Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : z-Anti-FUD

Sul presunto attacco a Windows Cardspace e all'Identity Metasystem: vi prego, prendiamo la sicurezza sul serio...

Feliciano Intini — Fri, 06 Jun 2008 21:20:54 GMT

Riesco a stento a trattenere il mio disappunto: questa notizia di cui sto per raccontarvi sembra l'epilogo perfetto della mia rubrica Anti-FUD , un vero e proprio capolavoro di dinformazione informatica sul tema sicurezza... e come tale non dovete perderla!...(read more)

Windows 2000 più sicuro di Vista? La matematica non è un'opinione...

Feliciano Intini — Mon, 12 May 2008 13:23:33 GMT

La notizia segnalata dal lettore nel commento al mio ultimo post era effettivamente troppo succosa per non essere ripresa da un discreto numero di testate... visto che si poteva mettere in cattiva luce la sicurezza di Vista!

In sintesi: Simon Clausen, il CEO di PC Tools, ha commentato le statistiche di disinfezione del loro strumento anti-malware ThreatFire

"Ironically, the new operating system has been hailed by Microsoft as the most secure version of Windows to date, however, recent research conducted with statistics from over 1.4 million computers within the ThreatFire community has shown that Windows Vista is more susceptible to malware than the eight year old Windows 2000 operating system, and only 37% more secure than Windows XP."

E' un tema che questo mio blog dibatte spesso e volentieri: come si fa a dedurre considerazioni generali sulla sicurezza di un sistema operativo da queste metriche parziali (e spesso opinabili)? Con tutto il rispetto per PC Tools e per i suoi prodotti/servizi di sicurezza, è triste notare come il CEO di un'azienda di rilievo nel panorama informatico si presti a questi atteggiamenti di propaganda: avrei voglia di chiedere a Mr. Clausen, ma lei ci è o ci fa? Se crede davvero a quello che ha detto forse è meglio che si occupi di altro rispetto alla sicurezza, se invece (come credo) ha pensato utile metterla in quel modo per strategia marketing (il fatto che grazie a questa notizia si sia ottenuta pubblicità gratuita ai servizi di sicurezza di PC Tools, non è un risultato da poco...) beh allora... siamo alla frutta!

Questi risultati vanno presi come sono: indicazioni statistiche che possono mostrare dei trend, se l'analisi dei dati viene fatta in modo serio. Qualcuno infatti ha poi recuperato i dati del recente Microsoft Security Intelligence Report trovando addirittura parziale conferma alle affermazioni di PC Tools, dicendo che "...Windows 2000 è ancora più sicuro di un sistema con XP..." !!!

E qui, dopo aver contestato il metodo (induttivo, che usa questa equivalenza: meno malware rilevato = sistema più sicuro), vengo alla contestazione sul merito dei numeri.

Confrontate voi la valenza statistica di una ricerca fatta su 1.4 milioni di PC rispetto a quella Microsoft realizzata su 450 milioni di PC ...
Chi analizza i numeri dovrebbe almeno leggere il report per intero: da un lato i numeri normalizzati riportati da Microsoft sembrano dar adito all'affermazione virgolettata (Windows 2000 meglio di Windows XP), poiché a pag.48 si legge...
Windows Vista = 2,8%
Windows XP SP2 = 7,2%
Windows 2000 SP4 = 5,0%
Windows 2003 SP2 = 1,5%
... ma giusto nella pagina seguente (pag.49) si legge: "The infection rate of Windows 2000 SP4, which includes both server and client editions, falls between the infection rates of the pure server version (Windows Server 2003 SP2) and the client version (Windows XP SP2). Servers are typically accessed directly only by trained system administrators in controlled enterprise environments, so their effective attack surface tends to be much lower than computers running client operating systems".

Ritenete che siano dati confrontabili? Ha senso sparare notizie sensazionalistiche se non si analizzano i dati?

Quanta superficialità sta emergendo nell'informazione... :-((((

Share this post :

La sicurezza fisica non è un optional: attacco tramite la porta 1394-Firewire

Feliciano Intini — Wed, 05 Mar 2008 20:35:54 GMT

Guardate bene la porta denominata 1394 della foto, che quasi sicuramente avete anche sul vostro portatile: altro non è che la porta dell'interfaccia chiamata Firewire, utile per collegare periferiche (quali fotocamere) dotate di questo particolare tipo di connessione veloce. Ebbene questa porticina, tanto innocente nella sua apparenza, nasconde una minaccia seria all'integrità del vostro computer: è stato dimostrato un attacco in grado di accedere alla memoria del sistema (in lettura e scrittura) tramite una connessione 1394-Firewire, e quindi di poter di fatto bypassare il meccanismo di autenticazione. Sono preoccupato? Sinceramente dall'attacco non più di tanto (vi dico dopo...), quanto dalla solita manipolazione giornalistica che si fa delle notizie per ottenere solo lo scoop. Questa volta però lascio all'amico Paperino (che spero proprio di riuscire a incontrare di persona mentre sono qui a Redmond) il compito di fare la ramanzina a come la notizia sia stata data, a come non sia stato evidenziato nell'articolo che si tratta di caratteristica funzionale del Firewire (quindi non un difetto di codice, un bug per cui sia necessario realizzare una patch), valida su tutte le piattaforme (quindi non solo su Windows XP, ma anche su Linux, Mac e Unix BSD, come dice lo stesso Boileau sul suo sito, ma chissà perché non nell'articolo...:-((...), di come sia un rischio già noto (e non una informazione passata a Microsoft che Microsoft sta ignorando...). Su questo ultimo aspetto: analogamente a quanto detto a proposito del "cold boot" attack, anche questo tipo di rischio era GIA' documentato (vedi Data Encryption Toolkit-Platform Attacks), e ribadito in questo chiarissimo post realizzato nei giorni scorsi proprio a valle della notizia sull'attacco alle tecnologie di disk encryption. Quindi per un professionista della sicurezza questo non dovrebbe essere una novità (almeno per chi lavora seriamente e scrupolosamente sugli aspetti di sicurezza della piattaforma Microsoft). Potrebbe essere invece interessante dibattere il tema di quanto queste informazioni siano evidenti agli utenti non tecnici (evidentemente non lo sono...) e di quanto debbano realmente esserlo per essere usate in modo efficace al fine di proteggersi. Così come mi aspetto sicuramente il commento: se MS avesse lasciato l'interfaccia disabilitata by-default il rischio sarebbe stato minore... sono spunti su cui sarebbe interessante dialogare, fatevi sentire!

Veniamo brevemente all'analisi di rischio. Non c'è molto da dire: per poter essere realizzato, l'attacco richiede di accedere con una connessione 1394-Firewire ad un computer lasciato acceso, ed evidentemente lasciato disatteso. Viene violata la sicurezza fisica, e sappiamo tutti che questo significa dire "Game Over":

Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore

La sicurezza fisica non è un optional. Le diverse tecnologie possono cercare di mitigare i vari rischi, aumentando i requisiti che sono necessari per realizzare gli attacchi, ma la compromissione della sicurezza fisica si traduce sempre in un rischio residuo in grado di essere sfruttato da chi sia seriamente intenzionato a carpire i nostri dati.

Come mitigare questo tipo di rischio? Se non usate questo tipo di interfaccia per le connessioni ai vostri device, disabilitatela tramite Device Manager.

Share this post :

Ancora sui "virus buoni": facciamo un po' di chiarezza!

Feliciano Intini — Wed, 20 Feb 2008 16:47:35 GMT

E' incredibile! Gli eventi si succedono in modo da garantire in automatico che io scriva un post della mia rubrica Anti-FUD abbastanza spesso! (A chi ancora non sapesse di questa mia particolare rubrica: trattasi di post in cui mi prendo la briga di smontare le informazioni false e tendenziose che hanno l'obiettivo di seminare paura, incertezza e dubbio - FUD appunto - nei confronti degli aspetti di sicurezza della piattaforma Microsoft). Il bello è che questa volta sono anch'io parte della catena di disinformazione dilagante (a seguito del mio post precedente) e quindi urge fare chiarezza!

Ok, partiamo dall'inizio: un (poverino, quasi ingenuo... visto quello che si è scatenato dopo!) brillante ricercatore Microsoft, tutto contento per aver visto il suo paper accettato da una importante conferenza (IEEE Infocom 2008), rilascia una intervista al NewScientist per anticipare i risultati di questa ricerca.

1° punto da (ri)chiarire: il contenuto della ricerca è SOLO la dimostrazione che è possibile studiare il modo (solo a livello di networking!) con cui i worm si propagano e ottimizzare questo metodo per utilizzarlo nella disseminazione veloce di informazioni (informazioni qualsiasi, senza nessuna specifica!). Niente altro! Se aprite il report (nessuno l'ha fatto!:-(...; sul frontespizio è stata perfino aggiunta una nota in rosso per chiarire quello che vi sto dicendo!) trovate solo considerazioni tecniche, su campionamenti random (o sequenziali), con conoscenza a priori (o senza) dei sistemi verso cui propagare le informazioni.

L'intervista si è focalizzata sulla possibile applicabilità di questa ricerca alla distribuzione di aggiornamenti di sicurezza, visti i possibili benefici di velocità e pervasività (benefici fondamentali per il processo di security patching): da qui l'uso di termini come "virus buoni", "infettare" e così via... Doveva essere chiaro (se i lettori leggevano l'articolo...) che l'uso di questi termini era una semplificazione giornalistica per far capire il concetto a utenti non tecnici! Invece no!

2° punto da (ri)chiarire: NON si stanno creando dei virus (anche se "buoni"), nel senso propriamente tecnico del termine; NON si sta pensando a meccanismi silenti, e/o che sfruttano le vulnerabilità stesse per installarsi automaticamente .

Confesso: io stesso ho usato la stessa semplificazione giornalistica nel titolo su MClips per far trovare il mio post a chi avesse cercato le parole "virus buoni", ma ho aggiunto apposta le parole "sta studiando..." per ribadire il concetto di uno studio di ricerca di base. Non a caso il titolo del mio post di approfondimento è stato: "Microsoft impara dai worm per distribuire le security patch alla velocità della luce".

Nel mio post poi, per darvi più informazioni sul tema della possibile evoluzione dei meccanismi di distribuzione degli aggiornamenti, ho aggiunto anche il riferimento ad un altro studio di ricerca (a cui ha partecipato lo stesso Milan Vojnovic), nel quale si ipotizza l'uso del p2p come metodo per passare da una architettura centralizzata, ad una de-centralizzata, più scalabile sui grandi numeri che sta raggiungendo questo servizio importante.

3° punto da (ri)chiarire: è stato un mio eccesso di zelo a segnalarvi nello stesso post i risultati di due studi di ricerca distinti e scorrelati, che avevano in comune solo l'argomento (distribuzione di aggiornamenti software). Non sono stato abbastanza esplicito ad escludere la correlazione tra i due studi... mea culpa!

Invece per tanti è stato come andare a nozze! Subito a lanciarsi su critiche sulle possibili caratteristiche tecniche (inesistenti, che nessuno ha mai dato!) di una tale soluzione dandola come prodotto già pronto!

4° punto da (ri)chiarire: in questa fase sono SOLO studi di ricerca di base! Se e quando questi risultati di studio verranno considerati per diventare parte di prodotti e soluzioni reali, sicuramente si dovranno esplorare TUTTE le problematiche di fattibilità di un nuovo metodo di gestione della distribuzione di aggiornamenti di sicurezza: attenzione agli aspetti di Privacy (non si farà mai nulla senza che l'utente/amministratore abbia sempre il controllo del meccanismo!!), di integrità degli aggiornamenti (è OVVIO che si troverebbe un modo per evitare che malintenzionati possano introdursi in questo meccanismo), di licensing (se necessario), e di ogni altro aspetto tecnologico/funzionale.

Quindi lungi dall'impedire la libera riflessione critica sugli aspetti di fattibilità, sarebbe almeno più corretto non fare il processo alle intenzioni (pratica comune nei confronti di Microsoft), visto che i dettagli tecnici non sono ancora stati pensati... suvvia!!

Share this post :

Nuova puntata della rubrica Anti-FUD: chiariamo le idee sul nuovo Master Boot Sector Rootkit

Feliciano Intini — Fri, 11 Jan 2008 17:30:55 GMT

Sintesi: è bene che sappiate dell'esistenza di un nuovo malware in circolazione che recupera una modalità antica di infezione, la scrittura del Master Boot Record (MBR). La pericolosità di questo malware NON è però nuova ed è abbastanza bassa, poiché non vengono sfruttate nuove vulnerabilità (quindi un computer completamente aggiornato è al sicuro da questo punto di vista) e l'efficacia dell'infezione richiede che l'utente abbia i privilegi amministrativi (e lanci volontariamente qualche eseguibile di dubbia provenienza). Nel seguito del post vengono anche smontati i tentativi di far credere che questo malware sfrutti delle debolezze di Windows, e di Windows Vista in particolare.

Mi mancava il fatto di non riuscire a scrivere un'altra puntata della rubrica Anti-FUD, la mia collezione di post in cui mi prendo la briga di smontare qualche errata percezione che vedo circolare nella blogosfera a causa della perdita di informazione che si ottiene dall'effetto che io chiamo FUD-Tam-Tam: se chi pubblica una notizia commette degli errori, volontari o involontari, e chi la riprende non la verifica, si genera disinformazione a catena... (a proposito di FUD: vorrei dar ragione all'amico Misi e usare la versione italiana PID, Paura-Incertezza-Dubbio, ma questo acronimo si confonde troppo con altri termini legati alla sicurezza).

Tema di questa puntata è la segnalazione della presenza di un malware che infetta il Master Boot Record (MBR) come riportato da due dei blog inclusi nella mia lista di recensioni (da PC al sicuro e quello di Simply Security). Stiamo parlando di "VirTool:WinNT/Sinowal.A", detto anche "Trojan.Mebroot"e in un'altra mezza dozzina di modi (... chissà quando riusciremo a concordare un modo unico di classificare e denominare il malware... :-(...).

In qualità di Security Advisor di Microsoft, quando leggo di un nuovo malware e devo valutare la sua pericolosità le prime domande che mi pongo sono:

Qual'è il vettore/modalità di attacco?
Quali vulnerabilità vengono sfruttate?
Quali privilegi deve avere l'utente affinché l'attacco vada a segno?

Sfortunatamente parte di queste informazioni stanno cominciando a latitare nei report di molti fornitori Antivirus, con l'effetto di disorientare e disinformare il lettore, anche quello più tecnico. Se poi il fornitore di Antivirus commette degli ERRORI (spero involontari, e non per generare FUD su Windows e su Windows Vista) che aiuto si sta fornendo a chi si deve difendere? Mi sto riferendo al post di Symantec sull'argomento in oggetto, che a un certo punto dice:

"The main problem is that some versions of Microsoft Windows allow programs to overwrite disk sectors directly (including the MBR) from user mode, without restrictions. As such, writing a new MBR into Sector 0 as a standard user is a relatively easy task. This issue has been known for quite some time, and still affects the 2K/XP families, while Vista was partially secured in 2006 (after Release Candidate 2) after a successful attack demonstration made by Joanna Rutkowska. The attack is called the “Pagefile Attack”."

Ora ditemi: che percezione vi rimane dopo la lettura di questo paragrafo? L'idea errata che l'utente si fa è che il malware in oggetto può fare quello che fa perché Windows è debole e permette all'utente normale di scrivere direttamente nel Sector 0, che è un problema che c'è da Windows 2000 e che neanche in Windows Vista sia stato risolto del tutto. Tutto sbagliato! C'è una seria omissione che rende quanto detto da Symantec non corretto: non si dice che i privilegi necessari per fare quella operazione di scrittura diretta su disco sono privilegi amministrativi!! Il mio amico Windows-core-super-guru (Luca Sanson) mi ha aiutato a fare le verifiche del caso e mi fatto notare che perfino le slide sul "pagefile attack" della Rutkowska, che vengono segnalate da Symantec nel paragrafo citato, mostrano nella slide 6

Vista allows usermode app to get raw access to disk (provided they run with admin privileges of course)

CreateFile(\\.\C:)

CreateFile(\\.\PHYSICALDRIVE0))

E se andate su MSDN a cercare la funzione CreateFile trovate al paragrafo "Physical Disks and Volumes" la frase "The caller must have administrative privileges" e questo fin da Windows 3.1 !!!

Tornando al nostro nuovo malware e alle domande per verificare la sua pericolosità, le risposte sono:

L'utente deve essere amministratore per fare in modo che l'attacco possa essere portato a segno e si riesca a sovrascrivere l'MBR con uno infetto.
- Windows Vista ha anche il vantaggio di protezione che lo User Account Control vi avvisa del tentativo del malware di richiedere privilegi più elevati (approfitto per ribadire che chi disabilita lo UAC fa un grave errore)
Non viene sfruttata nessuna nuova vulnerabilità di Windows
- Per gli attacchi drive-by operati dai siti infetti (ossia senza interazione dell'utente), il fatto di avere un sistema completamente aggiornato difende in modo completo.
La modalità di attacco per questa variante è rappresentata solo dalla navigazione su siti infetti (vedi punto 2). Se dovessero uscire altre varianti che usano dei file eseguibili, sarebbe comunque necessaria l'azione volontaria dell'utente di lanciarli, e la necessità dei privilegi amministrativi (punto 1) permetterebbe agli utenti normali di non essere a rischio.

Detto questo mi sento di concludere con la frase "niente di nuovo sotto il sole", solo un modo vintage di recuperare una vecchia modalità di infezione dei bei tempi del DOS: niente debolezza di Windows e chi ha Windows Vista è più al sicuro degli altri.

P.S. Chi rimanesse sfortunatamente vittima di questo malware faccia caso al fatto che la scheda del Malware Protection Center ha anche una sezione Recovery con le istruzioni per ripristinare un MBR pulito.

Windows Update si aggiorna senza consenso: spieghiamo il vero e il falso

Feliciano Intini — Fri, 14 Sep 2007 13:55:53 GMT

So che ne sentivate la mancanza: eccovi un'altra puntata della mia rubrica Anti-FUD. E' una puntata un pò speciale perché questa volta l'asserzione di base, quello che viene contestato a Microsoft è vero, almeno in parte: dov'è allora il FUD in questo caso ? Al solito approccio dei media di prendere spunto da una notizia magari vera solo in parte (come in questo caso) per scegliere di amplificare selettivamente solo i dettagli errati che permettono di ottenere "lo scoop", la notizia di prima pagina che attira la maggiore attenzione dei lettori: quale miglior argomento di qualcosa che possa far apparire Microsoft come il solito Grande Fratello ?

Ora io vi dico la mia, poi voi leggete gli articoli che ho riportato in fondo al post e ditemi se il tono e i messaggi sono equilibrati e obiettivi nel fornire i fatti.

Non mi dilungo nella spiegazione tecnica che è stata fornita direttamente dal Program Manager di Windows Update in questo post. La sintesi è questa:

Windows Update aggiorna automaticamente solo i file necessari al suo funzionamento
quando questo è necessario viene effettuato senza chiedere ulteriore conferma all'utente
questo non avviene se l'utente ha spento Automatic Updates
avviene da sempre, da quando esiste WU
è un aspetto che non interessa WSUS o SMS, e quindi le realtà aziendali

Il mio parere è questo: il punto 2 può essere migliorato, ossia riconosco la necessità di migliorare la trasparenza delle funzionalità di Windows e potrei anche preferire di poter scegliere più esplicitamente se essere avvisato o meno anche degli aggiornamenti del motore di Automatic Updates. E' per questo che apprezzo molto questo passo del post di cui detto: "The point of this explanation is not to suggest that we were as transparent as we could have been; to the contrary, people have told us that we should have been clearer on how Windows Update behaves when it updates itself. This is helpful and important feedback, and we are now looking at the best way to clarify WU’s behavior to customers so that they can more clearly understand how WU works.". Inoltre è auspicabile che si possa pensare di modificare le funzionalità di WU per poter chiedere all'atto dell'installazione di Windows non solo come e se essere avvisati degli aggiornamenti ma anche per lo stesso engine. Mi farò carico di sollecitare direttamente il gruppo di prodotto della necessità di una tale modifica.

Detto questo, che è l'unica parte vera della notizia, quello che potete leggere negli articoli che hanno trattato sull'argomento (ComputerWorld, eWeek, ZDNet ) è più una speculazione sulla malafede con cui Microsoft avrebbe tenuto nascosto questo funzionamento (smentito dal punto 4), per fare aggiornamenti nascosti di Windows (smentito dal punto 1), anche se l'utente non vuole gli aggiornamenti (smentito dal punto 3), con danno per le aziende che devono poter controllare tutto per verificare la compatibilità applicativa (smentito dal punto 5), senza menzionare la NECESSITA' di fare tali aggiornamenti per garantire il servizio che l'utente ha accettato di utilizzare se non lo ha disabilitato.

Potrei sbagliarmi, ma mi sembra che il mio antivirus non mi chieda conferma degli aggiornamenti delle firme e dell'engine di scansione ogni volta che lo fa: se l'ho installato io ho bisogno che funzioni come dovrebbe ed è quindi normale che l'engine abbia bisogno di aggiornarsi. Il fatto che lo faccia senza annoiarmi ogni volta non ha destato in me il desiderio di manifestare il mio disappunto al suo produttore per violazione della mia privacy ...

Atsiv: attacco al kernel code signing di Vista ? Non proprio

Feliciano Intini — Fri, 03 Aug 2007 17:26:00 GMT

Non so se avete letto questa notizia del tool australiano Atsiv: in ogni caso è importante che ve ne parli, sia per segnalarvi le iniziative che Microsoft ha rapidamente adottato in merito, sia per fare qualche riflessione, per così dire più filosofica, sugli aspetti di sicurezza. Questo tool permetterebbe di bypassare la policy Kernel Mode Code Signing (KMCS) della versione x64 di Windows Vista che intende caricare nel Kernel solo codice che sia stato firmato digitalmente con un valido certificato per il Code Signing. Gli articoli che ne hanno dato notizia l'hanno messa, chi più chi meno, nella solita forma "pro-Microsoft": trovato il modo per aggirare la funzionalità di sicurezza, buco in Vista, e cosi via...
Con parole semplici, come funziona il tool Atsiv ? Primo passo: installa dei driver firmati. Chi può installare driver ? Solo un amministratore. Sapete già dove vado a parare, visto che abbiamo già toccato l'argomento:

l'azione esplicita di un amministratore di installare del software a sua discrezione può essere considerata un buco di sicurezza del sistema operativo, secondo gli attuali modelli informatici ?
Io non credo proprio.

Ho poi sottolineato che i driver sono firmati: in quanto tali vi sembra che la policy di Vista x64 sia stata aggirata ? No. Secondo passo: questi driver caricano il proprio loader che è in grado di caricare quello che vuole, e quindi anche driver non firmati, e di farlo anche in modo che si nascondano alla rilevazione da parte dei tool. Come interpretate questo comportamento così descritto ? Se ci fate caso è la tipica descrizione di un trojan che si installa come rootkit. E' per questo che Microsoft è corsa ai ripari e già ieri, 2 agosto, ha classificato questo tool come potenziale spyware in Windows Defender, a concordare con Verisign la revoca del relativo certificato e a valutare se aggiungere tale chiave revocata anche alla lista di revoca propria del meccanismo KMCS: vi consiglio la lettura del post su Windows Vista Security con valutazioni e dettagli. Quali sono le riflessioni "filosofiche" di cui vi dicevo ? Intanto la considerazione del precedente paragrafo rientrato: un limite oggettivo del modello degli attuali sistemi operativi è che la sicurezza del sistema si appoggia su un set di codice di base che sia considerato sicuro e affidabile (Trusted) al tempo 0, il cosiddetto TCB. Dal momento che l'amministratore ha autorità di estendere il TCB con codice arbitrario, può di fatto invalidare tutta la sicurezza del sistema, fine. In che cosa cerca di migliorare questo modello la policy KMCS ? Estendere la funzionalità Authenticode a tutto il codice da caricare nel kernel significa solo aumentare l'identificazione di chi ha scritto il codice che sta entrando nel Kernel e quindi nel TCB. Ma se non si trova un modo per poter certificare e valutare la qualità e l'affidabilità del codice che estende il TCP, non aiutiamo l'utente amministratore nelle sue valutazioni costringendolo ad essere l'anello debole della sicurezza dei suoi sistemi, come dice con ragione Larry Seltzer che chiude l'articolo di eWeek su Atsiv dicendo "the most important security device is the one sitting at the keyboard".

Riduciamo l'entropia: il caso "Update Root Certificates" di Vista

Feliciano Intini — Tue, 24 Jul 2007 16:22:00 GMT

Sto riflettendo da un paio di giorni sui commenti di Lucab e Daniele del mio post recente: con tristezza devo condividere le loro considerazioni, le dinamiche di condivisione delle informazioni del cosiddetto Web 2.0 e la voglia di protagonismo sta portando ad una deregulation sui contenuti, con un aumento sensibile di "ignoranza" (nel senso proprio di "non conoscenza") spacciata per verità provata e, per di più, usata per influenzare chi non ha tempo e modo per verificare da solo se quanto asserito sia vero o meno. Sconfortante ... la blogosfera sembrava un modo per raggiungere finalmente le informazioni allo stato puro, non filtrate, e invece si sta solo aumentando l'entropia e la confusione delle idee ... Forse è proprio la confusione tra popolarità e autorevolezza (cito l'interessante post di Marco Montemagno) che sta producendo questa deregulation: temo che il lettore stia scambiando i due concetti e crede autorevole chi si dimostra popolare, finendo con il credere ciecamente a tutto quello che viene detto senza usare spirito critico. Se poi avviene che chi acquisisce una popolarità, media online o blogger, la usa per fornire informazioni volontariamente inesatte o non adeguatamente verificate allora siamo al capolinea: disinformazione allo stato puro. Il numero dei miei post con il tag Anti-FUD sta aumentando ...

L'ultimo esempio ? Ho letto oggi un articolo su NetworkWorld dal titolo "Microsoft 'silently' restores root certificates that users distrust and remove" che riprende un post di tal Paul Hoffman: si legge nei contenuti (e nel tono) che se si cancellano i certificati di root, Windows si ribella e te li rimette, e su Windows Vista addirittura Microsoft non ti permette più di rimuovere tali certificati, insomma sei condannato ad essere "vittima" del volere del solito Grande Fratello ... Uno si domanda: caspita l'ha detto NetworkWorld, il tipo c'ha scritto pure un Paper, sarà sacrosanto (popolarità=autorevolezza)! Mr Hoffman declama pure di averci lavorato parecchio: "...After extensive searching, I could not find a way to remove certificate authorities trusted by Microsoft from Windows Vista. Even if there is a way to do this, there seems to be no equivalent of the Update Root Certificates program that can be turned off. ... This leaves Windows Vista users always having to accept Microsoft's silent updating of their root certificate store". Ora io vi dico che in soli 12 minuti (tra ricerca e lettura) spesi su siti pubblici di Microsoft sono in stato in grado di confutare le dis-informazioni di questo "paper":

la funzionalità di “Update Root Certificates” è pensata apposta per semplificare e quindi migliorare l'esperienza dell'utente: non è un subdolo controllo di Microsoft. In fondo a quest'articolo trovate puntatori alla descrizione di questa funzionalità per le diverse versioni di Windows.
Se non ti piace la disabiliti: in Windows XP e Windows Server 2003 è fattibile tramite check-box dei Windows Components, in Windows Vista tramite le Group Policy (Computer Configuration\Administrative Templates\System\Internet Communication Management\Internet Communication settings): quindi non è vero che tale funzionalità non esiste in Windows Vista, e non è vero che non si può disabilitare.
Il fatto che su IE in Windows Vista sia stato tolto il bottone per rimuovere un certificato non vuol dire che non puoi lanciare una Management Console (MMC) con lo snap-in dei certificati (Certmgr.msc) e premere il tasto Delete ...

Risultato: stavolta mi è toccato anche commentare direttamente in inglese sull'articolo di NetworkWorld per contribuire, nel mio piccolo, a ridurre l'entropia della blogosfera...bah!

Ho scoperto un modo per entrare in casa mia senza chiavi ...

Feliciano Intini — Thu, 19 Jul 2007 15:04:00 GMT

... il modo è: lascio la porta aperta! Starete sicuramente pensando: il caldo record di questi giorni sta dando alla testa di Feliciano ... Tranquilli! E' solo che volevo trovare un modo semplice semplice, ma proprio semplice, per spiegare un concetto che credevo ovvio, ma a quanto pare non lo è:

le credenziali (leggi: il nome utente e la sua password) di amministratore del computer sono equivalenti all'intero mazzo di chiavi di casa vostra (comprensivo di chiavi per il box, cancello, portoncino, porta blindata, cassetta per le lettere, cassaforte, e lucchetti vari ed eventuali...): qualsiasi persona o programma che riesca ad impossessarsi di tali credenziali è di fatto il nuovo co-proprietario del vostro PC.

Dove nasce il bisogno di ribadire questa considerazione lapalissiana ? Ancora una volta, dopo la già discussa storia del malware attraverso Windows Update, si spaccia per problema di sicurezza di Windows Vista una delle innumerevoli manipolazioni che si possono fare SOLO DOPO aver guadagnato le credenziali di amministratore: mi riferisco alle notizie partite dall'articoletto su ComputerPerformance. L'articolo spiega come sostituire l'eseguibile del Magnifier con cmd.exe per ottenere al logon la possibilità di avere una finestra di comandi eseguita con i pieni poteri (LocalSystem) senza dover inserire alcuna password. E' vero sì, si può chiamare backdoor, ma chi può crearla ? SOLO UN AMMINISTRATORE. Fine dell'analisi: è appunto la stessa cosa che dire "Ho scoperto un modo per entrare in casa mia senza chiavi ... lascio la porta aperta!". A dire la verità l'articoletto dice (abbastanza) chiaramente che ci sono questi requisiti, ma chissà perché il passaparola fa passare solo l'informazione distorta di "vulnerabilità" e non porta con sè i requisiti di partenza: risultato finale, si parla del solito Vista bacato. Terminato lo sfogo...(scusatemi...) aggiungerei qualche best practice in più sul tema in oggetto, anche se sono ovvie sono informazioni che non fanno mai male.

Per gli utenti privati: custodire le credenziali di amministratore con la stessa cura con cui teniamo d'occhio il nostro mazzo di chiavi. Non facciamo copie = non creiamo altri utenti amministratori. Usiamolo il meno possibile = usiamo utenti non amministratori per le attività a rischio infezione (lettura e-mail, navigazione Internet, apertura di file ricevuti da terzi), non disabilitiamo lo User Account Control in Windows Vista. Se veniamo infettati da un Trojan mentre siamo loggati da amministratori, di fatto stiamo implicitamente consegnando a tale programma le chiavi del computer: partita chiusa.

Per lo scenario aziendale: questo discorso si traduce nelle considerazioni della mia 7a perla di Security Governance (post e link del mini-portale), ossia ancora limitare al massimo il numero di amministratori di dominio, sfruttando le possibilità di delega dei privilegi per dare solo il potere strettamente necessario per le attività che i singoli operatori hanno bisogno di compiere.

Security bug nel Repair Mode / Recovery Console di Vista ? Ma no ...

Feliciano Intini — Thu, 14 Jun 2007 19:50:00 GMT

Terza puntata della rubrica Anti-FUD (per la prima e seconda puntata leggi qui e qui). Fatto vero (purtroppo): ad un collega pochi giorni fa hanno rubato la moto mentre era al lavoro da un cliente, in pieno giorno. Come era protetta la moto ? Dal quel tipo di lucchetto che immobilizza la ruota. Come è stata rubata la moto ? E' arrivato un camion, sono scesi alcuni tizi e hanno caricato "di peso" la moto a bordo, in meno di 5 minuti! Cosa voglio dirvi con questo ? Un concetto fondamentale in ambito sicurezza: LA SICUREZZA FISICA è alla base di tutta la sicurezza (concetto ribadito anche dal modello Defense In-Depth a dall'immagine rappresentativa che ho riportato nel mio post di piano dell'opera). ...(read more)

Disinformazione a gogo: quando le notizie sono fresche di giornata ...

Feliciano Intini — Thu, 24 May 2007 02:32:00 GMT

Scusate se colgo nuovamente spunto da un post di DownloadBlog per puntare il dito (con disappunto...)su chi fa vera e propria disinformazione: se qualche giorno fa è toccato a Symantec, oggi tocca ad una news di Yahoo, che ha ripreso a sua volta un articolo di PCWorld.com. ...(read more)