Microsoft: la sicurezza si legge

La stessa musa che ha ispirato la nascita del Trustworthy Computing ha guidato la penna di Microsoft nella stesura di alcune linee guida per rendere più sicuri i propri prodotti, fra cui Windows 2000, IIS e SQL Server

Redmond (USA) - A un anno esatto dal varo dell'iniziativa Trustworthy Computing, Microsoft si appresta a lanciare la seconda fase di quel piano a lunga scadenza attraverso cui ha promesso di focalizzare la propria attenzione sui problemi della sicurezza e della privacy, inclusa la dura battaglia contro i bug di sicurezza.

Fra i nuovi progetti contemplati dalla nuova strategia di sicurezza vi è la pubblicazione di nuove linee guida che aiutino utenti, amministratori di sistema e OEM a configurare al meglio i propri sistemi affinché siano meno vulnerabili agli attacchi informatici. Questo sforzo si è di recente concretizzato con la pubblicazione di una guida on-line di 20 pagine intitolata "Costruire e configurare siti Web più sicuri".

La guida, consultabile gratuitamente sul sito MSDN (in inglese), spiega nei dettagli le procedure seguite dai tecnici Microsoft per mettere a punto una soluzione che durante la competizione OpenHack 4, ha resistito con successo a 82.500 tentativi di attacco.
Nella sua nuova guida, Microsoft descrive le best practices che sviluppatori e amministratori di sistema dovrebbero adottare per rendere più sicure le proprie soluzioni Web basate su Windows 2000, Internet Information Services 5.0, SQL Server 2000 e.NET Framework, le stesse applicazioni di cui si è avvalso il big di Redmond per affrontare la competizione tenutasi lo scorso autunno.

Gli argomenti contemplati dalla guida vanno dalle form per l'autenticazione alla criptazione dei dati sensibili, dalle voci del registro utilizzate per "blindare" Windows 2000 allo standard IPSec, dall'amministrazione remota via VPN alla protezione dei database.

Questo documento ben si sposa con quell'imponente guida di oltre 600 pagine che lo scorso novembre Microsoft dedicò agli sviluppatori che intendano costruire Web service sicuri servendosi di ASP.NET. Anche questa pubblicazione può essere consultata gratuitamente, in lingua inglese, sul sito MSDN.

Fra i nuovi progetti che stanno impegnando la Security Business Unit di Microsoft vi è la creazione di una serie di linee guida sulla sicurezza chiamate "Prescriptive Architectural Guidance". Attraverso questa sorta di prontuario, Microsoft spera di offrire agli IT manager, e in particolare ai grossi OEM come Dell e HP, un riferimento ufficiale per la configurazione di sistemi basati su Windows 2000 che meglio rispondano alle esigenze di sicurezza dei singoli clienti: la guida fornirà suggerimenti sui servizi che è opportuno attivare o meno e tenterà di spiegare il delicato rapporto fra funzionalità, sicurezza e compatibilità.

Microsoft ha affermato che simili linee guida potrebbero essere rilasciate, più avanti nel tempo, anche per Windows XP.

Il gigante di Redmond sostiene come la maggiore difficoltà in questo campo sia l'impossibilità di trovare un modello di sicurezza univoco e adatto per tutte le esigenze. Questo rende necessario, secondo Microsoft, un incessante lavoro per la stesura di linee guida e documentazione che possa aiutare i clienti a raggiungere un adeguato livello di sicurezza compatibile con la propria struttura informatica e i propri servizi.

Più facile, secondo Microsoft, è invece definire un modello attraverso cui classificare il livello di privacy delle applicazioni. Un primo passo verso questa direzione è dato dalla recente creazione del "Privacy Health", un indice che Microsoft utilizzerà per misurare l'aderenza delle proprie applicazioni ad un insieme di canoni fondamentali per la riservatezza e la protezione dei dati.
TAG: mercato
27 Commenti alla Notizia Microsoft: la sicurezza si legge
Ordina
  • Che si siano dimenticati di dire che il tutto girava sollo un firewall linux e che iis era sotto proxy apache?

    la solita provocazione Sorride
    non+autenticato
  • > Che si siano dimenticati di dire che il
    > tutto girava sollo un firewall linux e che
    > iis era sotto proxy apache?
    >
    eh, già: il _famosissimo_ proxy apache... Perchè usare Squid, quando hai il _famosissimo_ proxy apache :-/
    > la solita provocazione Sorride
    il solito ignorante... Sorride)
    non+autenticato
  • L'anno appena concluso ha dato modo a MS di emettere quasi 70 bollettini di sicurezza relativi ai propri prodotti.
    Più dell'anno prima.
    Più della somma dei due anni precedenti.

    Certamente a forza di Nimda, CodeRed e Klez, con il gran capo che doveva andare in TV assieme ai politici per invocare i sysadmin affinchè installassero le patch, beh, qualcosa in quel di Redmont è successo..

    Pubblicità tanta, fatti un po', risultati vedremo...

    Certo che prima di dar vanto dei propri risultati, sarebbe bene cercar di rivedere il proprio codice...
    Che poi il sistema in Internet abbia resistito dice qualcosa, ma restano voragini in giro da mitigare per quelli che in Internet non lo sono... e qui MS ha ancora un bel po' da lavorare, un po' su tutti i fronti...

    hanshan

    non+autenticato
  • Cito:
    "
    La guida, consultabile gratuitamente sul sito MSDN (in inglese), spiega nei dettagli le procedure seguite dai tecnici Microsoft per mettere a punto una soluzione che durante la competizione OpenHack 4, ha resistito con successo a 82.500 tentativi di attacco.
    "

    Solo 82.500 tentativi ? I miei servers hanno resistito a milioni di tentativi di parte di Code Red e i suoi amici ... e sono in piedi ancora oggi, non come il server Microsoft che al tentativo numero 82.501 e' andato giu' come una prugna Sorride

    Bah, i soliti buffoni, questi omini di Redmond ...
    11237
  • > Solo 82.500 tentativi ? I miei servers hanno
    > resistito a milioni di tentativi di parte di
    > Code Red e i suoi amici ... e sono in piedi
    > ancora oggi, non come il server Microsoft
    > che al tentativo numero 82.501 e' andato
    > giu' come una prugna Sorride

    Si, ma se ti faccio anche 2 milioni di attacchi con lo stesso worm e resisti non mi pare tanto un vanto... Ok, complimenti che a suo tempo avevi installato la patch, bravo! Ma gli 82'000 attacchi dei quali parlano spero che siano un po' più seri...

    Ma che è andato giù al tentativo numero 82501 chi te l'ha detto? Sei stato tu a tirarlo a basso?

    > Bah, i soliti buffoni, questi omini di
    > Redmond ...

    Eh si, un po' si... Ma non meno di quelli che cercano di gettargli merda addosso di continuo solo per una questione di devozione al pinguino.......
    non+autenticato

  • - Scritto da: Anonimo
    > > Solo 82.500 tentativi ? I miei servers
    > hanno
    > > resistito a milioni di tentativi di parte
    > di
    > > Code Red e i suoi amici ... e sono in
    > piedi
    > > ancora oggi, non come il server Microsoft
    > > che al tentativo numero 82.501 e' andato
    > > giu' come una prugna Sorride
    >
    > Si, ma se ti faccio anche 2 milioni di
    > attacchi con lo stesso worm e resisti non mi
    > pare tanto un vanto... Ok, complimenti che a
    > suo tempo avevi installato la patch, bravo!

    La mia patch si chiamava "Apache" Sorride

    > Ma gli 82'000 attacchi dei quali parlano
    > spero che siano un po' più seri...

    Si, molto probabilmente lo sono, ma non credo siano 82'000 attacchi tutti diversi, la notizia non lo dice.

    > Ma che è andato giù al tentativo numero
    > 82501 chi te l'ha detto? Sei stato tu a
    > tirarlo a basso?

    Come sopra, la notizia non lo dice. Puo' essere che, dopo aver tentato quei 4 o 5 attacchi conosciutie dei quali esiste unexploit, qualcuno abbia deciso di provarne uno nuovo e in quel momento - BUM! -

    > > Bah, i soliti buffoni, questi omini di
    > > Redmond ...
    >
    > Eh si, un po' si... Ma non meno di quelli
    > che cercano di gettargli merda addosso di
    > continuo solo per una questione di devozione
    > al pinguino.......

    Volevo solo far riflettere sul proclama della Microsoft: Cosi' riportato, a prima lettura, puo' sembrare una vittoria, ma in mancanza di dettagli potrebbe pure rivelarsi essere una bola di sapone.
    11237

  • - Scritto da: Giambo
    >
    > Solo 82.500 tentativi ? I miei servers hanno
    > resistito a milioni di tentativi di parte di
    > Code Red e i suoi amici ... e sono in piedi
    > ancora oggi, non come il server Microsoft
    > che al tentativo numero 82.501 e' andato
    > giu' come una prugna Sorride
    >
    > Bah, i soliti buffoni, questi omini di
    > Redmond ...

    Come al solito c'è un sacco di gente che chiacchiera senza aver letto nulla.

    OpenHack 4 prevedeva la stessa applicazione fatta su tecnologia MS e su tecnologia Oracle. Alla fine del periodo di esposizione solo un attacco è riuscito. E non all'implementazione MS ma a quella di Oracle.

    Cito dal sito: http://www.eweek.com/article2/0,3959,754428,00.asp

    Only one OpenHack challenge?a cross-site scripting attack?has been successfully accomplished so far. The person who levied that attack?Jeremy Poteet, chief technology officer at IT consultancy Technology Partners Inc.?has since discovered on the Oracle Corp. OpenHack application a very clever, though as yet unproven, way to hijack session information in a rare combination of circumstances. (For OpenHack test methodology, go to www.eweek.com/openhack.)

    3dots
    non+autenticato
  • Ms sta lavorando molto sul lato server/sicurezza e la comunita' linux sta lavorando sul lato desktop.

    MS guadagna posizioni sui servers e linux le perde. Ms stabile sui desktop e linux pure con una percentuale irrisoria.

    Parte di quelli che usano linux, spesso, usano anche windows perche' non ne possono fare a meno. Quindi alla fine dei conti linux non soddisfa nemmeno i suoi utenti non perche' fa schifo ma perche' non viene considerato da milioni di sviluppatori, e troppo spesso i linux developer credono di essere gli unici al mondo.

    Secondo me, la comunita' linux, dovrebbe pensare meno alla rete e smettere di considerare inutile e puerile l'entertainement e il multimediale.
    Sarebbe anche da abbandonare l'idea del gratis per forza con tutte le sue licenze e fare in modo che linux sia visto non come un OS di scrocconi ma un OS su cui conviene portare le applicazioni commerciali perche' ci sarebbe mercato.

    Salut!
    non+autenticato

  • - Scritto da: Anonimo
    > Ms sta lavorando molto sul lato
    > server/sicurezza e la comunita' linux sta
    > lavorando sul lato desktop.

    Perchè sul lato server/sicurezza la M$ sta cercando
    di raggiungere le prestazioni di linux.

    > MS guadagna posizioni sui servers e linux le
    > perde. Ms stabile sui desktop e linux pure
    > con una percentuale irrisoria.

    E quindi? Dove vuoi arrivare?

    > Parte di quelli che usano linux, spesso,
    > usano anche windows perche' non ne possono
    > fare a meno.

    Beh, sono contento di non far parte di questo gruppo.

    > Quindi alla fine dei conti linux non soddisfa
    > nemmeno i suoi utenti non perche' fa schifo
    > ma perche' non viene considerato da milioni
    > di sviluppatori, e troppo spesso i linux developer
    > credono di essere gli unici al mondo.

    Scusa, ma che basi hai per fare un'affermazione del
    genere. Da dove trai le tue conclusioni?
    Hai conosciuto uno o due programmatori sbruffoni
    e credi che siano tutti uguali. Il mondo OpenSource
    è molto più vasto di quanto tu possa immaginare.

    > Secondo me, la comunita' linux, dovrebbe
    > pensare meno alla rete e smettere di
    > considerare inutile e puerile l'entertainement
    > e il multimediale.

    Ancora. Chi ti dice che lo faccia?

    > Sarebbe anche da abbandonare l'idea del
    > gratis per forza con tutte le sue licenze e
    > fare in modo che linux sia visto non come un
    > OS di scrocconi ma un OS su cui conviene
    > portare le applicazioni commerciali perche'
    > ci sarebbe mercato.

    Ecco ancora uno che confonde free/gratis con
    free/libero. Chi ha mai parlato di "gratis per forza".
    Semmai di "libero per forza". Leggiti meglio la GPL.

    > Salut!

    Prosit!


  • > Ecco ancora uno che confonde free/gratis con
    > free/libero. Chi ha mai parlato di "gratis
    > per forza".

    Se lo distribuisci in GPL è gratuito..... o almeno solo la prima copia è a pagamento....

    Un altro che ha letto la licenza ma non ci ha mai riflettuto...
    non+autenticato

  • - Scritto da: Anonimo
    >
    > > Ecco ancora uno che confonde free/gratis
    > con
    > > free/libero. Chi ha mai parlato di "gratis
    > > per forza".
    >
    > Se lo distribuisci in GPL è gratuito..... o
    > almeno solo la prima copia è a pagamento....
    >
    > Un altro che ha letto la licenza ma non ci
    > ha mai riflettuto...

    Sotto la GPL non si vende software. Sotto GPL si vendono servizi legati al software. Se mi procuro un Linux (tre o quattro euro), ho fatto guadagnare chi me lo ha distribuito. Se mi scarico i manuali dal sito ho fatto guadagnare qualche operatore telefonico. Se acquisto un manuale di quelli da centinaia di pagine ci guadagnano l'autore e la casa editrice. Il Free Software crea un indotto.

    pi_n@
    non+autenticato
  • > il free
    > Software crea un indotto.
    >

    puo' essere ma non mi venite a dire che il free(libero) software e' a pagamento..... e' gratis punto e basta...

    Anche il software commerciale crea un indotto... prova a chiedere ad IBM quanti specialisti DB2 manda in giro ogni giorno...
    non+autenticato
  • - Scritto da: Anonimo
    > Ms sta lavorando molto sul lato
    > server/sicurezza

    No, per loro la sicurezza non paga immediatamente. Loro campano con Office.
    ...
    > MS guadagna posizioni sui servers e linux le
    > perde.

    Cazzta astronomica. Linux aumenta sui server con percentuali a due zeri (senza i decimali). m$ aumenta di qualche punto.
    ...
    > fare a meno. Quindi alla fine dei conti
    > linux non soddisfa nemmeno i suoi utenti

    Tutti i miei server sono fatti con Linux. A me Linux risolve un sacco di problemi e mi soddisfa parecchio.
    ...
    > troppo spesso i linux developer credono di
    > essere gli unici al mondo.

    Gli unici ? Ma se ha una base di sviluppatori enorme e trans-nazionale. Come potrebbero pensare di essere gli unici? Ma forse questo e' quello che pensi tu.

    > Secondo me, la comunita' linux, dovrebbe
    > pensare meno alla rete e smettere di

    Con il piffero. La rete oggi e' fondamentale. I primi elaboratori vennero creati per fare calcoli sulle traiettorie balistiche, poi vennero utilizzati soprattutto per archiviare grandi quantita' di informazioni. Oggi l'esigenza primaria e' quella di comunicare.
    non+autenticato
  • Io, Pinco Pallino, voglio un sistema sicuro. Quindi devo studiare. Ho due alternative:

    - studiare un sistema che ha la fama di essere molto sicuro (FreeBSD, Linux o simili)
    - usare un sistema non troppo sicuro e studiare le guide di Ms, fiducioso che in questo modo diventi sicuro
    - non studiare niente e convincermi che il sistema è sicuro già di per sè in natura perchè sono un adepto di Microsoftology.

    Il terzo caso è piuttosto comune tra i provider italiani ma possiamo lasciarlo perdere. Se decido di prendermi la briga di studiare, devo scegliere tra le prime due ipotesi. Stranamente una delle due mi sembra molto più logica dell'altra.
    hoff
    203

  • - Scritto da: hoff
    > Io, Pinco Pallino, voglio un sistema sicuro.
    > Quindi devo studiare. Ho due alternative:
    >
    > - studiare un sistema che ha la fama...

    Anche i miti crollano...
    ottantaduemilaepassa attacchi non sono da sottovalutare pero'.
    non+autenticato

  • - Scritto da: Anonimo

    > ottantaduemilaepassa attacchi non sono da
    > sottovalutare pero'.

    Sono _niente_, controlla il logfile di un sistema medio/grosso. E poi mi pare di capire che al numero ottantaduemilaeunpoco il sistema e' risultato compromesso.
    11237
  • > Sono _niente_, controlla il logfile di un
    > sistema medio/grosso. E poi mi pare di
    > capire che al numero ottantaduemilaeunpoco
    > il sistema e' risultato compromesso.

    Ma de che? Non c'e' scritto da nessuna parte. Quello e' il totale degli attacchi. CecatoA bocca aperta
  • > Sono _niente_, controlla il logfile di un
    > sistema medio/grosso.

    Ma te bevi?! Ti droghi?! Ma guarda che 82'000 ATTACCHI non sono pochi direi... 82'000 hits non sono _niente_, ma 82'000 tentativi di hacking non mi sembrano niente... Poi ognuno è sempre libero di credere nei suoi miti e ignorare la realtà dei fatti.

    > E poi mi pare di
    > capire che al numero ottantaduemilaeunpoco
    > il sistema e' risultato compromesso.

    Si si, te sei già ad uno stadio avvanzato della malattia... ormai hai pure le allucinazioni e credi di leggere quello che nemmeno stà scritto da nessuna parte... Ahia... Curati!
    non+autenticato

  • - Scritto da: Anonimo
    > > Sono _niente_, controlla il logfile di un
    > > sistema medio/grosso.
    >
    > Ma te bevi?! Ti droghi?! Ma guarda che
    > 82'000 ATTACCHI non sono pochi direi...
    > 82'000 hits non sono _niente_, ma 82'000
    > tentativi di hacking non mi sembrano
    > niente... Poi ognuno è sempre libero di
    > credere nei suoi miti e ignorare la realtà
    > dei fatti.

    Ma tu sai che attacchi sono ? Magari sono tutti "ping of death" Sorride

    > > E poi mi pare di
    > > capire che al numero ottantaduemilaeunpoco
    > > il sistema e' risultato compromesso.
    >
    > Si si, te sei già ad uno stadio avvanzato
    > della malattia... ormai hai pure le
    > allucinazioni e credi di leggere quello che
    > nemmeno stà scritto da nessuna parte...

    Non sta' scritto neppure il contrarioSorride

    Come vedi l'annuncio e' talmente "fumoso" che ognuno, a seconda del suo credo, puo' interpretarlo come vuole.
    11237

  • - Scritto da: hoff
    > Io, Pinco Pallino, voglio un sistema sicuro.
    > Quindi devo studiare. Ho due alternative:
    >
    .......
    > Il terzo caso è piuttosto comune tra i
    > provider italiani ma possiamo lasciarlo
    > perdere. Se decido di prendermi la briga di
    > studiare, devo scegliere tra le prime due
    > ipotesi. Stranamente una delle due mi sembra
    > molto più logica dell'altra.

    Veramente le alternative che hai postato sono tre....

    Comunque quì su P.I. c'è uno che si vanta di usare Windows senza mai aver aperto un manuale....
    non+autenticato

  • > Comunque quì su P.I. c'è uno che si vanta di
    > usare Windows senza mai aver aperto un
    > manuale....

    Bel vanto!Sorride

  • > Comunque quì su P.I. c'è uno che si vanta di
    > usare Windows senza mai aver aperto un
    > manuale....

    eheheheh... A dire il vero nemmeno io ho mai aperto "il manuale".... MSDN & TechNET rulez! Occhiolino
    non+autenticato

  • - Scritto da: Anonimo
    >
    >
    > Comunque quì su P.I. c'è uno che si vanta di
    > usare Windows senza mai aver aperto un
    > manuale....

    Embè? a casa mia c'è un'arzilla vecchietta che spedisce le mail da linux, naviga in internet e ascolta i CD senza aver mai aperto un manuale. Anzi, avendo comprato delle riviste per documentarsi ma senza averci capito nulla (per dirti il livello di preparazione tecnica). Eppure va!

    Tit.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > >
    > > Comunque quì su P.I. c'è uno che si vanta
    > di
    > > usare Windows senza mai aver aperto un
    > > manuale....
    >
    > Embè? a casa mia c'è un'arzilla vecchietta
    > che spedisce le mail da linux, naviga in
    > internet e ascolta i CD senza aver mai
    > aperto un manuale. Anzi, avendo comprato
    > delle riviste per documentarsi ma senza
    > averci capito nulla (per dirti il livello di
    > preparazione tecnica). Eppure va!

    Non credo però che la tua arzilla vecchietta vada a spargere "insegnamenti informatici" nei forum di P.I. ....

    E neppure che pretenda di essere un guru dei computer .....
    non+autenticato