hit counter
14 March 2007

Il valore di UAC - parte 2a: delegare al sistema l'applicazione del principio del Least Privilege

 

L'interesse e i commenti sul tema UAC scatenati dal mio precedente post al riguardo, mi spingono a tornare sull'argomento con qualche dettaglio in più, perché mi preme farvi apprezzare il valore dello User Account Control alla luce del percorso che ha portato Microsoft fino a qui, e che la spinge a proseguire.

Il cuore del problema si può riassumere così: assodato che tutti probabilmente concordiamo sulla necessità di applicare il principio del Least Privilege (che di seguito indico con LP) come pratica per migliorare la sicurezza, come ci assicuriamo che venga effettivamente applicato ?

Scenario aziendale: tipicamente l'utente è una persona diversa dall'amministratore del suo PC (ho detto "tipicamente", ma vi assicuro che la nostra esperienza sui grandi clienti italiani non è molto confortante rispetto a questa basilare best practice di sicurezza... ) e in questo caso la separazione fisica dei ruoli facilita l'applicazione del principio del LP, l'utente usa un account non privilegiato, si ritrova un PC più o meno blindato, e i task di gestione vengono fatti solo dal suo amministratore.

Nello scenario non aziendale, "consumer", almeno un utilizzatore del computer è necessariamente anche amministratore, a pieno titolo, senza mezze misure: l'applicazione del principio del LP è demandato alla buona volontà e competenza dell'utente, e questo ha mostrato tutti i suoi limiti.

Se va bene ci troviamo di fronte ad un utente esperto (e consapevole dei rischi di sicurezza nel navigare e aprire allegati pericolosi con le credenziali amministrative) che crea due account e li usa in base al da farsi. Se va male ci troviamo di fronte all'utente medio, puro utilizzatore e poco tecnico, che è amministratore pieno (magari senza saperlo o senza ricordarlo più ...), che finirà per ritrovarsi un bel giorno infestato da una famiglia di malware comodamente seduta sul suo salotto di casa, senza nessuna voglia di andarsene...

Considerazione n°1: delegare alla competenza dell'utente l'applicazione del principio del LP non funziona. Anche se è sempre importante aumentare la sua consapevolezza ("Security awareness"), non si può fare affidamento sulla sua preparazione tecnica.

Considerazione n°2: anche demandare alla buona volontà dell'utente esperto si è rivelato non efficace: prima di arrivare allo UAC, in Microsoft si è cominciato diversi anni prima a sperimentare il Least-privileged User Account (LUA), ossia a verificare i diversi problemi di compatibilità che si avevano nell'usare sempre e comunque l'utente non privilegiato. Quello che emergeva era che anche l'utente esperto non riusciva nel suo intento di usare poco l'elevazione di privilegi, perché costretto da tutta una serie di applicazioni scritte senza l'attenzione al principio del LP (in tempi in cui la sicurezza non era la priorità principale), strutturate per usare i pieni poteri senza averne necessariamente bisogno, per sola comodità e pigrizia.

Quindi come far evolvere questa piattaforma Windows, con questi vincoli (applicazioni legacy che hanno bisogno di pieni poteri) e l'urgente necessità di limitare l'abuso delle credenziali privilegiate ?

Approccio: cominciamo a delegare al sistema l'applicazione del principio del LP, il controllo dell'utilizzo dei privilegi. Sia che si sia un utente semplice o un amministratore, il sistema ti fa operare con il numero più basso di privilegi e ti guida, ti segnala la necessità di innalzarli per i task che lo richiedono. Quindi se concordo con chi dice che sono concetti di sicurezza che altre piattaforme hanno già da tempo, mi sento di dire che è assolutamente nuovo questo tipo di "automatismo" che ha in carico il controllo dei privilegi necessari e guida l'utente nelle operazioni di elevation. UAC, così facendo, ottiene 2 risultati:  aiuta l'utente 1) sia ad applicare realmente il principio del LP, 2) che a educarlo a comprendere quali situazioni richiedano più privilegi e quindi siano potenzialmente più pericolose, e a insospettirlo rispetto a situazioni anomale di richiesta di privilegi.

Per chiudere questo secondo approfondimento, volevo farvi notare che il nome della funzionalità non è stato scelto a caso, riflette esattamente questo approccio di progetto: già dopo la beta 1 di Windows Vista il nome è diventato User Account Control proprio per rimarcare questo aspetto di controllo da parte del sistema nell'utilizzo dei privilegi.

Filed under: ,
 

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# Giuliastro said:

Io continuo a pensare che questo automatismo non sia propriamente una novita', Feliciano. Linux gia' da anni utilizza questo sistema, le distribuzioni basate su Debian implementano questa caratteristica con i cosiddetti "sudoers", mantenuti all'interno di un file di configurazione che definisce con esattezza chi puo' fare e cosa puo' fare, obbligando, nella sua configurazione minimale, l'utente ad inserire la propria password prima di poter eseguire azioni protette.

La differenza forse consiste nel fatto che, nel caso di Linux, il sistema e' parecchio piu' versatile e configurabile. Ti faccio delle domande: e' sufficiente come procedura di sicurezza chiedere una conferma prima di lasciar eseguire ad un utente operazioni da amministratore? E' possibile con Vista distinguere le operazioni da poter eseguire attraverso UAC e quelle invece affidabili o fare distinzioni per tipo di utente o stabilire addirittura delle password?

26 March 07 at 3:31 AM
# Feliciano Intini said:

Per quel che so io (purtroppo -ancora- poco), i "sudoers" abilitano appunto la possibilità di delegare l'uso dei privilegi di root ad altri utenti, ok in modo granulare, ma 1) non mi sentirei di parlare di automatismo quando si tratta di modificare a manina un file di configurazione, e in più rispetto ad un set statico di utenti e programmi, che deve comunque decidere a priori l'amministratore 2) l'UAC, come detto, fa anche una restrizione in senso opposto, confinando all'uso di un security token non privilegiato anche quando sei loggato come amministratore. E non ho ancora postato sugli aspetti di virtualizzazione ...

Sulla prima domanda: credo che la sicurezza sia legata al livello di "trust" nei confronti del codice/comando che si va a lanciare (ma questo è un tema diverso e fa leva su controlli diversi), noi invece stiamo confrontando strumenti che aiutano ad evitare l'abuso di privilegi amministrativi. Nella seconda domanda mostri di gradire la granularità/flessibilità nel controllare e delegare l'esecuzione dei programmi, ma questa gestione è comunque subordinata all'attività dell'amministratore, non integrata nel sistema e ad esso delegata. Sono modi diversi, e a mio personale parere, adatti a scenari diversi: ribadisco che lo UAC nasce per condurre le brutte abitudini che si sono sviluppate nel tempo sulla piattaforma Windows da parte di utilizzatori, amministratori e sviluppatori, verso un nuovo modo di utilizzare, amministrare e programmare che usi con parsimonia i privilegi per ridurre il rischio.

28 March 07 at 12:01 PM
# Giuliastro said:

Capisco il punto. Ma se mi parli di cattive abitudini secondo me l'UAC di Vista non contribuisce a limitarle. L'utente tipico si ritrova a premere "si'" all'UAC piu' volte a sessione, quanto ci mette secondo te a farla diventare un'abitudine facendo perdere del tutto il senso all'operazione?

Se ci riferiamo ad un utente esperto, conscio ed attento dei danni che puo' fare allora e' sicuramene piu' utile un sistema piu' versatile e configurabile come quello di Linux. Se invece il target e' l'utente medio che ha la sola necessita' di usare il suo PC allora secondo il mio parere l'UAC di Vista si riduce ad una mascherina sulla quale bisogna premere "si'" ogni volta per poter continuare a lavorare.

Sicuramente sto parlando di un sistema ancora poco noto e testato, arrivato in ritardo e per ultimo. Spero solo che l'UAC prenda perche' funzioni e non solo perche' e' Microsoft a spingerlo.

04 April 07 at 4:17 AM
# Alberto said:

A scoppio ritardatissimo (impegni vari) mi aggiungo anch'io)

Continuo a dire: il problema non è 'sto benedetto UAC, bensi la cosiddetta modalita protetta.

Sulla mia linux box ho la mia utenza normale che non ha  possibilità di scrittura da nessuna altra parte che non sia la propria home; non ha permessi di esecuzione per la gran parte dei comandi di sistema (compreso shutdown).

Questa modalità protetta in Vista è abbastanza protetta da impedire di seminare l'intero filesystem di ospiti sgraditi, di attivare servizi all'insaputa dell'utente, di caricare all'avvio ospiti indesiderati ecc. ecc, di cancellare intere directory da c:\programmi per disinstallare un applicativo? Se si, tanto meglio, l'UAC ha una sua funzione; ma se alla fine la modalità protetta non impedisce queste cose,l'UAC è semplicemente uno specchietto per le allodole, buono solo a nascondere le magagne di un sistema bacato (nel senso comune termine) in partenza.

Vederemo

Ciao

06 April 07 at 10:10 PM
# Feliciano Intini said:

Della serie "meglio tardi che mai":

per Giuliastro: la mia personale esperienza di frequenza con la richiesta di innalzamento di privilegi è diversa dalla tua; a me adesso, nel caso peggiore, mi capita un paio di volte nelle 10 ore di lavoro medie al giorno. La conferma con il "Sì" e non con la richiesta di credenziali avviene poi se sei ancora amministratore, e abbiamo detto che non si dovrebbe più avere la necessità di lavorare in tale modalità (superato il periodo iniziale di setup del PC). Non credi di mostrare nelle tue parole un leggero preconcetto nei confronti di Vista ?... :-)

Per Alberto: la modalità protetta funziona fornendo all'utente un token privato dei privilegi amministrativi, quindi di fatto è come se tu fossi loggato come un utente normale anche se sei entrato come amministratore.

Per entrambi: sono d'accordo che il tempo ci aiuterà a capire la bontà dell'UAC, ma nel tempo si può avere anche tempo di migliorarlo, no ?

23 April 07 at 12:19 PM
# Security Blog di Feliciano Intini said:

... il modo è: lascio la porta aperta! Starete sicuramente pensando: il caldo record di questi giorni

19 July 07 at 8:13 AM
# Security Blog di Feliciano Intini said:

Inoltro al volo la segnalazione dell'amico Renato (che ricordo essere, assieme a Giorgio, parte del mitico

22 January 08 at 10:38 AM
# ABCcletta said:

Concordo assolutamente con quanto scrivi. Vorrei aggiungere che i paragoni con sudo e più in generale con i sistemi Linux vanno ponderati a seconda della situazione. In particolare va considerato che la gestione privilegi di Linux è rimasta praticamente immutata, cosa che ha portato gli sviluppatori a creare software seguendo determinate regole.

Su Windows la situazione è molto differente. Gli sviluppatori si sono erroneamente avvantaggiati di una situazione di per se infelice (la gestione privilegi non era un granchè) e questo trend ha portato ai problemi attualemente riscontrabili. Da qui la creazione di UAC.

Personalmente, per il tipo di utilizzo che faccio del pc ho preferito disattivarlo e avvantaggiarmi degli integrity level di Vista diversamente con PsExec di Russinovich e ICACLS. In particolare le applicazioni a rischio vengono eseguite con uno user differente e con integrità bassa, avendo cura di settare le directory in cui è necessario il permesso di scrittura (profilo firefox, file ricevuti msn, etc.) ad integrità bassa.

17 April 08 at 9:58 AM
# Security Blog di Feliciano Intini said:

Non so quanti di voi l'abbiano già letto, ma questo post che vi segnalo del blog " Engineering Windows

28 November 08 at 7:48 AM
# Security Blog di Feliciano Intini said:

Nei giorni scorsi non si parlava d'altro rispetto al tema Windows 7 Security : le frasi sulla bocca di

17 February 09 at 7:13 PM

Leave a Comment

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

(required) 
(optional)
(required) 

  
Enter Code Here: Required
Page view tracker