Articolo originale pubblicato lunedì 2 maggio 2011

Abbiamo apportato alcune modifiche alla modalità di sviluppo e test del nostro software per la produttività che hanno reso Office 2010 la versione più sicura di Microsoft Office mai realizzata. Oltre a progettare Office tenendo sempre presenti le potenziali minacce, accertare che il codice sia privo di difetti relativi alla sicurezza ed eseguire test di penetrazione, il test con dati casuali è un altro processo utilizzato in Microsoft per creare software più sicuro.  Alcune delle novità in termini di sicurezza verranno esaminate in un post successivo.

Si è parlato molto ultimamente dei test con dati casuali tra gli esperti di sicurezza. È anche stato pubblicato un post di recente da Computer Emergency Response Team (CERT), Confronto in termini di sicurezza: Microsoft Office e Oracle OpenOffice e un articolo di Dan Kaminsky: Fuzzmarking: metriche per la sicurezza dell'hardware applicate alla qualità del software?.

Oggi illustreremo in che modo il team di Office esegue test con dati casuali e con file in formato casuale.

 Per ulteriori informazioni sulla sicurezza di Office 2010, consultate il white paper, Sicurezza dei dati aziendali con Microsoft Office 2010 nell'Area download Microsoft e il Centro risorse Office 2010 Security su TechNet. 

 Test con file in formato casuale 101

Il test con file in formato casuale è il processo di modifica dei formati di file inserendo dati casuali in un'applicazione e quindi monitorando la risposta dell'applicazione ai dati. Questa procedura di test viene eseguita sia dalle aziende che sviluppano software che dagli autori di attacchi che sviluppano malware. Le aziende che sviluppano software utilizzano la tecnica per individuare errori o problemi nelle applicazioni software e garantire quindi la massima sicurezza e stabilità dell'applicazione prima di distribuirla al pubblico. Gli autori di attacchi che sviluppano malware utilizzano invece gli attacchi basati su file in formato casuale per tentare di individuare e quindi sfruttare vulnerabilità dell'applicazione. Dopo aver individuato una vulnerabilità, l'autore di attacchi può creare un attacco a determinati formati di file per provare a sfruttare la vulnerabilità nell'applicazione software.

Gli attacchi basati su formati di file sfruttano l'integrità di un file e si verificano quando qualcuno modifica la struttura di un file con l'intento di aggiungere malware. Il malware introdotto dall'autore dell'attacco viene eseguito quando si apre il file con formato casuale.  L'autore dell'attacco può quindi riuscire ad accedere a un computer al quale non poteva precedentemente accedere. Questo accesso non autorizzato può consentire all'autore dell'attacco di leggere informazioni riservate dal disco rigido del computer o di installare malware, ad esempio un worm o un programma keystroke logger.

Test con dati casuali e prevenzione

Il team di Office ha utilizzato test con dati casuali automatizzati in file distribuiti per identificare bug e potenziali vulnerabilità delle applicazioni durante lo sviluppo di Office 2010. Continueremo inoltre a eseguire test per tutto il ciclo di vita del supporto. Nell'ambito delle nostre attività di test sono stati sottoposti a test con dati casuali milioni di file di Office, che rappresentano l'intero spettro degli oltre 300 formati di file diversi nell'intera famiglia di prodotti Office, per milioni di volte alla settimana in vari modi per tentare di identificare nuove vulnerabilità in tutti i formati di file supportati da Microsoft Office.

In Microsoft Office 2010 possono essere utilizzate altre misure che contribuiscono ad aumentare la sicurezza contro gli attacchi con dati casuali, ad esempio Visualizzazione protetta, impostazioni di blocco dei file, Protezione esecuzione programmi (DEP), Address Space Layout Randomization (ASLR) e la convalida dei file.

Di recente abbiamo inoltre incorporato la tecnologia di convalida dei file in un aggiornamento per Office 2003 e Office 2007. Questa soluzione contribuisce a proteggere gli utenti che non utilizzano ancora Office 2010 dagli attacchi con dati casuali. È consigliabile che tutti i clienti distribuiscano questi aggiornamenti. Per ulteriori informazioni consultate l'articolo di TechNet Convalida file di Office per Office 2003 e Office 2007.

 

Questo è un post di blog localizzato. L'articolo originale è disponibile in Fuzz Testing in Office