Si tratterebbe di una sorta di primato mondiale, se esistesse la disciplina olimpica della scrittura di patch per una vulnerabilità: ne è convinto Feliciano Intini , il numero uno della sicurezza dei prodotti Microsoft in Italia, che spiega a Punto Informatico perché la sua azienda ha deciso di provvedere ad un aggiornamento extra questo mese per i suoi sistemi operativi e come abbia fatto fronte all’emergenza. “La durata media dei risk per i prodotti Microsoft è di 24 giorni, gli altri vendor non sono così veloci: questa volta ce l’abbiamo fatta in 8 giorni soltanto”.
L’argomento della discussione è, ovviamente, la patch per Internet Explorer rilasciata da appena qualche ora: il browser di Redmond ha avuto bisogno di un cerottino fuori programma , visto che nelle ultime ore era diventato bersaglio di una massiccia campagna di attacco online. Per via di una vulnerabilità rivelata solo la scorsa settimana, oggi sarebbero già diverse migliaia i siti web infetti capaci di interagire con i meccanismi di data binding di IE tramite un relativamente semplice exploit del tip SQL injection : “Il riscontro dei siti attaccati si è fatto significativo – spiega Intini – dunque sono state richiamate le risorse per uscire in tempi rapidi con la patch”.
Intini ammette che una settimana è comunque un tempo considerevole per correggere qualche linea di codice, “per l’utente finale sembra una eternità” dice: quello di cui però normalmente non si tiene conto, sostiene, è che sebbene “la scrittura delle righe di codice sia immediata, Microsoft una volta prodotta la patch deve localizzarla, renderla disponibile per tutte le versioni di Windows attualmente supportate e verificare una lista di 200 applicazioni supercritiche che se non dovessero funzionare con quella patch creerebbero problemi seri al business di aziende importanti”. E questi problemi, prosegue, potrebbero avere “rilevanza maggiore di un virus”.
Nel caso specifico, racconta Intini a Punto Informatico , “Abbiamo operato un cambio di marcia: quello che è avvenuto in questa occasione è stato una sorta di fermo di produzione in miniatura per richiamare tutte le risorse possibili e accelerare la fase di test e arrivare rapidamente a un livello di qualità accettabile”. Microsoft avrebbe insomma agito spinta dalla escalation di infezioni per arginare il problema, che riguardava tutte le versioni di Internet Explorer, compresa la beta del prossimo IE8, prima che le sue dimensioni si facessero realmente preoccupanti .
In ogni caso, prosegue minimizzando, “La tipologia di questa vulnerabilità non era niente di anormale, in linea rispetto ad altre vulnerabilità di IE scoperte in passato, ed esponeva a rischi legati ai privilegi degli utenti”. Obiettiamo che è la stessa natura di Administrator degli account di default di molte versioni di Windows a causare l’esecuzione delle applicazioni con i massimi privilegi: “Ci sono senz’altro dei margini per migliorare l’interfaccia – spiega Intini – per costringere l’utente ad abbandonare il suo account da admin: su Vista sono già stati fatti dei passi in questo senso, in modo da far scattare nell’utilizzatore la molla del sospetto ogni qual volta qualche programma richieda certi privilegi per funzionare”.
Ad esempio la protection mode di IE su Vista dovrebbe confinare la possibilità di modificare parti critiche del sistema da parte di questo tipo di attacchi: in ogni caso, poiché il bersaglio di questa ondata era in generale Explorer 7 e non solo le sue installazioni su Windows 6, un intervento era necessario . Peraltro, continua sempre Intini, “Anche se non è molto noto, IE8 andrà nella stessa direzione di Chrome nella separazione di fatto dei processi tra le diverse tab: fa più notizia che sia Google a parlare di Sandbox riguardo a Chrome, mentre difficilmente le novità di IE8 guadagnano una visibilità tale da essere lette da chiunque”.
Tra le peculiarità della falla tappata ieri, comunque, c’è anche il modo in cui è stata sfruttata: “Il crimine informatico – spiega a Punto Informatico – si è reso conto che la regolare emissioni di bollettini di sicurezza è un modo efficace di combatterlo: dunque ha iniziato ad aspettare quel momento per uscire allo scoperto subito dopo con vulnerabilità zero-day, tentando di massimizzare il danno”. Microsoft invece ha voluto dare prova di essere in grado di tenere testa anche a questa tattica, e per evitare che questa occasione causasse maggiore scompiglio ha voluto fare una “corsa contro il tempo per rendere la patch disponibile”.
Di pari passo si sviluppa un’altra nota problematica: quella del reverse engineering delle patch per scovare gli exploit, motivo per per il quale Microsoft è impegnata nella creazione e nella distribuzione di strumenti utili ai clienti per aggiornare tempestivamente i sistemi e comunque nel migliorare la comunicazione su questi temi. “Si sta facendo strada una maturità differente nel pubblico – spiega Intini – dovremo accettare l’ineluttabilità dei bug del software, nonostante ci si sforzi di scrivere codice sicuro, e dovremo convivere con le patch: credo sia responsabilità di tutti i vendor migrare verso l’automatismo dell’aggiornamento, che purtroppo è legato ad un’altra problematica sensibile come quella legittima della privacy”.
Intini richiama dunque la necessità di garantire la protezione dei sistemi operativi Microsoft , e dunque dei computer degli utenti ma, precisa, senza colpi di mano: “C’è da confrontarsi sulle modalità migliori per salvaguardare il diritto dell’utente di essere consapevole di quello che avviene sul suo computer – chiarisce a Punto Informatico – ma bisogna anche tentare di agevolargli la vita”. Come in questo caso, appunto, con delle patch rese disponibili automaticamente per tutti i sistemi operativi e le versioni dei browser che godono del supporto da parte di Microsoft.
L’aggiornamento riguarda tutte le versioni di Explorer fino alla recente beta2 di IE8: “Lo sviluppo di codice è continuo, non si smette di lavorare ad una versione per cominciare la successiva – racconta Intini – L’albero di sviluppo del codice è unico, da cui si dipana una biforcazione quando si decide di rendere pubblico un prodotto: un collega italiano ha avuto la possibilità di fare una intership negli USA, e ha lavorato ad una parte di codice che potrebbe vedere la luce tra diversi anni solo nella versione successiva a Windows 9”. In ogni caso, conclude, “Ogni vulnerabilità scoperta diventa esperienza: scoperti nuovi tipi di attacco questi ultimi vengono inseriti in un meccanismo che migliora i tool che analizzano il codice: e questo permette di scovare intere altre categorie di problemi fino a quel momento sconosciuti”.
a cura di Luca Annunziata