Palm Beach Gardens (USA) – Pochi giorni fa si è diffusa la notizia secondo cui la società di sicurezza Authentium avrebbe craccato PatchGuard , la tecnologia che in Windows Vista protegge il kernel da certi tipi di manomissione. Authentium ha però successivamente replicato che il suo non è un crack, ma una funzionalità capace di incrementare la sicurezza di PatchGuard.
“Noi supportiamo PatchGuard al 100%”, ha affermato Authentium in questo post del proprio blog. “Contrariamente a quanto riportato da alcune fonti, la tecnologia che abbiamo sviluppato a supporto del nostro prodotto VirtualATM non compromette PatchGuard. Il nostro approccio lascia PatchGuard al suo posto e pienamente operativo, limitandosi ad aggiungere un layer di sicurezza complementare capace di garantire ancora più sicurezza agli utenti del sistema operativo Windows Vista”.
Authentium ha poi tenuto a sottolineare di essere partner di Microsoft da molti anni, e di voler continuare a collaborare col big di Redmond nel proteggere gli utenti di Windows.
La piccola società americana ha però confermato di essere in grado, grazie al proprio “bypass”, di controllare PatchGuard : in altre parole, Authentium afferma di poter “addormentare” temporaneamente il “guardiano” del kernel di Vista, installare le patch necessarie al corretto funzionamento dei propri software di sicurezza, e riattivare PatchGuard.
Crack o non crack, alcuni esperti affermano che il sistema escogitato da Authentium potrebbe effettivamente eludere le difese di Windows Vista : chi assicura gli utenti, si chiedono in molti, che questo stesso metodo non venga utilizzato dagli autori di malware per installare rootkit e altri codici dannosi? La società non è stata molto chiara su questo punto, limitandosi ad affermare che “la certificazione del software dovrebbe fornire gli indizi necessari a distinguere le interazioni con PatchGuard buone da quelle cattive “.
La stessa Microsoft non si è mostrata molto favorevole alla tecnologia sviluppata dalla propria partner. In questo articolo di eWeek , un portavoce del colosso ha infatti spiegato che qualsiasi tecnica per aggirare PatchGuard può rivelarsi molto pericolosa, perché potrebbe compromettere la sicurezza del sistema e il corretto funzionamento degli altri software che accedono al kernel. Va però detto che questa dichiarazione è antecedente alla pubblicazione delle precisazioni di Authentium.
In ogni caso, Microsoft ha asserito che prima del lancio commerciale di Windows Vista eliminerà ogni exploit oggi utilizzato per bypassare PatchGuard. Di recente Microsoft ha corretto anche un’altra debolezza nel meccanismo di protezione del kernel che poteva consentire l’esecuzione di driver non firmati. La soluzione trovata dal big di Redmond, e applicata alla seconda release candidate di Vista, non piace però a tutti , soprattutto perché impedirebbe il corretto funzionamento di tutti quei software che necessitano di un accesso al disco di basso livello (disk editor, un-delete, ecc.).
La tecnologia PatchGuard è stata implementata per la prima volta da Microsoft nelle versioni a 64 bit di Windows XP e Windows Server 2003. Questo meccanismo ha il compito di impedire che i software di terze parti – sia “buoni” che “cattivi” – possano modificare il kernel del sistema operativo. Fra i detrattori di PatchGuard vi sono McAfee e Syamntec , le quali ritengono che questa tecnologia impedisca alle terze parti di sviluppare software per la sicurezza altrettanto efficaci di quelli oggi disponibili per le versioni di Windows a 32 bit. Non sono di questo parere Sophos e Kapersky, che vedono invece in PatchGuard un prezioso alleato per sconfiggere il malware.
“È cruciale che gli utenti comprendano la differenza tra McAfee e quelle società che sono focalizzate unicamente sul software anti-virus. I vendor di prodotti singoli, come Sophos, certamente possono non avere nessuna difficoltà con Microsoft”, ha affermato Siobhan MacDermott, vice president Worldwide Corporate Communications di McAfee, in una recente replica a Sophos. “Tuttavia, per un fornitore indirizzato al security risk management come McAfee, che offre ai propri clienti una protezione di sicurezza globale, il completo e libero accesso al kernel è vitale se vogliamo proteggere gli utenti allo stesso modo in cui sono attualmente protetti con XP.”
In risposta alle critiche alcune società di sicurezza, Microsoft ha di recente promesso lo sviluppo di API che consentiranno alle proprie partner di aggirare, almeno in parte, le restrizioni di PatchGuard. Una mossa che McAfee ha però giudicato insufficiente e tardiva.