Office 2003 sarà un osso duro per gli antivirus

A dirlo sono i produttori di antivirus, preoccupati per alcuni problemi legati alla scansione dei file in formato XML, lo stesso utilizzato da Office 2003. E propongono a Microsoft una soluzione. Ma il problema non è solo di Gates e soci

Roma - Se il formato XML adottato dall'imminente Office 2003 promette diversi vantaggi per gli utenti, primo fra tutti la più stretta interoperabilità fra fonti di dati differenti, sembra invece destinato a causare non pochi grattacapi ai produttori di antivirus.

Il problema, secondo alcuni esperti, si troverebbe nel modo in cui le macro vengono incluse all'interno di un documento XML. A differenza dei formati tradizionali, che hanno una struttura del file molto rigida, i documenti salvati in XML non prevedono una posizione fissa in cui salvare le macro: questo obbliga gli scanner antivirus ad esaminare l'intero contenuto del file invece che una piccola porzione. I produttori di antivirus sostengono che questo rende più difficoltosa la ricerca di macro all'interno dei documenti ed incrementa significativamente i tempi di scansione dei file.

La questione, a detta degli esperti, non è banale. Uno scanner antivirus che opera lato server, come ad esempio un sistema di mail gateway filtering, potrebbe divenire maggiormente vulnerabile ad attacchi di tipo denial of service basati sul bombardamento del server con file XML molto grandi.
Microsoft, dal canto suo, sostiene che questo è un problema legato ai documenti XML nella loro generalità. Il formato XML è fra l'altro già utilizzato in suite per l'ufficio concorrenti come OpenOffice.org e StarOffice.

I produttori di antivirus suggeriscono tuttavia una soluzione al problema. In particolare, queste aziende consigliano l'introduzione, nell'intestazione di ogni file, di alcune informazioni che indichino agli antivirus l'esatta posizione di eventuali macro nel documento. Per evitare che i virus non sfuggano alla trappola, le applicazioni di Office dovranno eseguire solo le macro indicate nell'intestazione.

"La sfida nel fermare i virus nei documenti XML è un problema comune a tutta l'industria, e non è limitato solo a Microsoft Office 2003", ha commentato un portavoce di Microsoft. "Di fatto, Office 2003 non è più vulnerabile ai macro virus di quanto lo fossero le precedenti versioni".

Sebbene il colosso non lo abbia ancora confermato, alcuni esperti sostengono che Microsoft collaborerà con l'industria degli antivirus per sviluppare una soluzione al problema. Alcuni hanno fatto notare come il problema, proprio perché di carattere generale, andrebbe risolto in seno ad un'organizzazione come il W3C: in questo modo non si svilupperebbe una semplice patch per Office, ma una soluzione standard adottabile da tutta l'industria, incluso l'open source.
TAG: microsoft
24 Commenti alla Notizia Office 2003 sarà un osso duro per gli antivirus
Ordina
  • SERVONO ????


    TROVO ASSURDO CHE CIRCOLINO DOCUMENTI POTENZIALMENTE DANNOSI .........

    TROVO ASSURDO che gli script e le macro presenti in un
    documento possano accedere al file system .........


    SEMPLICEMENTE ASSURDO
    non+autenticato
  • Infatti. Come è semplicemente folle che lo si possa fare in una mail. Di nuovo, non è per trolleggiare, ma queste grandi novità sono state introdotte da Microsoft.

  • - Scritto da: Maik
    > Infatti. Come è semplicemente folle che lo
    > si possa fare in una mail. Di nuovo, non è
    > per trolleggiare, ma queste grandi novità
    > sono state introdotte da Microsoft.

    Esatto... le email devono essere di TESTO... e basta... poi al massimo se devi mandare dei grafici ,documenti , programmi a qualcuno li metti in un bel file .zip (cosi' tra l'altro eviti di spedire file .doc di 10 MB che compressi diventano 100K).
    Io odio la gente che mi spedisce file .DOC di 2MB con dentro tre righe di testo e un bel tema a fiorellini come sfondo.... bah.
    non+autenticato
  • siamo sempre lì, finchè c'è gente che manda doc allegati ad una mail html per dirti ciao come stai.......
    non+autenticato
  • "La sfida nel fermare i virus nei documenti XML è un problema comune a tutta l'industria, e non è limitato solo a Microsoft Office 2003"

    Di grazia, Microsoft, quali altri formati di documento basati su XML sono vulnerabili ai virus? Quelli di StarOffice? Quelli di Open Office? Non mi risulta. Mi risulta, anzi, che gli unici documenti di word processor e spreadsheet vulnerabili ai macro virus siano proprio quelli progettati da Microsoft. Almeno non si generalizzi sostenendo che la colpa è di XML: la colpa è di chi progetta male i protocolli.
  • > Di grazia, Microsoft, quali altri formati di
    > documento basati su XML sono vulnerabili ai
    > virus? Quelli di StarOffice? Quelli di Open
    > Office? Non mi risulta. Mi risulta, anzi,
    > che gli unici documenti di word processor e
    > spreadsheet vulnerabili ai macro virus siano
    > proprio quelli progettati da Microsoft.
    > Almeno non si generalizzi sostenendo che la
    > colpa è di XML: la colpa è di chi progetta
    > male i protocolli.

    hello troll!

    il "protocollo" che crea il problema è appunto xml, che grazie alla sua elasticità utile per tantissime cose, nello specifico caso consente di mettere il codice dannoso in un qualunque punto del documento, che quindi dovrà essere scansionato tutto dall'antivirus, e non solo in alcune sue porzioni come ad es un binario. Sarà più semplice, grazie alla bontà del formato xml, fare la scansione di un intero xml che non di un intero file tipo un binario, ma meno che fare la scansione delle sole parti infettabili in un binario.
    Per tua maggiore erudizione già oo, e quindi staroffice, salvano in xml quindi se qualche virus writer con conoscenze di xml ha voglia può già creare problemi a chi usa questi prodotti, e non agli attuali office che salvano in formati proprietari M$.
    Non lo faranno mai dato che essendo questi prodotti poco usati (a proposito, io oo lo uso e tu?) la diffusione del virus sarebbe lenta e marginale (e i virus non si scrivono perchè non si diffondano...).
    Se MS Office cominciasse a salvare in xml, come nelle prossime versioni, invece sai quanti lo farebbero a caccia di 5 minutidi gloria? Il bello è che se M$ non introdurrà qualche artificio per rendere questi xml in qualche modo non standard gli stessi virus potrebbero benisimo andare su oo, star ecc... essendo appunto xml uno standard, non legato ad un prodotto!
    I prodotti M$ sono soggetti a macrovirus... certo, sono formati proprietari, hanno un linguaggio di script proprietario con cui ci si possono anche fare virus! Puoi rendere il linguaggio più sicuro, ma certo la potenza del linguaggio è proporzionale alle funzioni che gli dai, e un programmatore esperto può sfruttarle in tanti modi interessanti se vuole fare dei danni!
    A parte che questi formati e il loro linguaggio di scripting non c'entra nulla con l'xml, non sono certo gli unici programmi ad essere dotati di un linguaggio di scripting.
    La pericolosità dello stesso è, come ti dicevo, direttamente proporzionale alla potenza che vuoi dare a questo linguaggio e all'interesse che la piattaforma può offrire ai virus writer, a parte questo ogni linguaggio può essere reso più sicuro, questa è la scoperta dell'H2O calda!

    bye troll!
    non+autenticato
  • > hello troll!

    Non volevo affatto trolleggiare.

    >
    > il "protocollo" che crea il problema è
    > appunto xml, che grazie alla sua elasticità
    > utile per tantissime cose, nello specifico
    [..]
    > semplice, grazie alla bontà del formato xml,
    > fare la scansione di un intero xml che non
    > di un intero file tipo un binario, ma meno
    > che fare la scansione delle sole parti
    > infettabili in un binario.

    In un altro thread di questo stesso forum ho argomentato il perchè, per quanto ne sappia, esistono tecnologie che permettono di individuare un nodo di una struttura XML senza dover leggere un intero file.

    Per quanto riguarda la presunta esistenza di "parti infettabili" di un binario, temo che le cose non stiano come dici tu. Esistono virus polimorfici che spezzettano il proprio codice, a forza di jmp, distribuendo tronconi di codice infetto su tutto il binario. L'antivirus non è in grado di individuare il virus mediante riconoscimento di pattern (perchè il virus è polimorfico e si potrebbe ricorrere, al limite, alla ricerca euristica), ed è costretto a "seguire" l'esecuzione del programma per individuare il codice infetto (che si trova mescolato alle normali istruzioni). In questo caso l'antivirus è costretto ad analizzare *tutto* il file eseguibile. Che poi la stragrande maggioranza dei virus si limiti a piazzare una bella call all'inizio del codice per poi accodare il codice infetto sempre nella stessa posizione è un altro paio di maniche: ma sia a livello teorico che in (rari) casi pratici, esistono virus che costringono all'analisi dell'intero file eseguibile.


    > Per tua maggiore erudizione già oo, e quindi
    > staroffice, salvano in xml quindi se qualche
    > virus writer con conoscenze di xml ha voglia
    > può già creare problemi a chi usa questi
    > prodotti, e non agli attuali office che
    > salvano in formati proprietari M$.


    Qui penso che tu stia facendo confusione. XML di per se' non permette la programmazione di virus. L'infettabilità di un formato dipende dalla possibilità di incapsularvi del codice (normalmente in macro linguaggio), ma perchè il codice possa essere maligno è necessario che il programma interprete (il word processor o lo spreadsheet) interpreti ed esegua il codice e, soprattutto, che l'interprete del macro linguaggio non preveda l'uso di sandbox o di ambienti di esecuzione ristretti. In sostanza, se il linguaggio macro di Open Office NON permette l'accesso ai file o al registro di sistema, non sarà certo l'uso di XML a permettere la programmazione di macro virus. Al contrario, è il VBA di Office che, essendo eccessivamente flessibile e potente e permettendo l'accesso indiscriminato da parte delle macro alle risorse, permette di fatto la scrittura di codice maligno.

    In definitiva, XML è solo un modo per memorizzare le informazioni e il codice, ma è il modo in cui il codice viene interpretato ed eseguito a rendere o meno l'ambiente vulnerabile.


    > Non lo faranno mai dato che essendo questi
    > prodotti poco usati (a proposito, io oo lo
    > uso e tu?)

    IdemSorride

    > Se MS Office cominciasse a salvare in xml,
    > come nelle prossime versioni, invece sai
    > quanti lo farebbero a caccia di 5 minutidi
    > gloria? Il bello è che se M$ non introdurrà
    > qualche artificio per rendere questi xml in
    > qualche modo non standard gli stessi virus
    > potrebbero benisimo andare su oo, star
    > ecc... essendo appunto xml uno standard, non
    > legato ad un prodotto!

    Sbagli. Una macro per Word verrà eseguita su OpenOffice.org Writer se e solo se si ha compatibilità a livello di interprete di macro. Che il formato sia compatibile a livello di struttura (XML) non conta niente.

    > Puoi rendere il
    > linguaggio più sicuro, ma certo la potenza
    > del linguaggio è proporzionale alle funzioni
    > che gli dai, e un programmatore esperto può
    > sfruttarle in tanti modi interessanti se
    > vuole fare dei danni!

    Java e le sue sandbox hanno dimostrato che è possibile progettare un linguaggio che concili potenza, flessibilità e sicurezza. Quanti virus in Java conosci? Eppure Java è incommensurabilmente più potente e flessibile di Microsoft VBA...

    > A parte che questi formati e il loro
    > linguaggio di scripting non c'entra nulla
    > con l'xml,

    Sopra sembravi sostenere il contrario... Forse ti ho male interpretato...


    > bye troll!

    Ciao, ma non sono un troll Occhiolino
  • sarebbe una buona cosa, per una volta ...
    non+autenticato
  • Scusate un po'... ma chiunque qui dentro sia un programmatore degno di questo nome sa quanto sia comodo e facile il parsing xml. tantopiu' che praticamente tutti i linguaggi di programmazione recenti hanno ottime librerie per farlo.
    Secondo me e' piu' facile individuare un macrovirus (perche' e' di questo che si parla) in un documento xml che e' aperto rispetto a trovarli in file binari dipendententi, tanto per dirne una, dalla versione del programma creatore.

    Io non vedo tutta sta preoccupazione.

    Inoltre io non concepisco nemmeno l'esistenza dei macrovirus... un sistema a macro cosi' aperte non ha senso di esistere (secondo me ovviamente). ma qui sono scelte di concept e io non sono molto a contatto con problematiche tipicamente office.
  • > Scusate un po'... ma chiunque qui dentro sia
    > un programmatore degno di questo nome sa
    > quanto sia comodo e facile il parsing xml.
    > tantopiu' che praticamente tutti i linguaggi
    > di programmazione recenti hanno ottime
    > librerie per farlo.
    >
    > Secondo me e' piu' facile individuare un
    > macrovirus (perche' e' di questo che si
    > parla) in un documento xml che e' aperto
    > rispetto a trovarli in file binari
    > dipendententi, tanto per dirne una, dalla
    > versione del programma creatore.
    >
    > Io non vedo tutta sta preoccupazione.
    >
    > Inoltre io non concepisco nemmeno
    > l'esistenza dei macrovirus... un sistema a
    > macro cosi' aperte non ha senso di esistere
    > (secondo me ovviamente). ma qui sono scelte
    > di concept e io non sono molto a contatto
    > con problematiche tipicamente office.


    Il problema è che nei vecchi office le macro si trovavano ad un certo offset dall'inizio del file.
    Cioè se hai un Word da 10 MB, l'antivirus sapeva a colpo sicuro dove beccare la porzione da controllare, controllava quei pochi KB e chiudeva lo stream.

    Se i nuovi word sono salvati in XML in cui lo script può essere ovunque, allora l'antivirus deve scorrere _TUTTO_ il file. Indipendentemente dalla libreria XML usata. Cioè, nell'esempio sopra, tutti i 10 MB.

    Il che vuol dire che una scansione dell'HD potrebbe rallentare di decine di volte rispetto ad una volta.

    Il problema non è banale.
    non+autenticato
  • > Se i nuovi word sono salvati in XML in cui
    > lo script può essere ovunque, allora
    > l'antivirus deve scorrere _TUTTO_ il file.
    > Indipendentemente dalla libreria XML usata.
    > Cioè, nell'esempio sopra, tutti i 10 MB.

    Ma non è vero per niente. La classe IncrementalParser del modulo xml.sax.xmlreader di Python, per esempio, introdotta per il supporto a Sax 2.0, serve proprio ad accedere ad un singolo chunk della struttura XML senza dover leggere l'intero file. Aggiungi che Sax 2.0, essendo event based, non ha bisogno di creare in memoria l'intero struttura, come fa' DOM. Inoltre, essendo altamente strutturato, XML permette di individuare molto rapidamente il nodo che contiene una specifica informazione (nel caso citato, il codice macro).

    IMHO, i dubbi di X-Cash sono più che fondati
  • per fare il parsing di un file è in ogni caso necessario passarlo tutto. Non puoi sapere a priori dove sta un certo tag. Il fatto che lo faccia una libreria esterna non cambia di una virgola il discorso, l'overhead è notevole per il sistema operativo.
    non+autenticato
  • ovviamente intendo con un file xml attuale, non con elaborazioni successive e imho stupide come si dice nel proseguio del thread (puntatori e simili)
    non+autenticato
  • - Scritto da: Anonimo
    > per fare il parsing di un file è in ogni
    > caso necessario passarlo tutto. Non puoi
    > sapere a priori dove sta un certo tag. Il
    > fatto che lo faccia una libreria esterna non
    > cambia di una virgola il discorso,
    > l'overhead è notevole per il sistema
    > operativo.

    Leggiti la documentazione di IncrementalParser e scoprirai che non è vero. Naturalmente, per evitare di fare il parsing di tutti i nodi dovresti sapere fin dalle prime letture dove si trovano i nodi che ti interessano. Proprio per questo nell'articolo si afferma che i produttori di antivirus chiedono a Microsoft di memorizzare nei nodi iniziali la posizione del codice macro. Se fosse come dici tu, non si capirebbe perchè la soluzione proposta dai produttori di antivirus dovrebbe accelerare il processo di scansione

  • - Scritto da: X-CASH
    > Scusate un po'... ma chiunque qui dentro sia
    > un programmatore degno di questo nome sa
    > quanto sia comodo e facile il parsing xml.
    > tantopiu' che praticamente tutti i linguaggi
    > di programmazione recenti hanno ottime
    > librerie per farlo.
    > Secondo me e' piu' facile individuare un
    > macrovirus (perche' e' di questo che si
    > parla) in un documento xml che e' aperto
    > rispetto a trovarli in file binari

    1) in un file binario un virus può essere inserito solo in determinati punti, non e che un virus taglia a tre quarti un binario e si inserisce li.
    l'antivirus sa bene dove un codice virale può inserirsi (Il formato PE e ben definito e solo operando in un determinato modo ci si puo inserire un virus senza rendere il programma non più eseguibile), verifica la segnatura ed ecco fatto.

    invece in un file xml è possibile inserendo un cdate che contiene una macro in qualunque punto, quando il parsec incontra la macro la esegue.

    puoi ben capire che se io ti invio un xml di 10 MB ora come ora va scandito tutto.

    > dipendententi, tanto per dirne una, dalla
    > versione del programma creatore.
    >
    > Io non vedo tutta sta preoccupazione.

    vedila

    > Inoltre io non concepisco nemmeno
    > l'esistenza dei macrovirus... un sistema a
    > macro cosi' aperte non ha senso di esistere
    > (secondo me ovviamente). ma qui sono scelte
    > di concept e io non sono molto a contatto
    > con problematiche tipicamente office.

    appunto
    non+autenticato
  • - Scritto da: Anonimo
    > > Secondo me e' piu' facile individuare un
    > > macrovirus (perche' e' di questo che si
    > > parla) in un documento xml che e' aperto
    > > rispetto a trovarli in file binari
    >
    > 1) in un file binario un virus può essere
    > inserito solo in determinati punti, non e
    > che un virus taglia a tre quarti un binario
    > e si inserisce li.
    > l'antivirus sa bene dove un codice virale
    > può inserirsi (Il formato PE e ben definito
    > e solo operando in un determinato modo ci si
    > puo inserire un virus senza rendere il
    > programma non più eseguibile), verifica la
    > segnatura ed ecco fatto.

    Avresti ragione se non fosse che ti sei dimenticato di una cosa basilare. Stiamo parlando di documenti di Office. Non di eseguibili (hai nominato il PESorride ).

    Cmq si... in un file binario (anche documento) e' in una posizione ben precisa. ma bisogna cmq conoscerne il formato e leggerne l'header in quando file binari di documenti fatti bene sono quantomeno suddivisi in chunk.

    Io contesto la preoccupazione denunciata dall'articolo.
    Un file xml con un header fatto bene che delinea le posizioni di punti fondamentali puo' essere anche comodo e veloce per il programma stesso. Anche se potrebbe snaturare un po' il concetto di xml.
    Se si va a lavorare sui puntatori a punti del file in un xml e' un po' come tornare indietro.

    > puoi ben capire che se io ti invio un xml di
    > 10 MB ora come ora va scandito tutto.

    Si. Questo si.


  • - Scritto da: Anonimo

    > invece in un file xml è possibile inserendo
    > un cdate che contiene una macro in qualunque
    > punto, quando il parsec incontra la macro la
    > esegue.

    Fortunatamente quando il "parsec" incontrera' la macro, noi saremo gia' distanti 3.26 anni-luce A bocca aperta

    Scusa, non ho resistito Sorride
    11237

  • > 1) in un file binario un virus può essere
    > inserito solo in determinati punti, non e
    > che un virus taglia a tre quarti un binario
    > e si inserisce li.

    Complimenti, sei un vero esperto. Dici che mettere un jump al codice virale all'inizio di una chiamata a funzione (riconoscibilissima per via dei pattern di compilazione) non funzionerebbe?
    non+autenticato

  • > Complimenti, sei un vero esperto. Dici che
    > mettere un jump al codice virale all'inizio
    > di una chiamata a funzione
    > (riconoscibilissima per via dei pattern di
    > compilazione) non funzionerebbe?

    si vede che sei rimasto al tutorial "come realizzare virus per i file .com" , oggi creare un virus per un exe in formato PE e un po più complicato che mettere delle jmp (non jump) calcolate all'inizio del codice che puntano al virus.
    non+autenticato
  • tanto vale arrendersi... oppure abbandonarlo!
    non+autenticato
  • la domanda è: perchè si parla a vanvera quando non si conosce niente, nulla di nulla, ne di XML ne di office ne di tante altre cose?
    XML è un linguaggio di modellazione ben formato semanticamente corretto e grammaticamente ben definito, la sicurezza è garantita dalla coerenza sintattica del linguaggio.
    Per quel che riguarda Office... una macro è una macro il codice che esegue operazioni è potenzialmente pericoloso ovunque.
    I programmi antivirus potrebbero trovare qualche algoritmo intelligente per scansionare dei documenti secondo standard (standard capito !? ) XML .
    Perchè questa sterile guerra di sterili cervelli?
    non+autenticato

  • - Scritto da: Anonimo
    > la domanda è: perchè si parla a vanvera
    > quando non si conosce niente, nulla di
    > nulla, ne di XML ne di office ne di tante
    > altre cose?
    > XML è un linguaggio di modellazione ben
    > formato semanticamente corretto e
    > grammaticamente ben definito, la sicurezza è
    > garantita dalla coerenza sintattica del
    > linguaggio.

    Mi fanno ridere questi tentativi insulsi di associare le *parole* usate nella teoria ad una *presunta* applicazione della teoria.

    Qual'è la semantica di XML? Quella definita dall'interprete del caso. Se descrivi l'assembler in XML, e il tuo interprete produce un vero programma assembler e lo esegue, tanto per fare un esempio, mi spieghi perchè dovrei considerare la cosa più sicura di usare direttamente quel programma, che sicuro non è?

    Risposta: l'XML dà solo la sintassi.

    E piantiamola di dire cavolate...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)