie; per arrivare alla notizia vera è stato necessario risalire all'indietro 4-5 fonti (e meno male che erano riportate) fino alla fonte originale, ossia Microsoft, che diceva sostanzialmente altro.
E' lo stesso motivo per cui molti credono Linux più sicuro dei sistemi Microsoft, quando poi gli stessi problemi di sicurezza (se non peggiori) sono presenti nel torvaldiano OS se usato con utente root!!!
L'ignoranza, lo ribadisco, nell'IT è immensa, oltre alla mancanza totale di logica!! E' paradoosale, ma è così!!!
Per lucab e Daniele: my friends... avete purtroppo ragione ... Spero non me ne vogliate se ho usato i vostri commenti per lo spunto di inizio del mio post odierno: http://blogs.technet.com/feliciano_intini/archive/2007/07/24/riduciamo-l-entropia-il-caso-update-root-certificates-di-vista.aspx
Non so se avete letto questa notizia del tool australiano Atsiv : in ogni caso è importante che ve ne