Come SDL ha consentito di migliorare la sicurezza in Office 2010

Salve a tutti. Io sono Didier, Security Program Manager del Microsoft Security Engineering Center. Il nostro scopo è aiutare team come quello di Office ad andare oltre ai requisiti minimi di Security Development Lifecycle (SDL). Per Office 2010, ho collaborato strettamente con i membri del team Office TWC. Microsoft SDL è un processo di garanzia di sicurezza incentrato sullo sviluppo di software. SDL, come iniziativa estesa all'intera azienda e criterio obbligatorio dal 2004, ha svolto un ruolo essenziale nell'integrazione di sicurezza e privacy nei software e nella cultura Microsoft. Unendo un approccio olistico e pratico, SDL ha lo scopo di ridurre il numero e la gravità delle vulnerabilità nel software. SDL introduce sicurezza e privacy in tutte le fasi del processo di sviluppo.

Vorrei ora sottolineare i traguardi raggiunti durante lo sviluppo di Office 2010 volti a garantire la sicurezza dei nostri clienti.

In SDL vi sono oltre 50 requisiti che si applicano alle diverse fasi del processo di sviluppo: formazione, requisiti, progettazione, implementazione, verifica, rilascio e risposta (post-rilascio). Requisiti e indicazioni per SDL non sono statici: vengono modificati regolarmente alla luce delle nuove minacce e dei miglioramenti di infrastruttura di supporto, strumenti e processi. Nelle immagini seguenti sono illustrate le fasi del processo SDL:

clip_image002[4]

Alcuni degli strumenti e delle tecniche utilizzate per supportare il processo SDL sono stati rilasciati esternamente. È possibile scaricare questi strumenti e altri da Microsoft SDL Tools Repository (http://www.microsoft.com/security/sdl/getstarted/tools.aspx).

Oltre a superare la revisione di sicurezza finale prescritta dal processo SDL, il team Office 2010 ha anche soddisfatto i nuovi requisiti SDL quali l'integrazione delle librerie migliorate di variabile intera, la compilazione con il contrassegno GS migliorato e l'esecuzione di molteplici interazioni di test con dati casuali, ampiamente oltre i requisiti SDL. Questi sono stati i requisiti SDL aggiuntivi di maggiore impatto soddisfatti da Office 2010.

Fase di formazione

Il team Office TWC ha sviluppato strumenti di formazione personalizzati sulle attenuazioni di overflow di variabile intera, test con dati casuali su file e sicurezza Web, in particolare Cross-Site Scripting (XSS) e Cross-Site Request Forgery (XSRF). Questi strumenti di formazione sono obbligatori nell'intera divisione Office. Inoltre, è stato progettato e fornito uno strumento di formazione più specifico per portare FAST, prodotto recentemente acquisito, a regime con i vari strumenti e le varie attività richieste da SDL.

Fase dei requisiti

Office TWC e MSEC hanno collaborato per ridefinire la barra dei bug di sicurezza e il processo di valutazione dei bug della sicurezza per includere gli attacchi più recenti. Parte del processo si è basata sull'esperienza nelle divisioni Office e TWC per rivedere i bug della sicurezza.

Fase di progettazione

Durante la fase di progettazione, sono stati identificati diversi elementi di lavoro per rafforzare l'attendibilità dei documenti di Office. Questi elementi di lavoro hanno apportato miglioramenti al Centro protezione mediante l'aggiunta di documenti attendibili, miglioramento di Blocco file che consente agli utenti di scegliere quali file aprire o salvare nella loro rete, convalida file di Office e visualizzazione protetta. Questi miglioramenti sono stati apportati per consentire agli utenti di confidare nell'attendibilità dei documenti di Office senza timori di subire attacchi. Inoltre, un altro obiettivo è stato di fornire questa sicurezza aggiuntiva evitando prompt non necessari che rischierebbero di essere ignorati dall'utente, riducendo il valore di sicurezza di queste caratteristiche. Per ulteriori informazioni su queste caratteristiche, consultate l'articolo all'indirizzo http://blogs.technet.com/office2010/archive/2009/07/21/office-2010-application-security.aspx.

Office TWC ha effettuato un'analisi su larga scala dei modelli di minaccia in tutta la divisione, creando e rivedendo oltre 500 modelli di minaccia. Tramite l'attività di individuazione dei modelli di minaccia, il team ha identificato e risolto più di 1000 potenziali problemi della sicurezza.

Un'altra area di miglioramento è rappresentata dal supporto per la crittografia in Office 2010. Questi miglioramenti includono supporto per la firma digitale XAdES che ha reso crittograficamente agili le applicazioni client di Office consentendo loro di utilizzare qualsiasi algoritmo crittografico reso disponibile dal sistema operativo (solo Windows Vista e versioni successive) e una nuova caratteristica per le aziende che consente criteri di password di dominio per la crittografia delle password.

Fase di implementazione

Office TWC ha implementato una soluzione automatica per migliorare il reporting dei risultati di Office Automated Code Review (OACR) consentendo a MSEC e Office TWC di identificare i team del prodotto Office con problemi di qualità del codice prima della fase di verifica o prima di effettuare qualsiasi test della penetrazione. In questo modo è stato possibile indirizzare il loro lavoro nelle aree in cui era maggiormente importante.

In base all'analisi effettuata sulle vulnerabilità segnalate nelle versioni precedenti di Office, in Office 2010 è stata sviluppata e utilizzata una versione migliorata di safeInt

Durante il ciclo di sviluppo di Office 2010 è stata introdotta una nuova versione di GS (GS migliorato, disponibile in Visual Studio 2010) ed è stata pilotata con 3 grandi componenti di Office 2010. Non sono stati individuati problemi significativi di regressione e questa caratteristica verrà integrata nella prossima versione di Office. Office 2010 consente per la prima volta la Protezione esecuzione programmi e se si utilizza Office 2010 in Windows 7, verrà utilizzato SEHOP per impedire lo sfruttamento di gestori di eccezioni strutturati (http://blogs.technet.com/srd/archive/2009/02/02/preventing-the-exploitation-of-seh-overwrites-with-sehop.aspx).

Ulteriori strumenti di attenuazione dei rischi sono stati inseriti in SharePoint 2010 per migliorare l'hosting multi-tenant e le attenuazioni dei rischi Cross-Site Scripting (XSS). I miglioramenti della sicurezza più importanti sono stati il sandbox delle soluzioni SharePoint e l'utilizzo congiunto di sicurezza dall'accesso di codice e di un sandbox personalizzato. Un'ulteriore attenuazione dei rischi per Cross-Site Scripting (XSS) è costituita dall'uso di intestazioni del browser per imporre il download di contenuto potenzialmente non sicuro e dall'aumento delle autorizzazioni richieste per la creazione di script.

Fase di verifica

Sin dall'inizio del ciclo di sviluppo sono stati effettuati test con dati casuali, con costante affinamento dei test utilizzati. Questo sforzo costante rappresenta uno dei più grandi investimenti effettuati per migliorare la sicurezza dei parser in Office. L'uso di Distributed Fuzzing Framework è ora esteso all'intera società e rappresenterà uno degli elementi chiave della prossima versione SDL. Il numero di iterazioni di test con dati casuali per Office 2010 ha superato gli 800 milioni su 400 formati d file, consentendo di risolvere oltre 1800 bug. Oltre al test con dati casuali sul formato di file, Distributed Fuzzing Framework è stato utilizzato per effettuare in modo casuale test con dati casuali di tutti i controlli ActiveX forniti con Office 2010.

Durante la verifica di Office 2010 è stata impostata un'infrastruttura automatica che consentisse di eseguire la maggior parte degli strumenti di verifica richiesti da SDL (quali BinScope) come parte del processo di compilazione. In questo modo il team di Office ha potuto eseguire più frequentemente questi strumenti e, di conseguenza, identificare e risolvere più velocemente i problemi.

Durante il ciclo di sviluppo di Office 2010 sono stati effettuati test della penetrazione interni ed esterni. Questi test sono stati rivolti alle caratteristiche a rischio elevato identificate durante la fase di progettazione e hanno riguardato diversi prodotti nelle SKU client e server

Confidiamo nel fatto che tutto questo lavoro renda Office 2010 più affidabile e consenta ai clienti di utilizzare più tranquillamente i documenti che ricevono da fonti non attendibili.

Oltre a questo post, Microsoft ha pubblicato alcuni mesi fa un whitepaper su come SDL ha consentito il miglioramento di Microsoft Office System 2007. Potete trovare questo whitepaper all'indirizzo http://go.microsoft.com/?linkid=9714223

Grazie,

Didier Vandenbroeck

Lead Security Program Manager

Microsoft Security Engineering Center

Questo è un post di blog localizzato. Consultate l'articolo originale: How the SDL helped improve Security in Office 2010