hit counter
Chiarimenti sulle modalità di attacco del recente Security Advisory su IE - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

  • Comments 12
  • Likes

Aggiornamento del 19/01/2010: segnalata l’intenzione di un rilascio straordinario dell’aggiornamento correttivo

Security Advisory 979352 su IE: preavviso di rilascio straordinario (OOB)

Eccomi a chiarirvi le perplessità espresse nel mio post di ieri. Partiamo al solito dai fatti: in questo momento i fatti sono essenzialmente 3

  1. Google ed altre (poche) aziende sono state oggetto di attacchi informatici nei giorni scorsi. Da quello che si legge, questi attacchi mirati sembrano aver raggiunto 2 obiettivi:
    • Rubare proprietà intellettuale dai sistemi di Google
    • Carpire le credenziali di accesso ad alcune utenze (sembra un paio) di account Gmail
  2. L’analisi degli attacchi ha fatto emergere che Internet Explorer 6 potrebbe essere stato uno dei diversi vettori usati
  3. L’unico exploit noto al momento funziona solo su IE6 presente su Windows XP

Ora la domanda è: questi tre fatti sono in grado di giustificare il clamore mediatico che addossa a Internet Explorer tutte le colpe dei problemi subiti da Google? E i commenti di chi spinge a scappare dall’uso di Internet Explorer in quanto non sicuro? Mi sembra sinceramente un atteggiamento pretestuoso, e provo a spiegarvi perché.

Premessa doverosa: purtroppo non sono ancora a conoscenza di altri dettagli sugli attacchi (che in ogni caso non potrei divulgare), ma posso sicuramente dedurre alcune considerazioni sulla base delle mie esperienze sul tema.

Per aiutarvi a capire serve che riprenda in modo semplice come funzionano gli attacchi che usano Internet Explorer: per attaccare gli utenti tramite IE si rende necessario indurli a navigare su pagine web artefatte ad hoc per sfruttare le eventuali vulnerabilità. Non c’è automatismo (come avviene nel caso dei worm), è necessario il coinvolgimento diretto dell’utente. Quindi se si suppongono veri i punti 1 e 2 precedenti, si potrebbe dedurre che

  • L’attacco sarebbe stato mirato a specifici utenti (non all’infrastruttura di Google in generale), indotti, tramite qualche mezzo (magari una email diretta agli utenti presi di mira), a cliccare o navigare su siti Web attrezzati dai cybercriminali.
  • Le vittime designate avrebbero operato questa incauta navigazione usando sul loro PC una combinazione di versioni, lasciatemi dire, paleolitica: Windows XP con Internet Explorer 6 (vi ricordo che siamo due versioni più avanti, sia sul sistema operativo – Windows 7, che sul browser – Internet Explorer 8).

Dal punto di vista degli aspetti di gestione della sicurezza da parte delle aziende colpite, come si potrebbe definire questo comportamento di avere sistemi così obsoleti, per di più dedicati alla custodia di informazioni sensibili: una best practice?

E’ universalmente chiaro che l’unico modo di tenere il passo con l’evoluzione delle minacce è quello di dotarsi delle soluzioni state-of-the-art, in modo da avvantaggiarsi delle nuove funzionalità di sicurezza che riescono, come in questo caso, a schermare il sistema e a mitigare i rischi di attacco quando si devono fronteggiare vulnerabilità pubblicate prima che si realizzi la patch: il punto 3 di cui sopra è proprio la migliore conferma di come queste innovazioni funzionali riescano a rendere difficile la vita di chi deve realizzare un exploit.

Ora, fermo restando il dovere di Microsoft di correggere il problema appena scoperto, non vi sembra pretestuoso omettere il numero della versione di IE che potrebbe essere oggetto di attacchi, facendo intendere che tutti gli utenti su IE siano indistintamente a rischio e seminando preoccupazione ingiustificata?

Chi poi sta cavalcando questa notizia a suo favore sta perfino usando il numero di vulnerabilità tra browser come ulteriore elemento a danno di IE: come la mettiamo con il fatto che la realtà è proprio all’opposto (Firefox flaws account for 44% of all browser bugs) ?

Avevo proprio nostalgia di una nuova puntata della mia rubrica Anti-FUD… :-)

 

Feliciano

Altri post/risorse correlate:

Comments
  • Ciao Feliciano ,

    Io ancora non comprendo perché stanno ad usare IE6 , questo mi sembra FUD vero e proprio,. e poi mi domando ....perché proprio in google non usano chrome? Questo la dice lunga.

  • Sì, il fatto che Google usi IE è un po' strano...

    Ma diciamo che l'attacco era diretto ai CAPI... E per far CAMBIARE abitudini ai capi (anche se di Google), che quando imparano a cliccare su un'icona colorata di azzurro e poi vedono la stessa icona di BLU, fanno FATICA... non è facile proporre il cambio.

    Io sono STRASOSTENITORE di Explorer. Funziona bene. Sicuro... certo che la gente non è pratica, installa di tutto... non è giusto criticare il browser quando quello che non va sono tutte le miriadi di TOOLBAR che fanno casino!

  • "come la mettiamo con il fatto che la realtà è proprio all’opposto (Firefox flaws account for 44% of all browser bugs) ?"

    La mettiamo nel senso che Microsoft e Mozilla hanno sistemi di gestione delle falle completamente diversi e quindi i numeri non sono per niente confrontabili. In Mozilla considerano bug anche quello che altri definirebbero "caratteristica".

    Tanto per dire in questo momento Secunia segnala 4 falle aperte per IE e zero per Firefox ed Opera...

    Detto questo concorso sul fatto che forse il clamore sollevato è eccessivo, ma se a sconsigliare l'uso di IE sono agenzie governative i media non possono far altro che rilanciare la notizia anche perché la natura del problema non è chiara, e quindi nel dubbio ti vien da pensare che magari "loro" ne sappiano di più.

  • Se posso, riguardo la tua deduzione e in particolare sul punto due: in ufficio (ente statale), gira - ad oggi -  tutto su XP e come browser c'è proprio IE 6! Fuori dall'ufficio, tutti gli amici so che usano come sistema XP e usano IE 6 massimo il 7!! Sì, anche quelli che hanno preso pc recenti, dato che hanno fatto il downgrade da Vista. Certo la mia realtà, puo essere una goccia nel mare, ma tant'è...

  • Che in ambito office ci sia ancora windows xp è un dato di fatto, ma che nello stesso ambito non si sia fatto l'upgrade di internet explorer è assolutamente ridicolo. Diciamo la verità: chi non ha fatto l'upgrade è perchè probabilmente non può scaricare gli aggiornamenti... wga?

  • Mi sembrano commenti superficiali dire cose come:

    "usando sul loro PC una combinazione di versioni, lasciatemi dire, paleolitica: Windows XP con Internet Explorer 6 "

    infatti sull'advisory MS si legge che il SOFTWARE NON AFFECTED e' proprio:

    Internet Explorer 5.01 Service Pack 4 for Microsoft Windows 2000 Service Pack 4.

    Inviterei alla prudenza e a una maggiore oggettivita' e possibilmente a un maggiore spessore tecnico dell'analisi senza essere troppo di parte ( anche se magari puo' non essere facile).

    Saluti

    Daniele

  • Dal momento che lavoro nell'ambito del supporto tecnico, so bene che diverse realtà IT italiane hanno ancora un parco di sistemi fermo su versioni non aggiornate, come diversi di voi mi stanno purtroppo confermando: anche se ho profondo rispetto dei motivi che possono essere alla base di tali scelte, devo approfittare di queste situazioni per far riflettere sul rischio di sicurezza che si corre. Riguardo alla prudenza, per rispondere a Daniele: è vero, la situazione richiede prudenza, atteggiamento che non viene però applicato da chi approfitta per fare clamore a suo vantaggio; il mio è quindi solo un modo per tranquillizzare gli utenti rispetto alla situazione oggettiva di rischio che osserviamo. Certo questa situazione può cambiare e, nel caso, vi avviseremo in modo tempestivo, ma non siamo in scenario da fine del mondo come qualcuno vuole far credere.

  • Feliciano, il personale della mia banca (del gruppo Intesa!) usa IE6. Alla mia diretta domanda "Ma siete pazzi?", hanno risposto (ovviamente) che non hanno controllo su queste scelte. Mi chiedo se i sig. MS non farebbero meglio a fare interventi proattivi verso quei sistemisti o IT manager che per pigrizia o ignoranza non fanno bene il loro lavoro, invece di dire "tranquilli, tranquilli..."

  • Ciao Claudio, ti assicuro che gli interventi proattivi non mancano affatto per spingere i clienti all'aggiornamento. Non per prendere le difese dei sistemisti o IT manager, ma non credo si tratti di pigrizia o ignoranza, quanto di rimandare il più possibile lo sforzo di verifica applicativa che accompagna ogni migrazione e che è tanto più impegnativo quanto più grande è l'azienza (e il tuo gruppo lo è ;-).

  • Bhè l'ufficio per il quale lavoro, non è certo grande come il gruppo Intesa. Diciamo che sono circa una sessantina di computer tra desktop e portatili. Bene, chi gestisce i computer qui dentro, lo sforzo massimo che ha fatto è stato quello di fare il downgrade da Vista per i pc nuovi verso XP. Alle domande tipo ma perchè non aggiornate? Le risposte di default sono che se vogliamo navigare in Internet, IE che c'è (il 6) va già più che bene così....

    (succede poi che l'utente medio quando compra il pc a casa vuole vedere le stesse icone che vede tutto il giorno in ufficio per non perdersi, con tutto quello che ne concerne)

  • Salve, io ritengo che la versione di IE8 sia molto  sicura rispetto alle versioni precedenti, ma ancora con qualche piccolo bug. Per esempio ogni tanto mi arriva qualche e-mail di phishing con link alle poste italiane, likandolo su i vari browser (firefox, chrome, ie 8) , solo ie8 mi apre il sito "fake", mentre gli altri browser mi avvertono che è un sito contraffatto. Anche inviando la segnalazione alla microsoft, dopo alcuni giorni il sito è ancora raggiungibile.

  • @fabio: non capisco se sei d'accordo o meno con tutto l'estusiasmo per la tecnologia che sprizza nel tuo ufficio (scusa la battuta), ma spero proprio di no ;-)

    @ Antonio: più che bug mi sembra un problema di processo nell'aggiornamento del database consultato dal filtro Smartscreen, mi fai avere una copia dell'email che hai segnalato senza esito? (Usa tasto email in alto al blog)

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment