Rieccoci a parlare di bollettini visto che oggi è il venerdì che precede il famigerato Microsoft Patch Tuesday (il 2° martedì di ogni mese):
Recuperando i dettagli che trovate come al solito nella pagina di "Microsoft Security Bulletin Advance Notification for May 2008" si possono aggiungere le seguenti considerazioni:
- il bollettini per Word e Publisher interessano tutte le versioni attualmente supportate della suite Office.
- il bollettino sul Microsoft Jet 4.0 Database Engine interessa invece solo le versioni meno aggiornate di Windows, in particolare solo Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP1 (quindi non sono interessati Windows XP SP3, Windows Vista, Windows Server 2003 SP2 e Windows Server 2008).
- l'ultimo bollettino interessa l'intero insieme di prodotti anti-malware, probabilmente per una vulnerabilità nell'engine: sono interessati Windows Live OneCare, Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateway, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Security for Exchange Server, Microsoft Forefront Security for SharePoint, Standalone System Sweeper presente in Diagnostics and Recovery Toolset 6.0 (DaRT).
Se avete espresso un... DaRTche??? ... nel leggere del componente Standalone System Sweeper presente in Diagnostics and Recovery Toolset 6.0 (DaRT) che è parte del Microsoft Desktop Optimization Pack (MDOP) 2008, vi raccomando la lettura dei link ai post che ho agganciato alle parole precedenti.
Su questo tema ci diamo appuntamento a martedì notte (o mercoledì mattina) per l'analisi di rischio.
E' da poco uscito il secondo post di approfondimento delle novità di sicurezza di Internet Explorer 8, come vi ho segnalato nello scorso post a proposito del DEP/NX.
Questa volta il tema è tra i più importanti: i miglioramenti negli ActiveX. Come ho avuto di dire più volte, gli ActiveX hanno da sempre rappresentato una sorta di tallone di achille per Internet Explorer per un motivo molto semplice: di fatto esprimono l'eterno, delicato, equilibrio da raggiungere tra ricchezza di funzionalità ed esigenze di maggiore sicurezza
- gli ActiveX sono di fatto dei componenti pensati per estendere le funzionalità del browser e quindi per arricchirlo: la loro esistenza ha di fatto avvantaggiato tutto il mercato delle aziende che sviluppano software per il web...
- d'altra parte incorporare nel tuo sistema un componente sviluppato da una parte terza su cui Microsoft non può effettuare un controllo di qualità non è il massimo dal punto di vista della sicurezza: ...ma il modello è nato quando la sicurezza non era una preoccupazione riconosciuta fuori dalle università...
Quando ci si è accorti che la rischiosità di questo modello era diventata elevata a causa degli attacchi che indirizzavano gli ActiveX scritti male (ossia non scritti secondo le best practice di secure coding) non si è potuto dire "OK, allora aboliamo il modello...": cosa ne sarebbe stato di tutte le applicazioni web che si appoggiano agli ActiveX per arricchire e personalizzare l'esperienza degli utenti sul web? L'unico percorso possibile è stato quello di avviare un irrobustimento del modello per contrastare via via le tipologie di minacce che si sono osservate, bilanciando sempre il guadagno in termini di protezione rispetto all'inevitabile impatto sulle applicazioni terze che rischiavano di non funzionare più. Il passo più deciso in questa direzione è avvenuto con i miglioramenti di sicurezza di IE6 nel Service Pack 2 di Windows XP, e i ritorni positivi di quella esperienza hanno alimentato i miglioramenti di IE 7, per giungere ora a queste nuove funzionalità in IE8, di cui vi fornisco un breve accenno delle più significative, invitandovi alla lettura completa del post di Matthew David Crowley per l'elenco completo:
Per-User (Non-Admin) ActiveX:
Running IE8 in Windows Vista, a standard user may install ActiveX controls in their own user profile without requiring administrative privileges. This improvement makes it easier for an organization to realize the full benefit of User Account Control by enabling standard users to install ActiveX controls used in their day-to-day browsing. If a user happens to install a malicious ActiveX control, the overall system will be unaffected, as the control was installed only under the user’s account. Since installations can be restricted to a user profile, the risk and cost of compromise (and, in turn, the total cost of administering users on a machine) will be lowered significantly. [...]
Per-Site ActiveX
When a user navigates to a Web site containing an ActiveX control, IE8 performs a number of checks, including a determination of where a control is permitted to run. This check is referred to as Per-Site ActiveX, a defense mechanism to help prevent malicious repurposing of controls. If a control is installed, but is not permitted to run on a specific website, an Information Bar appears asking the user whether or not the control should be permitted to run on the current website. [...]
Enforcing Per-Site with ATL SiteLock Technology
If your ActiveX control is designed for use only on your web site, then locking it to the domain of that Web site will make it harder for other sites to repurpose the control in a malicious manner. [...]
La lettura completa del post di IE spero vi trasmetta anche l'importante attenzione posta alle esigenze degli amministratori di sistema di poter gestire in modo semplice e granulare tutte queste nuove opzioni tramite Group Policy e avere il pieno governo delle impostazioni correlate con la sicurezza: ricordate il mio motto "...la sicurezza è nulla senza il controllo..."?
Riprendo doverosamente il post di Renato sul blog Technet che annuncia appunto la disponibilità definitiva del Windows XP Service Pack 3 sia su Windows Update che sul Microsoft Download Center. Dico "definitiva" perché avrete notato in questi giorni una anomala sospensione della sua disponibilità (e di quella del SP1 di Windows Vista): un problema di compatibilità dell'ultimo minuto relativa al prodotto Microsoft Dynamics Retail Management System ha richiesto di fermare le rotative per mettere in campo il meccanismo di filtering ed evitare che i clienti dotati di questo prodotto possano inavvertitamente installare questi service pack. Quindi vi raccomando, questa volta più che mai (anche tenuto conto della distanza dal suo precedente service pack e quindi della sua corposità...), di consultare le informazioni disponibili pre-installazione (Release Notes, - di solito ignorate...;-)... - , FAQ e note relativa alla gestione di pre-release di IE, tutte opportunamente raccolte da Renato e Giorgio sul blog Technet).
Come fatto per Windows Vista SP1, approfitto per estrapolarvi le migliorie e le novità di sicurezza dal documento definitivo di overview in modo da averle tutte qui at a glance: quelle migliorate
Background Intelligent Transfer Service (BITS) 2.5
BITS 2.5 is required by Microsoft System Center Configuration Manager 2007 and Windows Live™ OneCare™. BITS 2.5 helps improve security. If you use BITS to transfer data, the new features also improve flexibility. Microsoft Knowledge Base article 923845 describes BITS 2.5.
IPSec Simple Policy Update for Windows Server 2003 and Windows XP
This update helps simplify the creation and maintenance of IPSec filters, reducing the number of filters that are required for a server and domain isolation deployment. The Simple Policy Update removes the requirement for explicit network infrastructure permit filters and introduces enhanced fallback to clear behavior. Microsoft Knowledge Base article 914841 describes this previously released update in more detail.
Digital Identity Management Service (DIMS)
DIMS make it possible for users who log on to any domain-joined computer to silently access all of their certificates and private keys for applications and services.
Wi-Fi Protected Access 2 (WPA2)
This update to Windows XP provides support for WPA2, the latest standards-based wireless security solution derived from the IEEE 802.11i standard. Microsoft Knowledge Base article 893357 describes this update.
e quelle nuove:
Network Access Protection (NAP)
NAP is a policy enforcement platform built into Windows Vista, Windows Server 2008, and Windows XP SP3 with which you can better protect network assets by enforcing compliance with system health requirements. Using NAP, you can create customized health policies to validate computer health before allowing access or communication; automatically update compliant computers to ensure ongoing compliance; and optionally confine noncompliant computers to a restricted network until they become compliant. For more information about NAP, see Network Access Protection: Frequently Asked Questions.
CredSSP Security Service Provider
CredSSP is a new Security Service Provider (SSP) that is available in Windows XP SP3 via Security Service Provider Interface (SSPI). CredSSP enables an application to delegate the user’s credentials from the Client (via Client side SSP) to the target Server (via Server side SSP). Windows XP SP3 involves only the Client side SSP implementation and is currently being used by RDP 6.1 (TS), though it can be used by any third party application willing to use the Client side SSP to interact with applications running Server side implementations of the same on Vista / LH Server. There is a technical specification of this SSP available at the Microsoft Download Center. [...]
Descriptive Security Options User Interface
The Security Options control panel in Windows XP SP3 now has more descriptive text to explain settings and prevent incorrect settings configuration. Figure 1 shows an example of this new functionality.
Figure 1. Security options explanatory text
Enhanced security for Administrator and Service policy entries
In System Center Essentials for Windows XP SP3, Administrator and Service entries will be present by default on any new instance of policy. Additionally, the user interface for the Impersonate Client After Authentication user right will not be able to remove these settings.
Microsoft Cryptographic Module
Implements and supports the SHA2 hashing algorithms (SHA256, SHA384, and SHA512) in X.509 certificate validation. This has been added to the crypto module rsaenh.dll. XP SP2 crypto modules Rsaenh.dll/Dssenh.dll/Fips.sys had been certified according to FIPS 140-1 specifications. The Federal Information Processing Standard (FIPS) 140-1 standard has been replaced by FIPS 140-2, and these modules have been validated and certified according to this standard. For more information, see the Microsoft Kernel Mode Cryptographic Module.
Windows Product Activation
As in Windows Server 2003 SP2 and Windows Vista, users can now complete operating system installation without providing a product key during a full, integrated installation of Windows XP SP3. The operating system will prompt the user for a product key later as part of Genuine Advantage. As with previous service packs, no product key is requested or required when installing Windows XP SP3 using the update package available through Microsoft Update. [...]
Ho in cantiere una nuova edizione del mio Microsoft Security Portal dove aggiungerò queste nuovi puntatori, stay tuned!
Sento nuovamente la necessità di tornare su questo aspetto importante, innanzitutto per scusarmi con i lettori a cui non sempre riesco a rispondere. Sono diversi coloro che, tipicamente tramite i motori di ricerca, scovano i miei post sull'argomento "furto della password" (per Windows Live, Messenger, Hotmail, MSN) e mi contattano, nella speranza che io possa aiutarli velocemente ad arginare il problema, chiedendomi di bloccare il loro account o la loro casella di posta, o di recuperare la loro password perduta, sottratta o addirittura utilizzata in parallelo senza modificarla.
Purtroppo non dispongo di un percorso privilegiato per aiutarvi singolarmente: l'unico modo adeguato per ottenere supporto è quello previsto direttamente da Windows Live che vi ho già indicato nei vari post che ho raccolto nella pagina dedicata alle emergenze di sicurezza
Tanti di coloro che mi scrivono non sembrano aver letto le indicazioni di quei post, (che di fatto sono esaustive per ritrovare i link utili ad ottenere supporto) o probabilmente a questo punto le informazioni che vi ho fornito non sono facilmente leggibili.
Stavo già pensando di riscrivere una pagina web ad hoc con tutte le indicazioni messe in ordine, quando ho ritrovato la segnalazione che mi aveva fatto il collega che qui in Microsoft è il Product Manager di Windows Live Messenger: sono due paginette web sul sito www.messenger.it, forse poco note, ma che hanno davvero l'insieme dei consigli utili per far fronte a queste problematiche e per migliorare la comprensione di queste minacce
Un ultimo consiglio, che finora non avevo dato esplicitamente ed è incluso nel primo link che vi ho fornito, è quello di non escludere la possibilità di sporgere denuncia alla Polizia Postale per segnalare queste violazioni.
Spero che molti di voi abbiano avuto modo di approfittare di questo lungo ponte per ritemprarsi. Io l'ho fatto e ho volontariamente tenuto le mani lontane da Windows Live Writer, nonostante mi prudessero già da mercoledì scorso dopo aver letto la ripresa di Punto Informatico di alcuni articoli vaneggianti sul tool COFEE di cui Microsoft ha parlato durante l'avvio del Law Enforcement Tech 2008, evento dedicato a rappresentanti delle forze dell'ordine di tutto il mondo per aggiornarli sull'evoluzione tecnologica a supporto delle loro attività di investigazione contro il cybercrime.
La mia rubrica Anti-FUD era triste perché sono passati due mesi dall'ultimo post di contrasto alla disinformazione, e mi stavo sinceramente preoccupando... eccomi accontentato!
Prima ricostruiamo velocemente il percorso di questa disinformazione: la sorgente iniziale della notizia è il comunicato stampa di Microsoft, quello che io stesso stavo per riprendere al fine di segnalarvi l'impegno attivo di Microsoft sul fronte del contrasto al cybercrime. Il penultimo paragrafo parla di COFEE (Computer Online Forensic Evidence Extractor) e sinceramente mi sembrava che fosse indicato abbastanza chiaramente l'intento del tool: automatizzare la raccolta di prove da un computer appena sequestrato, semplificando il lavoro dell'agente di polizia che in assenza di questo tool dovrebbe lanciare circa 150 comandi per un lavoro di 3-4 ore, mentre tramite l'uso di COFEE riesce a realizzare il lavoro di raccolta di dati e log (che già realizzava - a manina - fino a ieri) in circa 20 minuti. L'articolo che poi ha dato il via ai dubbi e ai sospetti è stato quello del "The Seattle Times" in cui si scrive "... It can decrypt passwords and analyze a computer's Internet activity, as well as data stored in the computer".
Apriti cielo! Quale miglior alzata di pallavolo per i fautori dell'equivalenza Microsoft=Grande Fratello, ecco finalmente la prova delle backdoor per aggirare la sicurezza di Windows, ecco le chiavi segrete per bypassare Bitlocker, addirittura i Trojan di Stato... e chi più ne ha piu ne metta, in una deriva di disinformazione a dir poco allucinante per chi sa di che cosa si stia parlando!
Ecco, riprendendo questo ultimo punto sottolineato, solo un aspetto può parzialmente giustificare questo "molto rumore per nulla": la mancanza di dettagli tecnici sul tool e l'impossibilità di poterne disporre pubblicamente per poter verificare quali strumenti utilizzi per la raccolta di informazioni dal computer sequestrato (dal momento che verrà distribuito solo alle agenzie di law enforcement dotate di appropriata autorità legale).
E' per questo che vi condivido quel poco che so al momento (visto che non ho ancora avuto modo di accedere al tool e di analizzarlo): per quanto esigui, questi semplici elementi tecnici che vi riporto credo (e spero) siano sufficienti a smontare questo polverone. Il tool COFEE:
- può agire solo su un computer non lockato, e richiede che l'utente loggato sia dotato di privilegi amministrativi
- non può essere usato da remoto ma solo localmente tramite una chiavetta USB
- è solo un tool che consolida in un singolo strumento un insieme di tool di forensic già reperibili pubblicamente, che utilizzano metodi ed API ampiamente documentati per accedere alle informazioni da salvare per l'analisi successiva, prima che il computer sia spento e staccato dalla rete in cui sta agendo al momento del sequestro
- verrà distribuito solo alle agenzie in grado di esercitare adeguata autorità legale (come per esempio in seguito ad un mandato emesso dall'autorità giudiziara)
Ora, mi appello alla vostra cultura di sicurezza informatica su piattaforma Microsoft (che spero si sia rafforzata almeno un pelino leggendo questo mio blog...;-): vi rendete conto che il primo punto che vi ho indicato spiega tutto?
- l'esecuzione di tool/programmi su un computer non lockato con l'utenza dotata di privilegi amministrativi vi permette di accedere a praticamente quasi tutto del vostro PC senza dover aggirare alcun meccanismo di protezione di Windows e senza la necessità di alcuna fantomatica backdoor: alcune considerazioni di dettaglio
- Bitlocker protegge dagli attacchi offline (computer spento): se accedete ai dati mentre siete online i dati risultano in chiaro (perché vengono cifrati al volo quando si scrive, e decifrati al volo quando si legge) anche se sono cifrati su disco
- il "quasi" (in grassetto) che ho usato nella precedente asserzione sulla possibilità di accedere a tutti i dati del vostro PC fa riferimento alla situazione in cui i dati siano stati cifrati: a prescindere dallo strumento che state utilizzando per cifrare (EFS o altri non Microsoft), se la chiave di cifratura è stata memorizzata sul PC siete esposti alla possibilità di recuperare tale chiave e quindi di decifrare i vostri dati, altrimenti nessuno (senza la chiave) può violare la confidenzialità delle vostre informazioni.
- pensate che il tool non è in grado di bypassare nemmeno uno screensaver protetto da password... ho detto tutto...
Io credo che la necessità di fornirlo solo alle forze dell'ordine non sia nei segreti che racchiude (che, davvero, non vi sono), quanto nell'automatismo e nella velocità del processo di raccolta di dati sensibili: capite che se fosse fornito pubblicamente, aumenterebbe la possibilità di violare la privacy degli utenti con sforzo minimo... immaginate lo scenario banale (ma non troppo!) della signora delle pulizie che trova un computer non lockato e zac! vi ruba tutto il possibile e l'immaginabile in 20 minuti...
Spero di essere riuscito a dissipare qualche nebbia, in attesa di poter vedere il tool e spiegarvi qualche dettaglio in più (se potrò...;-).
Permettetemi di chiudere ribadendo una considerazione già fatta sulle eventuali backdoor in Windows: come ho avuto modo di dirvi già in uno dei miei primi post, il codice sorgente di Windows è disponibile per la consultazione ad una serie di enti governativi che possono accedere al programma denominato Government Security Program, quindi proprio coloro che avrebbero più perplessità su questo tema hanno lo strumento per verificare il codice e togliersi ogni dubbio al riguardo, quindi come allora ribadisco... siamo seri... altro che backdoor!
Ebbene sì, avete letto bene, non è uno scherzo: ne parla il blog di Symantec segnalando di aver ritrovato nei file di help del malware Zeus un vero e proprio EULA (End User License Agreement).
Ve lo riporto perché al di là della stranezza è un ulteriore sintomo dell'evoluzione dello scenario di rischio su Internet, con dinamiche che stanno portando alla realizzazione di un vero e proprio mercato underground di vulnerabilità e malware, guidato dalla concreta realizzazione di profitti economici molto reali e poco virtuali. Se infatti a prima vista si può pensare ad una boutade di questi pirati informatici, a ben leggere i termini di questo inverosimile "accordo di licenza" si capisce che l'intento è proprio quello di dissuadere altri pirati informatici dall'appropriarsi della proprietà intellettuale insita nel codice malware, per riutilizzarla nella realizzazione di altro malware.
L'altro aspetto innovativo, alquanto "simpatico", è anche la minaccia verso chi viola questo inusuale copyright: non potendo fare ricorso alle vie legali per ovvi motivi...;-)... si minaccia di segnalare il malware scopiazzato "illegalmente" direttamente ai vendor Antivirus, per tagliarli subito fuori dal mercato... incredibile ma vero!
Come giustamente riporta il blog di Symantec, purtroppo questo EULA non sembra essere stato preso troppo sul serio, visto che il malware in questione viene diffusamente scambiato nelle comunità underground senza troppo rispetto di queste richieste degli autori... d'altra parte cosa si può pretendere da tali galantuomini???
Mi viene da sorridere... i pirati a loro volta piratati... una volta tanto... chi la fa, l'aspetti...!! :-)
La blogosfera "sicura" (nome scherzoso con cui identifico l'insieme di blog/e-magazines in tema sicurezza che cerco di leggere quotidianamente) ha già ampiamente battuto questa notizia, e quindi dovreste essere già tutti consapevoli di quanto sto per riportarvi, ma in questo caso ho deciso che fosse giusto il "melius abundare" e unirmi al coro per ribadire alcuni concetti forse ovvi ai più esperti ma indubbiamente utili per comprendere come si sta evolvendo lo scenario di rischio su Internet.
E' in corso una nuova ondata di attacchi SQL Injection/iFrame che sta coinvolgendo progressivamente alcune centinaia di migliaia di siti web.
Intanto è importante sottolineare, come già fatto dal blog del MSRC, che questi attacchi non stanno sfruttando la vulnerabilità segnalata nel recente security advisory e tanto meno stanno sfruttando vulnerabilità già note relative alla piattaforma Microsoft (e quindi già corrette, con tanto di security patch risolutiva già disponibile): gli attacchi sono di tipo SQL Injection, come ribadito dal post sul blog di IIS al riguardo (dove potete trovare una ricca serie di link di approfondimento alle best practice di protezione rispetto a questo tipo di problematiche).
Questo mi porta a fare la prima considerazione: l'importanza fondamentale della sicurezza applicativa rispetto all'evoluzione del cosiddetto Web 2.0. Come riportato dal post di F-Secure, l'aumento di soluzioni web che accettano dei dati in ingresso direttamente forniti dagli utenti (blog, forum di discussione, moduli di feedback, e così via...) e il contemporaneo utilizzo dei server SQL nel backend di tali soluzioni, espone inevitabilmente ad attacchi di SQL injection se tali dati non vengono verificati prima di essere memorizzati. Quindi non basta aggiornare i sistemi web server con le patch di sicurezza di TUTTO il software che ci gira su: è doveroso anche assicurarsi di aver scritto codice sicuro per tutto il codice custom che viene eseguito da tali web server. Questo per quanto riguarda le responsabilità degli amministratori dei web server.
Guardiamo poi in breve alla dinamica con cui si sviluppano questi attacchi (descritta con qualche dettaglio in più dagli ultimi due post del blog di Panda Security, qui e qui): la compromissione dei web server di cui detto si realizza con l'aggiunta di uno script a tutte le pagine web; il malcapitato utente che atterra su questi siti che ritiene sicuri (mentre sono stati "infettati") esegue lo script e viene dirottato inconsapevolmente verso alcuni siti web sotto il controllo di questi pirati informatici (fino ad ora si segnalano 3 domini, nmidahena.com, aspder.com e nihaorr1.com che sarebbe utile filtrare sui vostri proxy). Tali siti eseguono del codice che è in grado di installare del malware sul vostro computer se questo viene trovato vulnerabile ad una serie di vecchie vulnerabilità per cui esiste già la patch (un esempio di quelle che sembrano essere utilizzate: MS06-014, MS07-004, MS07-018, MS07-033, MS07-055).
Seconda considerazione: il security patching urgente è una best practice che non si deve abbandonare mai. Per le aziende questo vuol dire dotarsi di processi di patch management che non siano ostacolati da troppa burocrazia e di strumenti che abilitino alla distribuzione rapida ed estesa degli aggiornamenti di sicurezza. Per gli utenti finali questo vuol dire assicurarsi di aver abilitato l'automatismo degli aggiornamenti di sicurezza, sia per i prodotti Microsoft che per tutti quelli che lo prevedono (e di operare una revisione periodica del livello di aggiornamento di quelli che non lo prevedono: esempio, WinZip). Un PC perfettamente aggiornato non è attaccabile in modo silente e l'unico rischio residuo rimane quello del consenso da parte dell'utente all'installazione di quanto questi siti pericolosi possano proporre in modo più o meno subdolo.
Tanto (ma tanto) tempo fa, quando il mio ruolo in Microsoft era di PSS engineer (Product & Support Services) sui temi di networking e security ci fu un periodo in cui l'azienda ci chiese di dare man forte ai newsgroup perché c'era un momento di particolare affollamento di domande. Fu allora che mi avvicinai alle comunità di discussione: ricordo come se fosse ieri che rimasi davvero impressionato dalla professionalità, disponibilità, puntualità e competenza di una serie di figure che scoprii essere i Microsoft Valuable Professional. Non riuscivo a star dietro alla loro capacità di rispondere a tutti... tanto che realizzai molto velocemente che il mio supporto a quei newsgroup era superfluo, gli MVP che curavano quei temi erano bravissimi da soli.
Per questo quando nei giorni scorsi ho letto sul blog dell'amico Alessandro Teglia (coordinatore italiano di questa community) dell'azzeccatissima iniziativa di intervistare i diversi MVP mi sono appuntato i due appuntamenti pertinenti con l'area security per farveli conoscere e farli aggiungere alla vostra lista di blog in area sicurezza:
Raffaele Rialdi e Vincenzo Di Russo
Grazie ragazzi per il contributo che date alla diffusione della Security Awareness!
In occasione di Infosecurity Europe 2008, Microsoft ha pubblicato il nuovo Security Intelligent Report (SIR), il suo report semestrale di analisi dei trend di vulnerabilità e malware sulla base dei dati relativi alla seconda metà del 2007. Questa quarta edizione ha ampliato il numero di sezioni di analisi comprendendo ora la trattazione di questi temi:
- Software vulnerabilities
- Software vulnerability exploits
- Security breach notifications
- Malicious and potentially unwanted software
- Internet Safety Enforcement
La validità di questa pubblicazione è particolarmente significativa per l'analisi dei trend del malware grazie all'ampia base di dati che Microsoft ha modo di raccogliere attraverso i diversi strumenti: pensate che il solo Malicious Software Removal Tool viene eseguito su più di 450 milioni di computer ogni mese in tutto il mondo! Diventa quindi possibile avere un'idea del livello di diffusione del malware nelle diverse aree geografiche:
La cartina mostra il valore delle scansioni effettuate normalizzato rispetto al numero dei computer ripuliti: le nazioni con il colore che tende al rosso, con un valore basso, sono quelle con un maggior numero di infezioni. L'Italia, per esempio, è caratterizzata da una disinfezione per ogni 189 computer analizzati, ad un buon livello tra gli estremi (Afghanistan 1/17 e Giappone 1/685), e ben posizionati rispetto alla media mondiale (1 su 123). E' evidente una correlazione diretta tra il livello di sviluppo dei diversi paesi e il tasso di infezione, probabilmente ad indicare un diverso livello di diffusione di soluzioni di sicurezza e di preparazione degli utenti sul tema security.
Quest'anno la sintesi dei risultati principali è stata tradotta anche in italiano.
Non appena avrò modo di completare l'analisi dei dati italiani tornerò a raccontarvi quali sono le principali osservazioni per il nostro bel paese...
A presto!
Quando vi ho parlato della nuova proposizione strategica di Microsoft, "End to End Trust", vi ho riportato i due concetti cardine: maggiore Autenticazione e miglior Audit. L'ambito dell'Audit, se lo iniziamo ad osservare dal punto di vista tecnologico, è uno di quelli su cui la piattaforma Windows sta facendo i maggiori progressi rispetto agli albori. All'inizio (ai tempi di Windows NT) la generazione degli eventi di auditing in Windows non è stata pensata per essere esattamente uno strumento a supporto del professionista di sicurezza: l'obiettivo reale era quello di poter tracciare con il maggior livello di dettaglio il comportamento del sistema operativo per poter risolvere i suoi eventuali malfunzionamenti. Solo dopo si è compreso che era necessario modificare alcuni aspetti del meccanismo di event logging anche a favore di una fruibilità in area sicurezza, per realizzare un vero e proprio security auditing.
Windows Vista e Windows Server 2008 rappresentano le versioni su cui questa evoluzione ha raggiunto un livello, tanto atteso, di vera maturità. A questo proposito, quindi, potrebbero interessarvi i riferimenti informativi che stanno già illustrando queste novità:
Ultima risorsa segnalata è un utilissimo articolo di KB e un foglio Excel in cui sono documentati tutti i circa 360 eventi di sicurezza di Windows Vista e Windows Server 2008.
Buona consultazione!
Microsoft ha emesso il "Microsoft Security Advisory (951306) - Vulnerability in Windows Could Allow Elevation of Privilege" per segnalare che vi sono approfondimenti in corso per correggere una vulnerabilità che interessa praticamente tutte le versioni attualmente supportate di Windows tranne Windows 2000 SP4. Potreste aver già letto di questa problematica, in quanto è stata oggetto di una presentazione del ricercatore Cesar Cerrudo ad una recente conferenza di sicurezza a Dubai. Ogni processo dotato del privilegio SeImpersonatePrivilege, se opera in modo da caricare ed eseguire codice fornito dall'utente, potrebbe essere esposto e permettere l'innalzamento dei privilegi fino a quelli LocalSystem. E' indubbiamente un brutto difetto: vanifica, ad esempio, il beneficio dell'uso di un insieme ridotto di privilegi con cui sono stati pensati gli account di servizio NetworkService e LocalService proprio per evitare di fornire l'uso dell'account LocalSystem ai processi che non hanno necessariamente bisogno dei massimi poteri sul sistema.
Il consiglio è naturalmente di approfondire l'advisory per adottare, se necessario, gli accorgimenti di protezione (sezione Suggested Actions-Workarounds) in attesa della correzione del problema.
Lo scorso evento dell'RSA Conference 2008 è stata anche l'occasione per incominciare a rilasciare qualche dettaglio sulle novità di sicurezza di Internet Explorer 8, che indirizzeranno principalmente la mitigazione del rischio in tre ambiti specifici di attacco: social engineering, vulnerabilità lato Web server e vulnerabilità lato browser.
Il primo dettaglio di cui ha trattato Eric Lawrence sul blog di IE è stata proprio la funzionalità di Data Execution Prevention (anche nota come No Execute).
Questa funzionalità era stata introdotta con il Service Pack 2 di Windows XP per poter bloccare una serie di attacchi diretti allo sfruttamento di vulnerabilità di tipo Buffer Overrun. Grazie all'uso di microprocessori che supportano questa funzionalità (credo che ormai lo siano quasi tutti) si riesce a impedire che un codice non autorizzato venga eseguito da una zona di memoria che sia stata marcata come adibita alla sola memorizzazione di dati, bloccando così il meccanismo alla base dell'efficacia di questo tipo di attacchi. Funzionalità egregia, se non fosse che in quel momento non è stato possibile "costringere" tutte le applicazioni ad utilizzarla per ovvi problemi di compatibilità applicativa. Così a partire da Windows XP SP2 in poi l'approccio è stato di tipo opt-in: le applicazioni che desiderano utilizzare il DEP lo dichiarano esplicitamente, altrimenti l'impostazione predefinita è di avere il DEP disabilitato. Risultato: funzionalità potente che potrebbe quasi azzerare i problemi di buffer overrun ed è stata tenuta praticamente spenta!!!
Grazie alla realizzazione di nuove API per il DEP/NX è stato possibile ridurre l'impatto dei problemi di compatibilità applicativa ed ora si è riusciti ad abilitare il DEP/NX per IE8 su Windows Vista SP1 e Windows Server 2008, con l'importante particolarità che i vantaggi di questa funzionalità protettiva ricadono anche su tutti gli add-on che IE carica, estendendo quindi la protezione anche sul software di terze parti.
Trovate gli altri dettagli più tecnici nel post che vi ho citato.
| Share this post : |  | |