Luca Annunziata

Microsoft: IE, come lo feci

Feliciano Intini, Chief Security Advisor della divisione italiana di BigM, racconta a Punto Informatico i retroscena della patch per il browser di Redmond. Un piccolo record, dice

Roma - Si tratterebbe di una sorta di primato mondiale, se esistesse la disciplina olimpica della scrittura di patch per una vulnerabilità: ne è convinto Feliciano Intini, il numero uno della sicurezza dei prodotti Microsoft in Italia, che spiega a Punto Informatico perché la sua azienda ha deciso di provvedere ad un aggiornamento extra questo mese per i suoi sistemi operativi e come abbia fatto fronte all'emergenza. "La durata media dei risk per i prodotti Microsoft è di 24 giorni, gli altri vendor non sono così veloci: questa volta ce l'abbiamo fatta in 8 giorni soltanto".

L'argomento della discussione è, ovviamente, la patch per Internet Explorer rilasciata da appena qualche ora: il browser di Redmond ha avuto bisogno di un cerottino fuori programma, visto che nelle ultime ore era diventato bersaglio di una massiccia campagna di attacco online. Per via di una vulnerabilità rivelata solo la scorsa settimana, oggi sarebbero già diverse migliaia i siti web infetti capaci di interagire con i meccanismi di data binding di IE tramite un relativamente semplice exploit del tip SQL injection: "Il riscontro dei siti attaccati si è fatto significativo - spiega Intini - dunque sono state richiamate le risorse per uscire in tempi rapidi con la patch".

Intini ammette che una settimana è comunque un tempo considerevole per correggere qualche linea di codice, "per l'utente finale sembra una eternità" dice: quello di cui però normalmente non si tiene conto, sostiene, è che sebbene "la scrittura delle righe di codice sia immediata, Microsoft una volta prodotta la patch deve localizzarla, renderla disponibile per tutte le versioni di Windows attualmente supportate e verificare una lista di 200 applicazioni supercritiche che se non dovessero funzionare con quella patch creerebbero problemi seri al business di aziende importanti". E questi problemi, prosegue, potrebbero avere "rilevanza maggiore di un virus".
Nel caso specifico, racconta Intini a Punto Informatico, "Abbiamo operato un cambio di marcia: quello che è avvenuto in questa occasione è stato una sorta di fermo di produzione in miniatura per richiamare tutte le risorse possibili e accelerare la fase di test e arrivare rapidamente a un livello di qualità accettabile". Microsoft avrebbe insomma agito spinta dalla escalation di infezioni per arginare il problema, che riguardava tutte le versioni di Internet Explorer, compresa la beta del prossimo IE8, prima che le sue dimensioni si facessero realmente preoccupanti.

In ogni caso, prosegue minimizzando, "La tipologia di questa vulnerabilità non era niente di anormale, in linea rispetto ad altre vulnerabilità di IE scoperte in passato, ed esponeva a rischi legati ai privilegi degli utenti". Obiettiamo che è la stessa natura di Administrator degli account di default di molte versioni di Windows a causare l'esecuzione delle applicazioni con i massimi privilegi: "Ci sono senz'altro dei margini per migliorare l'interfaccia - spiega Intini - per costringere l'utente ad abbandonare il suo account da admin: su Vista sono già stati fatti dei passi in questo senso, in modo da far scattare nell'utilizzatore la molla del sospetto ogni qual volta qualche programma richieda certi privilegi per funzionare".

Ad esempio la protection mode di IE su Vista dovrebbe confinare la possibilità di modificare parti critiche del sistema da parte di questo tipo di attacchi: in ogni caso, poiché il bersaglio di questa ondata era in generale Explorer 7 e non solo le sue installazioni su Windows 6, un intervento era necessario. Peraltro, continua sempre Intini, "Anche se non è molto noto, IE8 andrà nella stessa direzione di Chrome nella separazione di fatto dei processi tra le diverse tab: fa più notizia che sia Google a parlare di Sandbox riguardo a Chrome, mentre difficilmente le novità di IE8 guadagnano una visibilità tale da essere lette da chiunque".

Tra le peculiarità della falla tappata ieri, comunque, c'è anche il modo in cui è stata sfruttata: "Il crimine informatico - spiega a Punto Informatico - si è reso conto che la regolare emissioni di bollettini di sicurezza è un modo efficace di combatterlo: dunque ha iniziato ad aspettare quel momento per uscire allo scoperto subito dopo con vulnerabilità zero-day, tentando di massimizzare il danno". Microsoft invece ha voluto dare prova di essere in grado di tenere testa anche a questa tattica, e per evitare che questa occasione causasse maggiore scompiglio ha voluto fare una "corsa contro il tempo per rendere la patch disponibile".

Di pari passo si sviluppa un'altra nota problematica: quella del reverse engineering delle patch per scovare gli exploit, motivo per per il quale Microsoft è impegnata nella creazione e nella distribuzione di strumenti utili ai clienti per aggiornare tempestivamente i sistemi e comunque nel migliorare la comunicazione su questi temi. "Si sta facendo strada una maturità differente nel pubblico - spiega Intini - dovremo accettare l'ineluttabilità dei bug del software, nonostante ci si sforzi di scrivere codice sicuro, e dovremo convivere con le patch: credo sia responsabilità di tutti i vendor migrare verso l'automatismo dell'aggiornamento, che purtroppo è legato ad un'altra problematica sensibile come quella legittima della privacy".

Intini richiama dunque la necessità di garantire la protezione dei sistemi operativi Microsoft, e dunque dei computer degli utenti ma, precisa, senza colpi di mano: "C'è da confrontarsi sulle modalità migliori per salvaguardare il diritto dell'utente di essere consapevole di quello che avviene sul suo computer - chiarisce a Punto Informatico - ma bisogna anche tentare di agevolargli la vita". Come in questo caso, appunto, con delle patch rese disponibili automaticamente per tutti i sistemi operativi e le versioni dei browser che godono del supporto da parte di Microsoft.

L'aggiornamento riguarda tutte le versioni di Explorer fino alla recente beta2 di IE8: "Lo sviluppo di codice è continuo, non si smette di lavorare ad una versione per cominciare la successiva - racconta Intini - L'albero di sviluppo del codice è unico, da cui si dipana una biforcazione quando si decide di rendere pubblico un prodotto: un collega italiano ha avuto la possibilità di fare una intership negli USA, e ha lavorato ad una parte di codice che potrebbe vedere la luce tra diversi anni solo nella versione successiva a Windows 9". In ogni caso, conclude, "Ogni vulnerabilità scoperta diventa esperienza: scoperti nuovi tipi di attacco questi ultimi vengono inseriti in un meccanismo che migliora i tool che analizzano il codice: e questo permette di scovare intere altre categorie di problemi fino a quel momento sconosciuti".

a cura di Luca Annunziata
369 Commenti alla Notizia Microsoft: IE, come lo feci
Ordina
  • ...eppure sono 3 settimane che con la mia debian stò in internet senza riavviare il pc e fino adesso ho installato degli aggiornamenti senza mandare in crash il browser! Con internet esplorer era tutto il contrario,riavviare ecc....Con questo non voglio dire che i.e. sia da schifo ma la navigazione è un pò lentina! Con Linux è meglio,provate ad utilizzare " Iceweasel" l'equivalente di mozilla e sarete contenti di usarlo, oppure provate il S.O. SABAYON Linux e avrete un'ottima release.Grazie
  • Allora presupponendo che l'ingegneria del software è una scienza ormai assodata da molto prima che si parlasse di internet explorer...

    come cavolo è possibile che in una struttura come quella di microsoft ci sia gente che ha il CORAGGIO di fare i video e di pubblicarli su vimeo e dire che SONO STATI BRAVI è un RECORD ecc ecc... apparte che da come lo dicono sul video sembra che dall'altra parte della cam ci sia qualcuno che li minaccia e si vede anche che non credono nemmeno loro in quello che dicono.

    Non è possibile che noi paghiamo sistemi operativi e migliaia di licenze per poi vederli spesi così.. non mi possono dire che c'era una vulnerabilità e che so stati bravi a correggerla, so stati cretini a lasciarla! ho capito che lottare contro il resto del mondo e contro quella gente che sa usare i debugger è dura ma non potete lasciare un parco clienti come quello di ms allo scoperto.

    Come si dice in genere, qui c'è gente che lavora!
    non+autenticato
  • Evidentemente tu non sbagli mai.
    Fortunato... o illuso... ognuno si dia la risposta.
    1303
  • Mijoni, mijardi di persone che ci scelgono LIBERAMENTE non possono essersi sbagliati tutti, no?

    Fan WindowsFan WindowsFan WindowsFan WindowsFan WindowsFan Windows
    non+autenticato
  • dipende da come si interpreta quel "liberamente"A bocca aperta

    io conobbi un direttore di filiale di banca che scelse liberamente di consegnare tutti i soldi ai rapinatori....e sottolineo liberamente, in fondo non c'era nulla di strano, solo un rapinatore che aveva casualmente puntato la sua pistola alla testa del direttoreA bocca aperta
    non+autenticato
  • - Scritto da: pabloski
    > dipende da come si interpreta quel "liberamente"
    >A bocca aperta
    >
    > io conobbi un direttore di filiale di banca che
    > scelse liberamente di consegnare tutti i soldi ai
    > rapinatori....e sottolineo liberamente, in fondo
    > non c'era nulla di strano, solo un rapinatore che
    > aveva casualmente puntato la sua pistola alla
    > testa del direttore
    >A bocca aperta

    Giusto! In fondo è logica quasi spicciola, "post hoc ergo propter hoc" in linea di massima, in assenza di veri nessi causali, è un ragionamento fallace! Con la lingua fuori
    non+autenticato
  • - Scritto da: Steve Ballmer
    > Mijoni, mijardi di persone che ci scelgono
    > LIBERAMENTE non possono essersi sbagliati
    > tutti,
    > no?
    >
    > Fan WindowsFan WindowsFan WindowsFan WindowsFan WindowsFan Windows

    che tristezza.
    -ToM-
    4532
  • dimentichi Opera, quello si che è un browser perfetto sotto il punto di vista della sicurezza
    non+autenticato
  • > Internet Explorer è il miglior browser in assoluto
    > http://www.vnunet.it/it/vnunet/news/2008/12/12/int
    Effettivamente, quando uno sceglie un programma, cosa fa?
    - Prende la beta della versione successiva
    - La confronta con le beta di tutti i programmi concorrenti
    - Conta i bug come si contano le patate
    - Sceglie il programma la cui beta della versione successiva ha meno bug
    Chissenefrega dei bug della versione attuale? Chissenefrega del livello di criticità dei bug? Chissenefrega del fatto che quel conteggio di bug non può essere esaustivo?

    Complimenti: appena inventeranno il Nobel per l'informatica tu sarai il primo vincitore.
  • Non pensavo che vnunet potesse scendere così in basso, avranno per caso bisogno di una pala, nel caso volessero anche cominciare a scavare? Che si sbrighino, però, che AdTI e Laura DiDio non aspettano Con la lingua fuori
    non+autenticato
  • AH! AH! AH!
    non+autenticato
  • - Scritto da: Comunardo
    > AH! AH! AH!


    Siete tutti dei NERDS sfigati... non vi sopporto più.

    Si parla solo di Windows VS Linux...

    ... questo sito è diventato solo una rottura di palle, non si fa che leggere commenti squallidi, come se fossi in un bar e sentissi parlare di Ronaldino e Ibrahimovic tutto il giorno...

    NOIA NOIA NOIA... andate a lavore!
    non+autenticato
  • ma perchè tu che stai facendo ???A bocca aperta

    e comunque sono sempre i winari che hanno bisogno di continue pseudo-conferme

    evidentemente non sono tanto il sicuro che il loro Windowz rulezA bocca aperta
    non+autenticato
  • - Scritto da: pabloski
    > ma perchè tu che stai facendo ???A bocca aperta
    >
    > e comunque sono sempre i winari che hanno bisogno
    > di continue
    > pseudo-conferme
    >
    > evidentemente non sono tanto il sicuro che il
    > loro Windowz rulez
    >A bocca aperta

    Sta guerra degli OS sta distruggendo questo forum.

    Cerco di rispondere solo a POST sensati dove sembra che ci sia un barlume di buona fede.

    Ma ormai sono davvero pochi.

    E poi alcuni POST / TOPIC / THREAD sono totalmente da ELIMINARE...

    ... il problema è che la maggior parte delle persone, e questo riguarda sia i winari che i linari senza sapere le cose.

    L'OS non è un partito politico o una squadra di calcio... è un cazzo di programma!!! uno non può stare a patteggiare per l'uno o per l'altro manco gli stessero toccando la famiglia.

    Bisognerebbe veramente spedire tutta questa gente che scrive milioni di post tutti i giorni sulla "guerra degli OS" a lavorare... sempre che non sia pagati per scrivere CAZZATE sul questo forum... allora saremmo davvero alla frutta.
    non+autenticato
  • I primi da eliminare sarebbero quelli della VNUnet che propinano come conclusivi i dati tratti da un confronto fra beta, mentre all'utente interessano quali falle e bachi rimarranno irrisolti col rilascio della versione finale, e questo indipendentemente da chi esca vincitore del confronto.
    In secondo luogo, finché non si passa agli insulti personali, visto che siamo su un forum, che si discuta mi sembra naturale, se poi qualcuno fa il bambino, basta non rispondergli, ma anche il più beota dei troll resta sempre mille volte superiore a certi trogloditi che vanno allo stadio per menarsi coi tifosi della squadra avversaria, non ti lamentare troppo dei difetti dei forum, che c'è di peggio...
    non+autenticato
  • - Scritto da: poc
    > Internet Explorer è il miglior browser in assoluto
    > http://www.vnunet.it/it/vnunet/news/2008/12/12/int

    puo anche essere che sia il migliore.

    Dicono che il macchinone sia migliore del macchinino, io preferisco, se devo prenderlo, il secondo.

    Poi sono sicuro che Opera/FireFox sono stati i maggiori distributori di Dialer in automatico.
    Non dico Chrome visto che è presente da troppo poco.
  • Sono un programmatore con esperienza... bof non so neanche quanto, ventenale grosso modo.

    Quindi so di cosa si sta parlando.

    E so quando mi raccontano una ca__ata.

    Ecco, me ne hanno raccontata una.

    Correggere un bug a simili livelli non può e non deve comportare più lavoro di un giorno (a tenerla MOOOLTO lunga).

    Non è neppure vera la storia di dover controllare così tante altre applicazioni.

    Se c'è del codice che può permettere un exploit, l'eliminazione di questa possibilità non modifica il funzionamento del codice che si sta modificando, quindi le applicazioni che si basano su questo codice non si accorgono neanche della modifica.

    Se l'errore (es. un buffer overflow) è in una funzione che dati due numeri ritorna la somma, si correggerà la funzione ma continuerà a ritornare la somma dei due numeri.

    Bah.
    non+autenticato
  • Anche io ho esperienza. E sulla base di questa ti confermo che questi sono discorsi da markettari in pieno stile M$. Dire che bisogna aggiornare le applicazioni business enterprise level mission critical piace un sacco ai markettari che non hanno scritto mai una linea di codice.
    non+autenticato
  • ricordo che in microsoft non si scrive codice...

    si trasinano icone e si clicca con il mouse

    per vedere se c'e un numero o una bomba sotto la casella

    del campo minato

    se hai esperenza ventennale sai che microsoft e' famosa per le schifezze che fa
    non+autenticato
  • - Scritto da: ms funboy
    > ricordo che in microsoft non si scrive codice...
    >
    > si trasinano icone e si clicca con il mouse
    >
    > per vedere se c'e un numero o una bomba sotto la
    > casella
    >
    >
    > del campo minato
    >
    > se hai esperenza ventennale sai che microsoft e'
    > famosa per le schifezze che
    > fa
    Infatti, vuoi mettere il grande MONO con quella schifezza di Visual Studio????? Rotola dal ridere
    non+autenticato
  • Dipende. Ma se il codice è un accrocchio derivante da altri accrocchi e gira in un contesto spesso fatto a pene di segugio pur di rispettare le scadenze imposte a volte può avere dei comportamenti non previsti.
    non+autenticato
  • Forse non hai mai visto codice scritto sufficientemente male... una volta che un imbecille abbastanza capace ci ha messo mano, anche un bug può essere vitale per il funzionamento del programma. E se lo correggi, capita che il software non funzioni più...

    "Gli imbecilli sono sempre più ingegnosi delle contromisure che si prendono per impedir loro di nuocere" (secondo corollario della Legge di Murphy
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 25 discussioni)