Eventi/ Il laboratorio sulla sicurezza di Microsoft

Quattro chiacchiere con gli esperti di sicurezza Microsoft, per conoscere il programma di protezione strategico e discutere del domani

Eventi/ Il laboratorio sulla sicurezza di MicrosoftMilano - Lo scorso ottobre Microsoft ha annunciato lo ?Strategic Technology Protection Program?, un'iniziativa nata per aiutare i propri clienti ad essere e restare sicuri su Internet e sui loro network interni. Questo programma sta generando, da parte di Microsoft, una mobilitazione senza precedenti di risorse e personale, traducendosi dunque in uno sforzo notevolissimo per il big di Redmond. Come ha scritto di recente Brian Valentine, Senior Vice President della Windows division, ?in qualità di leader del settore, Microsoft si sente in obbligo di garantire la sicurezza informatica dei propri clienti?.

E? all?interno di questa iniziativa che qualche giorno fa Microsoft Italia ha organizzato un ?Laboratorio Tecnico sulla sicurezza? che aveva fondamentalmente lo scopo di mostrare come creare e gestire sistemi informativi sicuri basati su prodotti Microsoft. Terreno tradizionalmente molto "caldo" per l'azienda.

L?intervento di apertura è stato di Marco Agnoli, Industry Business Development Manager e Responsabile attività Sicurezza di Microsoft Italia, che ha mostrato alcuni dati di Computer Security Institute (CSI) dai quali risulta che, a conferma di quanto rilevato dai maggiori osservatori di sicurezza, non sono gli attacchi esterni i più diffusi, ma quelli provenienti dall?interno, anche se la percentuale dei primi lo scorso anno è salita al 40%, con una crescita del 25% rispetto al 2000.
L?obiettivo più difficile da raggiungere nell?implementazione di una buona politica della sicurezza, secondo Agnoli, è trovare un buon compromesso tra semplicità, privacy e controllo a livello di back-end, mentre a livello di front-end c?è la necessità di formare e responsabilizzare gli utenti perché non abbiano dei comportamenti ?sprovveduti?. Tuttavia a monte di tutto questo, ci deve essere la volontà e la disponibilità da parte dell?azienda di destinare parte del suo budget alla sicurezza, una spesa che in genere non viene considerata un investimento fino a che non si subisce un attacco.

Un recente studio del CSI mostra che lo scorso anno i danni causati da problemi nella sicurezza hanno provocato alle aziende perdite per 377 milioni di dollari. Dallo studio emerge anche il preoccupante dato secondo cui due terzi delle aziende di tutto il mondo sarebbero state colpite da virus (worm, troiani, ecc.) e che il 15% dei siti business ha subito attacchi DoS.

Un altro recente studio del Gartner Group prevede che l?attenzione delle aziende verso la sicurezza crescerà notevolmente dei prossimi anni e che questo tipo di investimenti, da parte delle imprese americane, passerà dai 3.7 miliardi dollari del 2000 ai 9.3 miliardi del 2005. Agnoli ha infine osservato che secondo i dati di SecurityFocus Bugtraq nel 2001 il 28% delle vulnerabilità hanno interessato la distribuzione Linux Red Hat 7.0, il 24% Solaris 8 ed il 24% Windows 2000.

Agnoli ha spiegato che la strategia di Microsoft per dimostrare la propria competenza nel campo della sicurezza è stata sviluppata su due fronti: da una parte ha messo a disposizione il proprio know-how (creando un?area sulla sicurezza sul proprio sito web, organizzando seminari sulla sicurezza o collaborando con i system integrator); dall?altro ha sviluppato tecnologie e strumenti adeguati per migliorare la sicurezza dei propri prodotti.

Agnoli ha poi voluto sottolineare come l?interesse di Microsoft per la sicurezza non sia una novità: in contemporanea con lo sviluppo di Windows 2000 nacque infatti la Secure Windows Iniziative, una task force che ha coinvolto personale Microsoft di tutto il mondo specializzato nella sicurezza. Ed è proprio a questo team che si deve la creazione e l?aggiornamento di vari tools per la sicurezza di cui Punto Informatico si è già occupato, come:
- IIS lockdown tool: consente agli amministratori di blindare immediatamente i server IIS 4.0 e 5.0 chiudendo tutte le porte e i servizi opzionali, lasciando all?amministratore la responsabilità di decidere se e quando attivarli (questo tool sarà integrato in IIS 6.0)
- URLScan: filtra le richieste di accesso ai web server, escludendo quelle sospette (lunghezza eccessiva o caratteri insoliti nelle URL). (Integrato in IIS 6.0)
- HFNetCHK: eseguibile a riga di comando che verifica lo stato delle patch di tutti i computer da rete da una posizione centrale.
- Microsoft Personal Security Advisor: applicazione web che visualizza lo status di una macchina e consiglia gli eventuali aggiornamenti da installare.

Parlando di patch è poi emerso il frequente problema dei tempi necessari per la loro localizzazione, che nel migliore dei casi (ovvero quando non bisogna attendere il rilascio del Service Pack) arriva anche a 2-3 settimane. Gianluca Zanelotto, Product Manager Internet Servers di Microsoft Italia, sostiene che questi ritardi sono necessari perché anche se la patch non deve essere tradotta, va comunque adeguatamente testata in associazione con i prodotti localizzati in italiano. Microsoft consiglia l?adozione dei prodotti lato server in lingua inglese proprio per evitare questi ritardi. Zanelotto ha poi sottolineato come in genere sono le piccole e medie imprese a richiedere la localizzazione dei prodotti.

Mario Esposito, Senior Technical Specialist, ha poi illustrato i software e le tecnologie messi a disposizione da Microsoft per consentire ai propri clienti di lavorare in un ambiente sicuro.
Windows 2000, che a differenza di Windows NT 4.0 è stato sviluppato tenendo conto della connettività ad Internet, supporta una serie di protocolli e di meccanismi di autenticazione e crittazione dei dati, fra cui Kerberos e IPSec, che proteggono le informazioni da inviare sulla rete, certificano l?identità degli altri interlocutori e forniscono uno standard con il quale piattaforme diverse possono dialogare in modo protetto.

Esposito ha dimostrato alcune delle tecniche di hacking più diffuse, fra cui il port-scanning, l?eavesdropping (tecnica di sniffing che consente di intercettare le informazioni che viaggiano sulla rete come login, password o dati sensibili) o il masquerading (mascheramento della propria identità allo scopo di ottenere delle informazioni) utilizzate in genere dagli assalitori per modificare le informazioni od ottenere l?accesso abusivo ai sistemi.

Per molti esperti della sicurezza le principali lacune di Windows NT, a livello archietturale, erano date dall?assenza di strumenti per la sicurezza centralizzata: ovvero, se un amministratore eseguiva delle modifiche alle impostazioni sulla sicurezza di più computer, ciò doveva essere fatto manualmente su ogni singola macchina. Windows NT obbligava gli amministratori ad utilizzare tool differenti per configurare le policy di sicurezza (ad esempio per impostare una auditing policy doveva essere usato User Manager for Domains, mentre per abilitarla su di una specifica macchina bisognava usare Windows Explorer e il Registry Editor) e non forniva nessun servizio di directory che agisse come autorità centrale per coordinare le identità e le relazioni tra la varie entità presenti nelle LAN.

Le risposte di Microsoft a queste problematiche sono state l?Active Directory (AD) e le Group Policy (GP) introdotte con Windows 2000. L?Active Directory permette da un lato all?utente di accedere alle risorse di rete usando i nomi e gli attributi degli oggetti e dall?altro all?amministratore di verificare l?identità dell?utente e decidere a quali risorse di rete possa accedere tramite le Access Control List (ACL). Un esempio pratico è l?accesso ad una stampante di rete: su NT 4.0 doveva essere conosciuto l?intero path di rete, mentre su Windows 2000 basta chiedere di trovare la stampante di rete più vicina.

Apriamo una piccola parentesi sulle ACL. Questa tecnologia non solo è fruibile all?interno di una LAN, ma anche all?interno del un singolo PC, purché sia presente un sistema operativo che la supporti come Windows NT 4.0, Windows 2000 o Windows XP Pro: nessuna delle varie versioni di Windows 9.x o Windows XP Home la integra. Il che vuol dire che nei sistemi consumer, un?applicazione maliziosa potrebbe inviare un messaggio di terminazione ad una antivirus o ad un programma per la protezione, senza che venga verificato se tale applicazione è legittimata a farlo, lasciando così il sistema totalmente indifeso.

Prima di spiegare quale sia il ruolo delle GP nella sicurezza di Windows 2000, è bene illustrare le differenze fra un dominio NT 4.0 ed uno Windows 2000. In NT 4.0, dove la rete logica rispecchia quasi uno a uno la struttura fisica del network e i processi logici di business vengono soddisfatti lavorando sui gruppi e sui global account, l'attività di dominio è suddivisa in Primary Domain Controller e Backup Domain Controller. Se un PDC cade, uno o più BDC continuano a soddisfare richieste di autenticazione e controllo delle ACL. Invece nei domini Windows 2000, la rete logica è completamente disaccoppiata dalla rete fisica e i processi di business sono soddisfatti creando relazioni gerarchiche e intercosse (tramite gli alberi e le foreste dell?Active Directory). Tutte le componenti della rete (utenti e risorse) sono soggette a policy distribuibili a cascata. Ogni domain controller è l'entry point di un albero della gerarchia logica della rete fisica. Tanti DC costituiscono le foreste. Alberi e foreste si mantengono aggiornati per mezzo di attività di replica automatiche che per le normali operazioni avvengono ogni 15 minuti, mentre per quelle più critiche (creazione/rimozione di un utente) avvengono in tempo reale.

Con le GP, Microsoft sostiene che l?amministratore ha finalmente a propria disposizione un unico strumento per gestire le politiche sulla sicurezza, configurare/installare le applicazioni all?interno della rete e gestire i domini in modo centralizzato. Per esempio, accedendo alle GP tramite Microsoft Management Console, si può decidere se la lunghezza della password deve essere di almeno 7 caratteri, se deve contenere numeri o caratteri insoliti come ?,? o ?!?, oppure se e come l?utente può installare/configurare le applicazioni (cliccando sull?icona inizia l?installazione oppure quello più avanzato può installarla da solo scegliendo tra quelle messe a disposizione dall?amministratore) o ancora a quale gruppo di utenti dare maggiore ampiezza di banda per la connessione ad Internet.

In risposta alle tante aziende che hanno richiesto un firewall per proteggersi dall?esterno, Microsoft ha poi sviluppato ISA, il suo primo prodotto completamente chiuso: di norma le Internet Application della Microsoft (come gli IIS) hanno tutte le opzioni e le porte abilitate, qui invece è l?amministratore che deve aprire le porte ed i servizi. Tra le funzionalità più interessanti di ISA, che supporta il linguaggio di script WMI, c?è il Dual-hop SSL ovvero la doppia certificazione: l?utente quando prova ad accedere ad un webserver protetto da ISA, riceve da questi un certificato e, successivamente ISA genera un secondo certificato con il quale chiede accesso al web server.

Giovanni Fleres
con la collaborazione di Alessandro Rontani
TAG: microsoft
24 Commenti alla Notizia Eventi/ Il laboratorio sulla sicurezza di Microsoft
Ordina
  • Quanto rido!!

    AHAHAHAHAHAHAHAHHAHAHAHAHAHAHAHAHAH

    Si sono accorti che sono una massa di buffoni incapaci.
    E vogliono far credere il contrario.

    Più si va avanti e più la MS mi fa ridere, quasi quanto i colleghi che si raccontano le avventure di istallazione,disistallazione e problemi di Windows.

    AHAHAHAHAHAHAHAHHAHAHAHAHAHAHAHAHAH
    non+autenticato
  • Se non giustifichi la tua affermazione credo sia proprio tu il buffone.
    Suvvia, sii serio. Commenta la tua disapprovazione.
    non+autenticato

  • è davvero assurdo che, quando si mettono a fare ciò che ogni serio produttore di software dovrebbe fare normalmente, poi la vendano come un "nuovo progetto", un'innovazione, qualcosa di straordinario.

    Invece di essere una cosa normale, te la vendono come se fosse straordinario.


    ecco allora uno spot da me creato per ESSI:

    "Per gli altri è normale essere straordinari, per noi è straordinario essere normali."
    "Dove vuoi andare ieri?"
    (con animazioni in flash, mi raccomando)
    non+autenticato
  • certo che e' un bel business 3,7 miliardi di dollari di investimenti contro 337 milioni di dollari di danni
    non+autenticato
  • " il 28% delle vulnerabilità hanno interessato la distribuzione Linux Red Hat 7.0, il 24% Solaris 8 ed il 24% Windows 2000"

    Solo che RedHat è una distribuzione, vale a dire
    un sistema operativo corredato da migliaia di
    applicativi, Windows è SOLO il sistema operativo.

    Se vogliamo fare un confronto equo, prendiamo in considerazione il numero di bug di una qualsiasi distribuzione e tutti i bug scoperti in Windows più tutti i suoi applicativi (IIS, Outlook e via dicendo....)
    non+autenticato
  • Bè in effetti per questi giochi di parole, i dirigenti M$ andrebbero perseguiti legalmente; è una truffa nei confronti degli ut. e soprattutto delle aziende.
    A tal proposito in merito a quei famosi bug riportati su securityfocus; essi erano già stati segnalati in un prec. post da un "fan" win. Ed allora siccome nessuno ha avuto la cura di farli i conti, ho prevveduto io stesso.
    Riporto quella parte del mio post, con i conti presi di pari passo dalla pagina di securityfocus:

    "............ Se guardi le statistiche da te presentate sembrano più bacati i sistemi UNIX. Ma dovresti sapere che una distro UNIX ha più sw di una win* e che i bug sono riferiti alla distribuzione dell'o.s. non al sw in tot.
    win* di base comprende solo l'o.s. e le utility di base per l'o.s.
    ....... basandomi su quei dati; ma un conto di bug per unità di sw (in Mb). Eh, già, perchè è cosi che si fà il conto; non è appropriato, nè giusto; perchè i bug di un'o.s. e delle sue utility sono ben più importanti di bug del sw generico; ma tralasciamo.
    Consideriamo le annate peggiori per gli UNIX (alcuni) e quelle peggiori e migliori per NT/2000 win 3.x non è più sviluppato per cui inutile.

    Allora:
    AIX: an. pgg. 98 38 bug, 6 Gb sw > 6.3 bug/sw
    Solaris: c.s. 99 34 bug, 6 Gb sw > 5.6 bug/sw
    Red Hat: c.s. 00 95 bug, 20 Gb sw > 4.75
    NetBSD: c.s. 00 20 bug, 8 Gb sw > 2.5 bug/sw

    winNT/2000 c.s. 00 97 bug, 0.7 Gb sw > 138.57 bug/sw
    winNT an. migl. 98 8 bug, 0.4 GB sw > 20.0 bug/sw
    Per il 98 annata migliore per win*, considero NT, perchè esisteva lui in quel periodo; a tutto vantaggio, poi di win poichè NT ha meno sw del 2000.

    Da notare che una distro win Nt o 2000, non comprende il famoso (per i bug) w.s. iis; mentre una distro UNIX si: apache; anche se questo ha un peso leggero sulla stessa distro. Infatti dal 96 ad oggi Apache ha solo 6 bug in tot.; iis oltre 60; superiori a quello dell'o.s. stesso.
    ......
    Da notare infine; che per Red Hat, Solaris ed NetBSD, esiste il porting anche per altre piattaforme non IA; e per queste non è detto che i bug siano diversi; per cui vanno tolti i bug delle altre piattaforme; .........
    E' pesante invece per NetBSD, che sostiene più di 30 piattaforme, il cui valore di bug/sw scenderebbe probabilmente intorno ad 1.
    Infine, per i *BSD, vengono compresi anche relase dichiarate non affidabili, non current-stable (come FreeBSD, di cui l'ultima stable è la 4.4. uscita 3 mesi fà), e correttamente andrebbero considerate quelle relase."

    I conti tradiscono il dirigente M$.
    M$ non è nuova a questi giochi di parole, vedasi il fatto di dichiarare che il suo o.s. ha la cert. 4 di sicurezza, omettendo che è solo per il locale (non c'è l'ha per la rete, a tutt'oggi neanche XP).
    L'open source, ma in generale tutto il mondo UNIX deve denunciare questo comportamento della M$, non tollerarlo. Arrivare anche non solo alla denuncia "vocale" ma anche a quella penale, per tutelarsi: essere messi sullo stesso piano di un o.s. win è offensivo e pregiudica la diffusione del proprio sistema, oltre che per le aziende con UNIX closed anche un danno economico.
    non+autenticato
  • Complimenti,esaustivo come esame
    non+autenticato
  • No, non è esaustivo, ma era scritto.
    Oltrettutto la valenza principale è di smentire il dirigente M$.
    Poi per i bug bisogna considerare varie cose; vi sono bug più importanti, altri meno, altri insignificanti.
    Bisogna considerare anche la posizione di una ditta com M$, come ogni altra ditta, in posizione di monopolio (e sottolineo come ogni altra ditta closed source); si viene indotti a curare meno il sw per lanciarlo prima (soldi!).
    Bisogna considerare che il sw M$ si propone di essere il più semplice possibile, e ciò aumenta i bug; ma questo l'ho detto e sottolineato tante volte.
    non+autenticato
  • > Bè in effetti per questi giochi di parole, i
    > dirigenti M$ andrebbero perseguiti
    > legalmente; è una truffa nei confronti degli
    > ut. e soprattutto delle aziende.

    Puoi esporre denuncia presso l'AntiTrust.

    Poi i tuoi conticini mi sembrano veramente da cabala. Come fai a contare il nr di bug per byte ? Sinceramente, mi sembrano due posizione estreme. La verità sta sempre in mezzo.
    non+autenticato
  • Ho riportato come ho fatto: in modo molto semplice si prende la fonte securifocus (link alla pg dovuta) dove sono riportati dal 96 ad oggi se mi ricordo circa 10 o.s., con i relativi bug scoperti anno per anno e si divide il numero di bug per sw quantità di sw installato in tot. della relativa distro (win, Linux, *BSD, etc.); ovviamente prendendo nel caso in esame per Linux e *BSD la quantità tot. di sw installabile su IA, per gli altri Solaris, AIX quella su relativa arch.
    OK, la quantità di sw tot. installabile potenzialmente (la stessa su cui sono stati elencati i bug per ogni o.s.) è approx. per eccesso o per difetto (anche per win); ma dà lo stesso un'idea.
    Non è molto difficile; certo dice solo che win risulta essere l'o.s. più bug-ato per unità di sw installabile.
    Occorrerebbe magari classificare i bug in importanti, medi, scarsamente importanti; e cioè se si vuole un'analisi più approfondita.
    Ma lo scopo è quello di evidenziare che dal 96 ad oggi gli o.s. win sono quelli che hanno avuto più bug per unità di sw installabile, nel totale (e sottolineo nel totale dei bug, senza discernerli).
    Cmq evidenzia il doppio-giochismo degli uomini M$, e sicuramente non è un merito.
    non+autenticato
  • Poi, in effetti, su questi "giochi di parole" la legge dovutamente è incerta. E' auspicabile tuttavia cercare di attivarsi perchè non vengano tollerati.
    non+autenticato
  • Aggiungo il link da cui "studiare" questi famosi bug:
    http://www.securityfocus.com/vulns/stats.shtml
    non+autenticato

  • - Scritto da: Morituro
    > " il 28% delle vulnerabilità hanno
    > interessato la distribuzione Linux Red Hat
    > 7.0, il 24% Solaris 8 ed il 24% Windows
    > 2000"
    >
    > Solo che RedHat è una distribuzione, vale a
    > dire
    > un sistema operativo corredato da migliaia di
    > applicativi, Windows è SOLO il sistema
    > operativo.

    Mi permetto di aggiungere solo che si deve comtare oltre ai bachi anche
    la prontezza di chiuderli e M$, come visto oggi su PI, non e' poi
    cosi' celere...

    Inoltre hanno dovuto prendere RH 7.0, perche' se avessere presso
    Debian GNU/Linux stable avrebbero fatto una pessima figura....

    Fatevi abbindolare utonti e sopratutto PAGATE!!!
    non+autenticato


  • - Scritto da: fDiskolo
    >
    > - Scritto da: Morituro
    > > " il 28% delle vulnerabilità hanno
    > > interessato la distribuzione Linux Red Hat
    > > 7.0, il 24% Solaris 8 ed il 24% Windows
    > > 2000"
    >
    > Inoltre hanno dovuto prendere RH 7.0,

    Famosa per il compilatore C/C++ in beta version e che ha fatto impazzire tutti.

    Credo che la cosa + importante sulla sicurezza (era il tema dell'articolo) non sia stata detta:
    Quale era la gravità delle vulnerabilità riscontrate?
    Non è poco!
    non+autenticato
  • - Scritto da: Tit.
    > - Scritto da: fDiskolo
    > > - Scritto da: Morituro
    > > > " il 28% delle vulnerabilità hanno
    > > > interessato la distribuzione Linux Red Hat
    > > > 7.0, il 24% Solaris 8 ed il 24% Windows
    > > > 2000"
    > > Inoltre hanno dovuto prendere RH 7.0,
    > Famosa per il compilatore C/C++ in beta
    > version e che ha fatto impazzire tutti.
    >
    > Credo che la cosa + importante sulla
    > sicurezza (era il tema dell'articolo) non
    > sia stata detta:
    > Quale era la gravità delle vulnerabilità
    > riscontrate?
    > Non è poco!

    ricorda: la statistica è quella grande arte che riesce a rigirare i
    numeri come più fanno comodo.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)