hit counter
Windows Update si aggiorna senza consenso: spieghiamo il vero e il falso - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Windows Update si aggiorna senza consenso: spieghiamo il vero e il falso

Windows Update si aggiorna senza consenso: spieghiamo il vero e il falso

  • Comments 13
  • Likes

So che ne sentivate la mancanza: eccovi un'altra puntata della mia rubrica Anti-FUD. E' una puntata un pò speciale perché questa volta l'asserzione di base, quello che viene contestato a Microsoft è vero, almeno in parte: dov'è allora il FUD in questo caso ? Al solito approccio dei media di prendere spunto da una notizia magari vera solo in parte (come in questo caso) per scegliere di amplificare selettivamente solo i dettagli errati che permettono di ottenere "lo scoop", la notizia di prima pagina che attira la maggiore attenzione dei lettori: quale miglior argomento di qualcosa che possa far apparire Microsoft come il solito Grande Fratello ?

Ora io vi dico la mia, poi voi leggete gli articoli che ho riportato in fondo al post e ditemi se il tono e i messaggi sono equilibrati e obiettivi nel fornire i fatti.

Non mi dilungo nella spiegazione tecnica che è stata fornita direttamente dal Program Manager di Windows Update in questo post. La sintesi è questa:

  1. Windows Update aggiorna automaticamente solo i file necessari al suo funzionamento
  2. quando questo è necessario viene effettuato senza chiedere ulteriore conferma all'utente
  3. questo non avviene se l'utente ha spento Automatic Updates
  4. avviene da sempre, da quando esiste WU
  5. è un aspetto che non interessa WSUS o SMS, e quindi le realtà aziendali

Il mio parere è questo: il punto 2 può essere migliorato, ossia riconosco la necessità di migliorare la trasparenza delle funzionalità di Windows e potrei anche preferire di poter scegliere più esplicitamente se essere avvisato o meno anche degli aggiornamenti del motore di Automatic Updates. E' per questo che apprezzo molto questo passo del post di cui detto: "The point of this explanation is not to suggest that we were as transparent as we could have been; to the contrary, people have told us that we should have been clearer on how Windows Update behaves when it updates itself. This is helpful and important feedback, and we are now looking at the best way to clarify WU’s behavior to customers so that they can more clearly understand how WU works.". Inoltre è auspicabile che si possa pensare di modificare le funzionalità di WU per poter chiedere all'atto dell'installazione di Windows non solo come e se essere avvisati degli aggiornamenti ma anche per lo stesso engine. Mi farò carico di sollecitare direttamente il gruppo di prodotto della necessità di una tale modifica.

Detto questo, che è l'unica parte vera della notizia, quello che potete leggere negli articoli che hanno trattato sull'argomento (ComputerWorld, eWeek, ZDNet ) è più una speculazione sulla malafede con cui Microsoft avrebbe tenuto nascosto questo funzionamento (smentito dal punto 4), per fare aggiornamenti nascosti di Windows (smentito dal punto 1), anche se l'utente non vuole gli aggiornamenti (smentito dal punto 3), con danno per le aziende che devono poter controllare tutto per verificare la compatibilità applicativa (smentito dal punto 5), senza menzionare la NECESSITA' di fare tali aggiornamenti per garantire il servizio che l'utente ha accettato di utilizzare se non lo ha disabilitato.

Potrei sbagliarmi, ma mi sembra che il mio antivirus non mi chieda conferma degli aggiornamenti delle firme e dell'engine di scansione ogni volta che lo fa: se l'ho installato io ho bisogno che funzioni come dovrebbe ed è quindi normale che l'engine abbia bisogno di aggiornarsi. Il fatto che lo faccia senza annoiarmi ogni volta non ha destato in me il desiderio di manifestare il mio disappunto al suo produttore per violazione della mia privacy ...

Comments
  • Sono pienamente d'accordo con quanto hai affermato e lungi da me l'idea di condannare Microsoft per qualche cosa di simile. Tuttavia credo che l'esempio che hai proposto in fondo al post sia veramente poco adatto poiché qualsiasi A/V può essere impostato su aggiornamenti automatici o manuali e quando l'impostazione è manuale non vengono fatti aggiornamenti.

  • Certo Sirus: io ribadisco la necessità di migliorare WU per fornire anche questo controllo all'utente e fare scegliere a lui. Il concetto che volevo esprimere è che nel caso A/V è ancora più immediato comprendere che se si chiede un servizio è normale accettare anche le condizioni che permettono di garantirlo: installo un A/V per avere le firme il più velocemente possibile, se mettessi in manuale che beneficio ne avrei ? Lo metto in automatico e non mi interessa di scegliere se e quando aggiornare firme ed engine. Per WU la cosa è diversa per le "firme" (gli update): essendo relativi a prodotti diversi, critici e non critici, consigliati e opzionali, voglio scegliere cosa installare e cosa no (io stesso uso il semi-automatismo, scarico ma installo quello che voglio). Ma per quanto riguarda il motore, che senso avrebbe scegliere di aggiornarlo o no ? Se non lo aggiorno non mi funziona più. Fermo restando, di nuovo, che è giusto che l'utente possa scegliere.

  • Mi sono permesso di postare il link della notizia da te analizzata su hwupgrade commentando l'articolo http://www.hwupgrade.it/news/software/microsoft-aggiorna-in-modo-silente-i-sistemi-update-1700_22545.html

  • Ci fidavamo di Starforce? Ci fidavamo di Sony? Ci siam fidati di

    Bioshock? Cosa avrebbe MS più onesta degli altri da farci fidare di

    lei quando prende il controllo sui nostri computers ?

  • Io non sono per dar da mangiare ai troll, però, ming, nel caso tu non lo fossi, ti do da riflettere sul fatto che mi pare, correggimi se sbaglio, che se impostato in modalità aggiornamenti automatici, anche ubuntu si aggiorni senza chiedere. Così come molte altre distro linux di cui ti fidi. Io personalmente non trovo nulla di strano nel fatto che l'update engine si aggiorni. Inoltre, se gli automatic updates sono disattivati, non c'è aggiornamento. Poi certo, ci possiamo fare tutte le paranoie del mondo. Ti dico solo che riguardo alla famosa pagina della microsoft, sui falsi miti di vista e office, un tizio ha avuto il coraggio di insultare MS perchè uno dei "miti" diceva: "Posso usufruire degli aggiornamenti solo se ho una copia legale di Office". Ora, siamo tutti d'accordo che non sia un mito, ma da qui ad ignorare volutamente e maliziosamente il fatto che la risposta a questo "mito" cominci con: "Vero.", mi pare che sia non solo malizia, ma pure scorrettezza. La pagina può essere fraintesa, ma la risposta no. E allora, io preferisco mille volte un innocuo aggiornamento di un motore di update piuttosto che leggere certe cose nelle quali invece di dire come stanno le cose, si cerca la pagliuzza per farla diventare una trave.

  • A proposito, mi sono permesso di linkarlo anche su Puntodivista (o comunque si chiami ora), visto che pare che avessero dato una risposta, ma pare pure che sia stata rimossa...

  • In realtà le cose sono leggermente diverse. In windows l'utente ha due possibilità:

    1. scaricare e installare gli aggiornamenti in automatico (preferibile)

    2. farlo manualmente

    Manualmente non signifca che l'utente deve andare ogni volta sul sito di Windows Update per sapere se ci sono aggiornamenti; ma semplicemente che - qualora ci fossero - gli aggiornamenti non vengono scaricati automaticamente ma compare una finestra di dialogo che chiede "ci sono aggiornamenti, cosa vuoi fare?"

    Il servizio che si occupa di controllare se ci sono aggiornamenti (d'ora in poi MU) è esso stesso un pezzo di SW che alcune volte bisogna aggiornare e che per tale motivo non può essere aggiornato tramite se stesso (MU). La procedura per aggiornare MU - come nel problema dell'uovo e della gallina - è necessariamente diversa da quella di qualsiasi altro componente di sistema in quanto se MU non viene aggiornato si entra in una situazione in cui non si ricevono neanche notifiche di aggiornamenti ad altri pezzi di sistema; ciò porta a rendere più "coatto" l'aggiornamento di MU. Un po' come avviene per MSN messenger: se il server si accorge che il client è una versione obsoleta e dal punto di vista della sicurezza vulnerabile ad alcuni attacchi, il server si rifiuta di far loggare il client ed invita l'utente a scaricare una versione aggiornata. L'unica differenza è che Messenger è una applicazione interattiva non indispensabile per la sicurezza del sistema e quindi una finestra di dialogo diventa un modo appropriato per comunicare tale necessità. MU è un servizio di sistema indispensabile per la sicurezza dell'utente (e del resto del pianeta!) e quindi l'aggiornamento "coatto" diventa un'opzione più appetibile: probabilmente l'evento è pure segnalato nell'eventlog anche se sarebbe stato auspicabile un piccolo baloon per i stra-fissati della privacy. Magari spulciando la licenza di Windows tutto questo è indicato pure chiaramente, ma come al solito si è preferito fare tanto clamore per nulla (gli unici file aggiornati sono quelli di MU stesso).

  • L'aggiornamento di WU avviene anche se gli aggiornamenti automatici sono stati disattivati: basta avviarlo e si autoaggiorna.

    Il fatto di disattivare gli aggiornamenti automatici a cosa serve?

  • @Davide:

    corretto. Disattivare gli aggiornamenti automatici significa semplicemente che - invece che essere scaricati ed installati automaticamente - compare un popup che ti chiede se vuoi installarli. Questo non vuol dire "smettila di controllare se ci sono aggiornamenti", ma "fammi sapere se ci sono che poi decido io". Per questo WU deve essere "aggiornato a prescindere" nel momento in cui lo lanci, altrimenti nel caso in cui il server aggiorna il protocollo non sarebbe più possibile farlo funzionare. Ad oggi non c'è nessuna opzione per disabilitare completamente il  controllo "se ci sono aggiornamenti": mi pare che funzionalmente tutti i SO operativi moderni siano fatti così; in Windows però non si può sovrascrivere un processo in esecuzione e tale limitazione va presa in considerazione come vincolo alla soluzione.

  • Non tutte le realtà aziendali usando WSUS o SMS, ho lavorato in aziende medio-piccole dove gli aggiornamenti venivano fatti alla vecchia maniera tramite aggiornamenti automatici...

    Quindi non ditemi che le aziende sono a posto perchè non tutti hanno la necessità di usare WSUS...

  • ma non ha senso lasciare decidere all'utente se installare l'aggiornamento per Windows Update stesso, in quanto il fatto non è opzionale ma è obbligatorio perchè altrimenti le successive patch potrebbero non essere più scaricabili.

    Chi si lamenta è solo perchè ha una copia pirata, e ben gli sta se Microsoft la disattiva!

  • Non so se ricordate tutto il polverone scoppiato lo scorso settembre su Windows Update che si era aggiornato

  • Forse la maggior parte di voi non avrà bisogno di consultare questo recente piccolo whitepaper fresco

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment