L'amicollega (ho coniato un neologismo!) Andrea Piazza del mio security team Microsoft Premier Center for Security (PCfS) mi ha segnalato un rilascio importante per gli amministratori di sicurezza su piattaforma Microsoft:
il tool Microsoft Baseline Security Analyzer 2.1
Per coloro che ancora non conoscessero MBSA: è il tool gratuito che permette di operare la scansione remota/locale dei sistemi Windows per individuare le security patch mancanti e per verificare lo stato di alcune importanti configurazioni di sicurezza. Il tool si è evoluto nel tempo migliorando via via la sua integrazione con la contemporanea evoluzione delle soluzioni e dei servizi di Security Patch Management di Microsoft. L'ultima versione rilasciata ha queste novità:
- Support for Windows Vista and Windows Server 2008
- Updated graphical user interface
- Full support for 64-bit platforms and vulnerability assessment (VA) checks against 64-bit platforms and components
- Improved support for Windows XP Embedded platform
- Improved support for SQL Server 2005 vulnerability assessment (VA) checks
- Automatic Microsoft Update registration and agent update (if selected) using the graphical interface or from the command-line tool using the /ia feature
- New feature to output completed scan reports to a user-selected directory path or network share (command-line /rd feature)
- Windows Server Update Services 2.0 and 3.0 compatibility
Approfittando del ripasso su MBSA ho anche appreso della presenza di una versione gratuita del tool NetChk Limited della Shavlik (MBSA è nato dalla collaborazione con la Shavlik) che permette di operare la scansione di quei prodotti Microsoft che non sono supportati da MBSA 2.0 e successive versioni: segnatevi questo fondamentale articolo 895660 della Microsoft Knowledge Base dove c'è la tabella comparativa dei prodotti supportarti dalla varie versioni MBSA e dal tool integrativo EST (è una tabella da tenere sempre a portata di mano per chi si occupa di Security Patch Management). I prodotti supportati da NetChk Limited sono a questo link.
La mia passione per Surface (chissà quando potro averne uno tutto mio...) mi porta a segnalarvi la presentazione fatta da Bill Gates allo scorso CEO Summit 2008 di questa ulteriore versione di Surface, ora verticale, sicuramente più fruibile del tavolino. Vi rimando al mio post su MClips per i due video:
Chissà come evolveranno le minacce per attaccare questa nuova tipologia di device... basterà fare qualche gestaccio??? :-)))))
Lungi da me scendere nell'arena delle guerre di religione (mi conoscete ormai, no?), ma un paio di articoletti letti in questi giorni mi spingono a riprendere il tema del confronto sugli aspetti di sicurezza tra Windows e il software Open Source. Questi due articoli, a mio parere, confermano le considerazioni che ho fatto in un mio post recente (che ha ovviamente scatenato un picco di commenti...) in cui confutavo quello che continuo a sentire come uno dei motivi principali, se non addirittura l'unico motivo di chi proclama la presunta superiorità del software Open Source in area sicurezza: l'ispezionabilità del codice come garanzia di minori vulnerabilità. Scusatemi se mi cito da solo, avevo detto:
"...con tutto il rispetto per le community open source (che ammiro), ma il fatto che ci siano tanti che possano fare una revisione di sicurezza di codice open, non è assolutamente equivalente a dire che tanti facciano davvero tale revisione e altrettanti siano in grado di farla bene."
Eccovi i due articoli che supportano il mio punto di vista:
Developer reveals 25 year old software bug
A Swiss developer seems to have confounded the theory that open source software is the quickest to be patched, by revealing a bug in the BSD software distribution which has remained unpatched for at least 25 years. Advocates of open source software argue that because of the large number of people working on such projects, bugs are quicker to spot and patch. But developer Marc Balmer's efforts have seemingly proved the opposite. He reported the filesystem bug in his blog on Saturday. "Much to my surprise, I not only found this problem in all other BSDs or BSD-derived systems like Mac OS X, but also in very old BSD versions," Balmer wrote. "The bug has been around for roughly 25 years or more."
E' solo uno spunto per sorridere e riflettere: non sto dicendo che anche nella piattaforma Windows non vi siano bug fossili come questo, ma davvero, siamo tutti nella stessa barca...
Per strapparvi un altro sorriso: non mi venite a dire che lo sviluppatore ha segnalato questa scoperta perché sotto sotto è il cugino di Steve Ballmer visto il cognome che si ritrova...
Il secondo articolo è relativo al lancio dell'iniziativa oCERT (Open Source Computer Emergency Response Team):
Response team boosts open-source security
IT managers often assume that open-source software is more secure than proprietary commercial software. Anyone who uses open source can examine the original code to spot any lurking vulnerabilities, and potentially even fix the vulnerabilities themselves. With proprietary software, you have to trust the vendor to do it all for you. But open source's supposed security advantage assumes three things: 1) someone is actually looking at the code, 2) security vulnerabilities are getting reported and fixed, and 3) information about those fixes makes its way to Linux distributors and other software vendors, which apply the fixes to their products. But what things aren't happening? As a customer, how can you be sure?
Se si riconosce la necessità di una iniziativa come l'oCERT per consolidare centralmente le segnalazioni delle vulnerabilità e agevolare l'inserimento delle relative correzioni in tutte le possibili distribuzioni si sta implicitamente ammettendo che il processo di gestione delle vulnerabilità del modello collaborativo Open Source così come è ora non è poi così infallibile e garanzia di maggiore sicurezza...
Quindi, intanto sono benvenute le iniziative come l'oCERT che contribuiscono a migliorare i processi tipo SDL anche in ambito Open Source, e se qualcun altro mi parla di "many eyeballs lead to secure code"... lo prendo a morsi!
Dopo avervi fornito su MClips le considerazioni più generali dell'emissione di bollettini di sicurezza di maggio, eccovi un'analisi più di dettaglio:
- MS08-026 su Word: due vulnerabilità Critical di tipo Remote Code Execution relative a tutte le versioni attualmente supportate di Office che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato. Il vettore di attacco è diverso per le due vulnerabilità: per la prima consiste in file/email di tipo RTF (Rich Text Format), per la seconda consiste in file di Word. In virtù di quanto detto questo bollettino merita una sollecitudine particolare all'aggiornamento da parte degli utenti dotati di Outlook 2007 e Outlook 2007 SP1: queste versioni utilizzano nativamente Word come editor predefinito e quindi sono soggette all'attacco da parte di email malformate ad-hoc in formato RTF se vengono visualizzate (anche in preview) in formato RTF/HTML (in queste situazioni la visualizzazione in formato solo testo è un valido workaround in attesa dell'aggiornamento).
Questo aggiornamento introduce inoltre un miglioramento funzionale di sicurezza: all'utente ora viene chiesta una conferma esplicita prima di procedere all'esecuzione di comandi/query SQL in caso di database Jet inclusi in documenti Word (per irrobustire la protezione da attacchi segnalati dal Security Advisory 950627 e indirizzati dal bollettino MS08-028). - MS08-027 su Publisher: una vulnerabilità Critical di tipo Remote Code Execution relativa a tutte le versioni attualmente supportate di Office che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Publisher malformati ad-hoc.
- MS08-028 sul Microsoft Jet 4.0 Database Engine (Jet) in Windows: una vulnerabilità Critical di tipo Remote Code Execution (già nota pubblicamente, e di cui era già nota la presenza di exploit) relativa solo alle versioni meno recenti e meno aggiornate di Windows (Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP1) che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'invio di query malformate ad-hoc ad applicazioni che utilizzano JET (il vettore di attacco tipico è l'invio di file MDB, direttamente o inclusi in documenti Word/email; gli utenti dotati di Outlook 2003/2007 sono a rischio anche rispetto alla visualizzazione in HTML in preview).
- MS08-029 sul Microsoft Malware Protection Engine incluso in Windows Live OneCare, Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateway, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Security for Exchange Server, Microsoft Forefront Security for SharePoint, Standalone System Sweeper presente in Diagnostics and Recovery Toolset 6.0 (DaRT): due vulnerabilità Moderate di tipo Denial of Service che permetterebbero di far smettere di funzionare (e di far ripartire automaticamente) i suddetti prodotti tramite l'invio di un file malformato ad-hoc e sottoposto a scansione da parte del Malware Protection Engine.
Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.
Per gli affezionati lettori che seguono il mio Security Blog dai suoi albori non sarà una novità scoprire che sotto la pelle da ingegnere elettronico mi batte un cuore da fisico teorico.
E' per questo che non ho resistito a segnalarvi il lancio al pubblico di questa fantastica iniziativa di Microsoft Research, il WorldWide Telescope (WWT)!!
Il WWT è un rich application portal che realizza, tramite un software di visualizzazione di tipo Web 2.0 (Visual Experience Engine), un telescopio virtuale direttamente sul vostro PC. Ne aveva già parlato Carlo Rossanigo su MClips, ed ora è una realtà alla portata di tutti, semplici appassionati di astronomia, studenti, educatori e ricercatori, che possono esplorare le meraviglie del cosmo tramite l'aggregazione di terabyte di dati e immagini, fino ad ora ad uso esclusivo degli scienziati di diversi osservatori terrestri e spaziali (alcuni esempi: Hubble Space Telescope, the Chandra X-Ray Observatory, the Sloan Digital Sky Survey (SDSS), and the Two Micron All Sky Survey (2MASS)).
Se al liceo avessi avuto a disposizione questa meraviglia forse non avrei abbandonato questa mia passione... così ora mi auguro che tanti possano riappassionarsi alla scienza grazie a questi nuovi incredibili strumenti.
La notizia segnalata dal lettore nel commento al mio ultimo post era effettivamente troppo succosa per non essere ripresa da un discreto numero di testate... visto che si poteva mettere in cattiva luce la sicurezza di Vista!
In sintesi: Simon Clausen, il CEO di PC Tools, ha commentato le statistiche di disinfezione del loro strumento anti-malware ThreatFire
"Ironically, the new operating system has been hailed by Microsoft as the most secure version of Windows to date, however, recent research conducted with statistics from over 1.4 million computers within the ThreatFire community has shown that Windows Vista is more susceptible to malware than the eight year old Windows 2000 operating system, and only 37% more secure than Windows XP."
E' un tema che questo mio blog dibatte spesso e volentieri: come si fa a dedurre considerazioni generali sulla sicurezza di un sistema operativo da queste metriche parziali (e spesso opinabili)? Con tutto il rispetto per PC Tools e per i suoi prodotti/servizi di sicurezza, è triste notare come il CEO di un'azienda di rilievo nel panorama informatico si presti a questi atteggiamenti di propaganda: avrei voglia di chiedere a Mr. Clausen, ma lei ci è o ci fa? Se crede davvero a quello che ha detto forse è meglio che si occupi di altro rispetto alla sicurezza, se invece (come credo) ha pensato utile metterla in quel modo per strategia marketing (il fatto che grazie a questa notizia si sia ottenuta pubblicità gratuita ai servizi di sicurezza di PC Tools, non è un risultato da poco...) beh allora... siamo alla frutta!
Questi risultati vanno presi come sono: indicazioni statistiche che possono mostrare dei trend, se l'analisi dei dati viene fatta in modo serio. Qualcuno infatti ha poi recuperato i dati del recente Microsoft Security Intelligence Report trovando addirittura parziale conferma alle affermazioni di PC Tools, dicendo che "...Windows 2000 è ancora più sicuro di un sistema con XP..." !!!
E qui, dopo aver contestato il metodo (induttivo, che usa questa equivalenza: meno malware rilevato = sistema più sicuro), vengo alla contestazione sul merito dei numeri.
- Confrontate voi la valenza statistica di una ricerca fatta su 1.4 milioni di PC rispetto a quella Microsoft realizzata su 450 milioni di PC ...
- Chi analizza i numeri dovrebbe almeno leggere il report per intero: da un lato i numeri normalizzati riportati da Microsoft sembrano dar adito all'affermazione virgolettata (Windows 2000 meglio di Windows XP), poiché a pag.48 si legge...
Windows Vista = 2,8%
Windows XP SP2 = 7,2%
Windows 2000 SP4 = 5,0%
Windows 2003 SP2 = 1,5%
... ma giusto nella pagina seguente (pag.49) si legge: "The infection rate of Windows 2000 SP4, which includes both server and client editions, falls between the infection rates of the pure server version (Windows Server 2003 SP2) and the client version (Windows XP SP2). Servers are typically accessed directly only by trained system administrators in controlled enterprise environments, so their effective attack surface tends to be much lower than computers running client operating systems".
Ritenete che siano dati confrontabili? Ha senso sparare notizie sensazionalistiche se non si analizzano i dati?
Quanta superficialità sta emergendo nell'informazione... :-((((
Rieccoci a parlare di bollettini visto che oggi è il venerdì che precede il famigerato Microsoft Patch Tuesday (il 2° martedì di ogni mese):
Recuperando i dettagli che trovate come al solito nella pagina di "Microsoft Security Bulletin Advance Notification for May 2008" si possono aggiungere le seguenti considerazioni:
- il bollettini per Word e Publisher interessano tutte le versioni attualmente supportate della suite Office.
- il bollettino sul Microsoft Jet 4.0 Database Engine interessa invece solo le versioni meno aggiornate di Windows, in particolare solo Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP1 (quindi non sono interessati Windows XP SP3, Windows Vista, Windows Server 2003 SP2 e Windows Server 2008).
- l'ultimo bollettino interessa l'intero insieme di prodotti anti-malware, probabilmente per una vulnerabilità nell'engine: sono interessati Windows Live OneCare, Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateway, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Security for Exchange Server, Microsoft Forefront Security for SharePoint, Standalone System Sweeper presente in Diagnostics and Recovery Toolset 6.0 (DaRT).
Se avete espresso un... DaRTche??? ... nel leggere del componente Standalone System Sweeper presente in Diagnostics and Recovery Toolset 6.0 (DaRT) che è parte del Microsoft Desktop Optimization Pack (MDOP) 2008, vi raccomando la lettura dei link ai post che ho agganciato alle parole precedenti.
Su questo tema ci diamo appuntamento a martedì notte (o mercoledì mattina) per l'analisi di rischio.
E' da poco uscito il secondo post di approfondimento delle novità di sicurezza di Internet Explorer 8, come vi ho segnalato nello scorso post a proposito del DEP/NX.
Questa volta il tema è tra i più importanti: i miglioramenti negli ActiveX. Come ho avuto di dire più volte, gli ActiveX hanno da sempre rappresentato una sorta di tallone di achille per Internet Explorer per un motivo molto semplice: di fatto esprimono l'eterno, delicato, equilibrio da raggiungere tra ricchezza di funzionalità ed esigenze di maggiore sicurezza
- gli ActiveX sono di fatto dei componenti pensati per estendere le funzionalità del browser e quindi per arricchirlo: la loro esistenza ha di fatto avvantaggiato tutto il mercato delle aziende che sviluppano software per il web...
- d'altra parte incorporare nel tuo sistema un componente sviluppato da una parte terza su cui Microsoft non può effettuare un controllo di qualità non è il massimo dal punto di vista della sicurezza: ...ma il modello è nato quando la sicurezza non era una preoccupazione riconosciuta fuori dalle università...
Quando ci si è accorti che la rischiosità di questo modello era diventata elevata a causa degli attacchi che indirizzavano gli ActiveX scritti male (ossia non scritti secondo le best practice di secure coding) non si è potuto dire "OK, allora aboliamo il modello...": cosa ne sarebbe stato di tutte le applicazioni web che si appoggiano agli ActiveX per arricchire e personalizzare l'esperienza degli utenti sul web? L'unico percorso possibile è stato quello di avviare un irrobustimento del modello per contrastare via via le tipologie di minacce che si sono osservate, bilanciando sempre il guadagno in termini di protezione rispetto all'inevitabile impatto sulle applicazioni terze che rischiavano di non funzionare più. Il passo più deciso in questa direzione è avvenuto con i miglioramenti di sicurezza di IE6 nel Service Pack 2 di Windows XP, e i ritorni positivi di quella esperienza hanno alimentato i miglioramenti di IE 7, per giungere ora a queste nuove funzionalità in IE8, di cui vi fornisco un breve accenno delle più significative, invitandovi alla lettura completa del post di Matthew David Crowley per l'elenco completo:
Per-User (Non-Admin) ActiveX:
Running IE8 in Windows Vista, a standard user may install ActiveX controls in their own user profile without requiring administrative privileges. This improvement makes it easier for an organization to realize the full benefit of User Account Control by enabling standard users to install ActiveX controls used in their day-to-day browsing. If a user happens to install a malicious ActiveX control, the overall system will be unaffected, as the control was installed only under the user’s account. Since installations can be restricted to a user profile, the risk and cost of compromise (and, in turn, the total cost of administering users on a machine) will be lowered significantly. [...]
Per-Site ActiveX
When a user navigates to a Web site containing an ActiveX control, IE8 performs a number of checks, including a determination of where a control is permitted to run. This check is referred to as Per-Site ActiveX, a defense mechanism to help prevent malicious repurposing of controls. If a control is installed, but is not permitted to run on a specific website, an Information Bar appears asking the user whether or not the control should be permitted to run on the current website. [...]
Enforcing Per-Site with ATL SiteLock Technology
If your ActiveX control is designed for use only on your web site, then locking it to the domain of that Web site will make it harder for other sites to repurpose the control in a malicious manner. [...]
La lettura completa del post di IE spero vi trasmetta anche l'importante attenzione posta alle esigenze degli amministratori di sistema di poter gestire in modo semplice e granulare tutte queste nuove opzioni tramite Group Policy e avere il pieno governo delle impostazioni correlate con la sicurezza: ricordate il mio motto "...la sicurezza è nulla senza il controllo..."?
Add-on del 9 maggio 2008: come noterete dal trackback nei commenti, l'amico Renato su Technet ha ripreso ed ampliato il tema di questo mio post con un interessante approfondimento sul Kill Bit (con una serie di link a risorse utili sul tema).
Riprendo doverosamente il post di Renato sul blog Technet che annuncia appunto la disponibilità definitiva del Windows XP Service Pack 3 sia su Windows Update che sul Microsoft Download Center. Dico "definitiva" perché avrete notato in questi giorni una anomala sospensione della sua disponibilità (e di quella del SP1 di Windows Vista): un problema di compatibilità dell'ultimo minuto relativa al prodotto Microsoft Dynamics Retail Management System ha richiesto di fermare le rotative per mettere in campo il meccanismo di filtering ed evitare che i clienti dotati di questo prodotto possano inavvertitamente installare questi service pack. Quindi vi raccomando, questa volta più che mai (anche tenuto conto della distanza dal suo precedente service pack e quindi della sua corposità...), di consultare le informazioni disponibili pre-installazione (Release Notes, - di solito ignorate...;-)... - , FAQ e note relativa alla gestione di pre-release di IE, tutte opportunamente raccolte da Renato e Giorgio sul blog Technet).
Come fatto per Windows Vista SP1, approfitto per estrapolarvi le migliorie e le novità di sicurezza dal documento definitivo di overview in modo da averle tutte qui at a glance: quelle migliorate
Background Intelligent Transfer Service (BITS) 2.5
BITS 2.5 is required by Microsoft System Center Configuration Manager 2007 and Windows Live™ OneCare™. BITS 2.5 helps improve security. If you use BITS to transfer data, the new features also improve flexibility. Microsoft Knowledge Base article 923845 describes BITS 2.5.
IPSec Simple Policy Update for Windows Server 2003 and Windows XP
This update helps simplify the creation and maintenance of IPSec filters, reducing the number of filters that are required for a server and domain isolation deployment. The Simple Policy Update removes the requirement for explicit network infrastructure permit filters and introduces enhanced fallback to clear behavior. Microsoft Knowledge Base article 914841 describes this previously released update in more detail.
Digital Identity Management Service (DIMS)
DIMS make it possible for users who log on to any domain-joined computer to silently access all of their certificates and private keys for applications and services.
Wi-Fi Protected Access 2 (WPA2)
This update to Windows XP provides support for WPA2, the latest standards-based wireless security solution derived from the IEEE 802.11i standard. Microsoft Knowledge Base article 893357 describes this update.
e quelle nuove:
Network Access Protection (NAP)
NAP is a policy enforcement platform built into Windows Vista, Windows Server 2008, and Windows XP SP3 with which you can better protect network assets by enforcing compliance with system health requirements. Using NAP, you can create customized health policies to validate computer health before allowing access or communication; automatically update compliant computers to ensure ongoing compliance; and optionally confine noncompliant computers to a restricted network until they become compliant. For more information about NAP, see Network Access Protection: Frequently Asked Questions.
CredSSP Security Service Provider
CredSSP is a new Security Service Provider (SSP) that is available in Windows XP SP3 via Security Service Provider Interface (SSPI). CredSSP enables an application to delegate the user’s credentials from the Client (via Client side SSP) to the target Server (via Server side SSP). Windows XP SP3 involves only the Client side SSP implementation and is currently being used by RDP 6.1 (TS), though it can be used by any third party application willing to use the Client side SSP to interact with applications running Server side implementations of the same on Vista / LH Server. There is a technical specification of this SSP available at the Microsoft Download Center. [...]
Descriptive Security Options User Interface
The Security Options control panel in Windows XP SP3 now has more descriptive text to explain settings and prevent incorrect settings configuration. Figure 1 shows an example of this new functionality.
Figure 1. Security options explanatory text
Enhanced security for Administrator and Service policy entries
In System Center Essentials for Windows XP SP3, Administrator and Service entries will be present by default on any new instance of policy. Additionally, the user interface for the Impersonate Client After Authentication user right will not be able to remove these settings.
Microsoft Cryptographic Module
Implements and supports the SHA2 hashing algorithms (SHA256, SHA384, and SHA512) in X.509 certificate validation. This has been added to the crypto module rsaenh.dll. XP SP2 crypto modules Rsaenh.dll/Dssenh.dll/Fips.sys had been certified according to FIPS 140-1 specifications. The Federal Information Processing Standard (FIPS) 140-1 standard has been replaced by FIPS 140-2, and these modules have been validated and certified according to this standard. For more information, see the Microsoft Kernel Mode Cryptographic Module.
Windows Product Activation
As in Windows Server 2003 SP2 and Windows Vista, users can now complete operating system installation without providing a product key during a full, integrated installation of Windows XP SP3. The operating system will prompt the user for a product key later as part of Genuine Advantage. As with previous service packs, no product key is requested or required when installing Windows XP SP3 using the update package available through Microsoft Update. [...]
Ho in cantiere una nuova edizione del mio Microsoft Security Portal dove aggiungerò queste nuovi puntatori, stay tuned!
Sento nuovamente la necessità di tornare su questo aspetto importante, innanzitutto per scusarmi con i lettori a cui non sempre riesco a rispondere. Sono diversi coloro che, tipicamente tramite i motori di ricerca, scovano i miei post sull'argomento "furto della password" (per Windows Live, Messenger, Hotmail, MSN) e mi contattano, nella speranza che io possa aiutarli velocemente ad arginare il problema, chiedendomi di bloccare il loro account o la loro casella di posta, o di recuperare la loro password perduta, sottratta o addirittura utilizzata in parallelo senza modificarla.
Purtroppo non dispongo di un percorso privilegiato per aiutarvi singolarmente: l'unico modo adeguato per ottenere supporto è quello previsto direttamente da Windows Live che vi ho già indicato nei vari post che ho raccolto nella pagina dedicata alle emergenze di sicurezza
Tanti di coloro che mi scrivono non sembrano aver letto le indicazioni di quei post, (che di fatto sono esaustive per ritrovare i link utili ad ottenere supporto) o probabilmente a questo punto le informazioni che vi ho fornito non sono facilmente leggibili.
Stavo già pensando di riscrivere una pagina web ad hoc con tutte le indicazioni messe in ordine, quando ho ritrovato la segnalazione che mi aveva fatto il collega che qui in Microsoft è il Product Manager di Windows Live Messenger: sono due paginette web sul sito www.messenger.it, forse poco note, ma che hanno davvero l'insieme dei consigli utili per far fronte a queste problematiche e per migliorare la comprensione di queste minacce
Un ultimo consiglio, che finora non avevo dato esplicitamente ed è incluso nel primo link che vi ho fornito, è quello di non escludere la possibilità di sporgere denuncia alla Polizia Postale per segnalare queste violazioni.
Spero che molti di voi abbiano avuto modo di approfittare di questo lungo ponte per ritemprarsi. Io l'ho fatto e ho volontariamente tenuto le mani lontane da Windows Live Writer, nonostante mi prudessero già da mercoledì scorso dopo aver letto la ripresa di Punto Informatico di alcuni articoli vaneggianti sul tool COFEE di cui Microsoft ha parlato durante l'avvio del Law Enforcement Tech 2008, evento dedicato a rappresentanti delle forze dell'ordine di tutto il mondo per aggiornarli sull'evoluzione tecnologica a supporto delle loro attività di investigazione contro il cybercrime.
La mia rubrica Anti-FUD era triste perché sono passati due mesi dall'ultimo post di contrasto alla disinformazione, e mi stavo sinceramente preoccupando... eccomi accontentato!
Prima ricostruiamo velocemente il percorso di questa disinformazione: la sorgente iniziale della notizia è il comunicato stampa di Microsoft, quello che io stesso stavo per riprendere al fine di segnalarvi l'impegno attivo di Microsoft sul fronte del contrasto al cybercrime. Il penultimo paragrafo parla di COFEE (Computer Online Forensic Evidence Extractor) e sinceramente mi sembrava che fosse indicato abbastanza chiaramente l'intento del tool: automatizzare la raccolta di prove da un computer appena sequestrato, semplificando il lavoro dell'agente di polizia che in assenza di questo tool dovrebbe lanciare circa 150 comandi per un lavoro di 3-4 ore, mentre tramite l'uso di COFEE riesce a realizzare il lavoro di raccolta di dati e log (che già realizzava - a manina - fino a ieri) in circa 20 minuti. L'articolo che poi ha dato il via ai dubbi e ai sospetti è stato quello del "The Seattle Times" in cui si scrive "... It can decrypt passwords and analyze a computer's Internet activity, as well as data stored in the computer".
Apriti cielo! Quale miglior alzata di pallavolo per i fautori dell'equivalenza Microsoft=Grande Fratello, ecco finalmente la prova delle backdoor per aggirare la sicurezza di Windows, ecco le chiavi segrete per bypassare Bitlocker, addirittura i Trojan di Stato... e chi più ne ha piu ne metta, in una deriva di disinformazione a dir poco allucinante per chi sa di che cosa si stia parlando!
Ecco, riprendendo questo ultimo punto sottolineato, solo un aspetto può parzialmente giustificare questo "molto rumore per nulla": la mancanza di dettagli tecnici sul tool e l'impossibilità di poterne disporre pubblicamente per poter verificare quali strumenti utilizzi per la raccolta di informazioni dal computer sequestrato (dal momento che verrà distribuito solo alle agenzie di law enforcement dotate di appropriata autorità legale).
E' per questo che vi condivido quel poco che so al momento (visto che non ho ancora avuto modo di accedere al tool e di analizzarlo): per quanto esigui, questi semplici elementi tecnici che vi riporto credo (e spero) siano sufficienti a smontare questo polverone. Il tool COFEE:
- può agire solo su un computer non lockato, e richiede che l'utente loggato sia dotato di privilegi amministrativi
- non può essere usato da remoto ma solo localmente tramite una chiavetta USB
- è solo un tool che consolida in un singolo strumento un insieme di tool di forensic già reperibili pubblicamente, che utilizzano metodi ed API ampiamente documentati per accedere alle informazioni da salvare per l'analisi successiva, prima che il computer sia spento e staccato dalla rete in cui sta agendo al momento del sequestro
- verrà distribuito solo alle agenzie in grado di esercitare adeguata autorità legale (come per esempio in seguito ad un mandato emesso dall'autorità giudiziara)
Ora, mi appello alla vostra cultura di sicurezza informatica su piattaforma Microsoft (che spero si sia rafforzata almeno un pelino leggendo questo mio blog...;-): vi rendete conto che il primo punto che vi ho indicato spiega tutto?
- l'esecuzione di tool/programmi su un computer non lockato con l'utenza dotata di privilegi amministrativi vi permette di accedere a praticamente quasi tutto del vostro PC senza dover aggirare alcun meccanismo di protezione di Windows e senza la necessità di alcuna fantomatica backdoor: alcune considerazioni di dettaglio
- Bitlocker protegge dagli attacchi offline (computer spento): se accedete ai dati mentre siete online i dati risultano in chiaro (perché vengono cifrati al volo quando si scrive, e decifrati al volo quando si legge) anche se sono cifrati su disco
- il "quasi" (in grassetto) che ho usato nella precedente asserzione sulla possibilità di accedere a tutti i dati del vostro PC fa riferimento alla situazione in cui i dati siano stati cifrati: a prescindere dallo strumento che state utilizzando per cifrare (EFS o altri non Microsoft), se la chiave di cifratura è stata memorizzata sul PC siete esposti alla possibilità di recuperare tale chiave e quindi di decifrare i vostri dati, altrimenti nessuno (senza la chiave) può violare la confidenzialità delle vostre informazioni.
- pensate che il tool non è in grado di bypassare nemmeno uno screensaver protetto da password... ho detto tutto...
Io credo che la necessità di fornirlo solo alle forze dell'ordine non sia nei segreti che racchiude (che, davvero, non vi sono), quanto nell'automatismo e nella velocità del processo di raccolta di dati sensibili: capite che se fosse fornito pubblicamente, aumenterebbe la possibilità di violare la privacy degli utenti con sforzo minimo... immaginate lo scenario banale (ma non troppo!) della signora delle pulizie che trova un computer non lockato e zac! vi ruba tutto il possibile e l'immaginabile in 20 minuti...
Spero di essere riuscito a dissipare qualche nebbia, in attesa di poter vedere il tool e spiegarvi qualche dettaglio in più (se potrò...;-).
Permettetemi di chiudere ribadendo una considerazione già fatta sulle eventuali backdoor in Windows: come ho avuto modo di dirvi già in uno dei miei primi post, il codice sorgente di Windows è disponibile per la consultazione ad una serie di enti governativi che possono accedere al programma denominato Government Security Program, quindi proprio coloro che avrebbero più perplessità su questo tema hanno lo strumento per verificare il codice e togliersi ogni dubbio al riguardo, quindi come allora ribadisco... siamo seri... altro che backdoor!
| Share this post : |  |  | |