San Francisco (USA) – Worm e spam sono fra i principali bersagli presi di mira dalle nuove iniziative di sicurezza che Bill Gates , chairman e chief software architect di Microsoft , ha delineato in occasione della RSA Conference di San Francisco.
Durante una presentazione, Gates ha mostrato per la prima volta una nuova funzionalità di sicurezza, chiamata Windows Security Center (WSC), che verrà introdotta in Windows XP attraverso il rilascio, previsto per il prossimo trimestre, del lungamente atteso Service Pack 2 (SP2).
Il WSC è un centro di controllo da cui gli utenti potranno verificare e impostare tutte le più importanti funzionalità di sicurezza di Windows, fra cui quelle relative ai software firewall e antivirus di terze parti, e ottenere suggerimenti su come proteggere i propri PC e su come affrontare le maggiori minacce di sicurezza.
Attualmente il componente è in beta testing e, secondo quanto riportato da alcuni tester, può riconoscere al momento solo alcuni prodotti di sicurezza presenti sul mercato.
Insieme ad alcuni colleghi, Gates ha anche mostrato il Windows Firewall , un software contenuto nell’SP2 che rimpiazzerà l’attuale Internet Connection Firewall integrato in Windows XP e porterà con sé funzionalità di protezione più avanzate e personalizzabili.
L’SP2, che sarà il più imponente aggiornamento delle funzionalità di sicurezza di Windows mai rilasciato da Microsoft, includerà poi un filtro in grado di bloccare le finestre pop-up e nuove politiche di sicurezza per Internet Explorer.
“L’SP2 è un update completamente focalizzato sulla sicurezza, ed infatti attualmente rappresenta la massima priorità del team di sviluppo di Windows”, ha affermato Gates.
A dare man forte a Microsoft nella battaglia contro virus e worm stanno intervenendo anche i produttori di hardware e, in special modo, quelli di microprocessori. Il prossimo service pack per Windows XP includerà il supporto ad una funzione, chiamata Data Execution Prevention , che AMD ha integrato nelle proprie CPU della famiglia AMD64 (Athlon 64 e Opteron) con il nome di Enhanced Virus Protection.
AMD ha spiegato che il supporto di questa tecnologia da parte del sistema operativo consentirà la neutralizzazione di quei codici malevoli, come i worm, che sfruttano i famigerati errori di buffer overrun per aprirsi una breccia all’interno dei computer.
“Data Execution Prevention è una delle numerose tecnologie di sicurezza che verranno implementate all?interno di Windows XP SP2 per proteggere i nostri clienti da alcuni attacchi basati sugli errori di buffer overrun”, ha affermato Rebecca Norlander, group manager di Microsoft e responsabile del rilascio di Windows XP SP2. “La sicurezza dei PC è un aspetto che può essere affrontato solamente attraverso la collaborazione con tutti i nostri partner. Il lavoro che stanno svolgendo aziende come AMD aggiunge un ulteriore livello di protezione, da integrare ovviamente con misure comportamentali appropriate sia a casa che in ufficio”.
Ecco cosa propone Microsoft per sconfiggere lo spam.
Tenendo fede a quanto annunciato nel corso del suo recente tour europeo, il fondatore di Microsoft ha lanciato un’iniziativa anti-spam, denominata Coordinated Spam Reduction (CSRI), attraverso cui conta di promuovere l’adozione della sua nuova specifica “Caller-ID per e-mail” per identificare l’autore di un messaggio di posta elettronica.
“Lo spam è il problema principale di tutti i nostri clienti che utilizzano la posta elettronica. Microsoft è impegnata a combattere questo fenomeno su più fronti con una politica di forte innovazione tecnologica”, ha dichiarato Gates. “Siamo certi che l’introduzione di un “caller-ID”, simile al servizio che oggi permette a chi riceve una telefonata sul cellulare di sapere il numero del chiamante, insieme all’iniziativa Coordinated Spam Reduction Initiative, contribuiranno a rendere meno redditizio per gli spammer l?invio indiscriminato di mail spazzatura. Modificando il modello economico legato allo spam, crediamo che il fenomeno possa essere gestito in maniera più efficace?.
Microsoft ritiene che sia necessario implementare a livello di infrastruttura delle e-mail alcuni cambiamenti semplici, ma diffusi in maniera capillare, che permettano di stabilire con certezza la provenienza dei messaggi, distinguendo ad esempio quelli con legittimi fini commerciali dai messaggi spazzatura. Per essere realmente efficaci, Microsoft sostiene che i filtri di posta hanno bisogno di “informazioni che non sono al momento disponibili nelle e-mail”.
Attraverso l’iniziativa CSRI, Microsoft ha presentato un piano strategico per la lotta allo spam che si articola su tre obiettivi principali: rendere verificabile l’identità dei mittenti adottando un modello di caller-ID; stabilire norme di comportamento per chi invia elevati volumi di e-mail; creare sistemi alternativi di identificazione per chi fa un uso meno massiccio della posta elettronica.
Oggi i filtri anti-spam sono in grado di controllare la provenienza di un messaggio al fine di stabilirne la legittimità, ma di fatto è difficile individuare se il mittente sia quello effettivamente indicato nell’e-mail. Per ingannare i filtri, infatti, gli spammer ricorrono sempre più spesso allo spoofing , una tecnica attraverso cui mascherare o falsificare l’indirizzo di provenienza dei propri messaggi.
“Questo sistema, relativamente semplice, può comportare rischi per la sicurezza quando viene utilizzato per diffondere virus tramite posta elettronica”, ha spiegato Gates.
La funzione Caller-ID sviluppata da Microsoft, le cui specifiche, libere da royalty, sono consultabili qui , prevede tre diverse fasi di attuazione:
1. i mittenti notificano gli indirizzi IP del loro server di posta in uscita (SMTP) nel Domain Name System (DNS), in un formato descritto nelle specifiche del Caller-ID per e-mail;
2. i sistemi e-mail di destinazione esaminano ogni messaggio per individuare il dominio da cui è stato fatto l?invio;
3. i sistemi riceventi richiedono quindi al DNS l’elenco degli indirizzi IP dei server di posta in uscita del dominio apparentemente responsabile dell?invio e verificano se l’indirizzo IP dal quale è stato ricevuto il messaggio compare nell’elenco. Se non viene trovata alcuna corrispondenza, – ha spiegato Microsoft – con ogni probabilità la provenienza del messaggio è stata falsificata.
Ma nei piani di Microsoft non c’è solo il Caller-ID.
Il big di Redmond darà presto il via al progetto pilota per sperimentare il Caller-ID per e-mail nel proprio servizio Hotmail. In questa ottica, Hotmail includerà gli indirizzi IP nel traffico in uscita e sarà in grado di controllare tutti gli indirizzi dei messaggi in entrata. La proposta è attualmente in fase di sperimentazione anche presso altre aziende, quali Amazon.com, ed ha già ricevuto la benedizione di Sendmail , sviluppatrice dell’omonimo e più diffuso mailserver al mondo.
Ma il Caller-ID da solo non basta. Per sconfiggere il fenomeno dello spam, Microsoft ritiene sia necessario lo sviluppo di norme di comportamento per regolamentare l’invio di posta elettronica commerciale analoghe a quelle introdotte da organizzazioni quali TRUSTe a tutela della privacy elettronica. Una volta sviluppate e accettate queste norme, il gigante di Redmond afferma che sarà necessario designare alcuni organismi indipendenti per la certificazione dei messaggi elettronici (Independent E-mail Trust Authorities, IETAs), che ne verifichino il rispetto da parte degli utenti, monitorando in particolare i mittenti di elevati volumi di e-mail.
“La diffusione di liste di domini o il rilascio di certificati digitali – si legge in un comunicato di Microsoft – consentirà alle aziende certificate da una IETA di essere facilmente riconoscibili, sia dai software anti-spam che dagli utenti finali. Il possesso di un certificato o l’appartenenza a una lista di mittenti sicuri potranno infatti essere interpretati dai filtri anti-spam come prova che il mittente del messaggio non è uno spammer, permettendo così alla tecnologia di distinguere più facilmente le e-mail legittime dalla posta non desiderata”.
Del resto, Microsoft dice di essere ben cosciente della necessità di “individuare un metodo alternativo e poco costoso che consenta alle organizzazioni di dimensioni ridotte che vogliono farsi conoscere sul mercato evitando che le loro e-mail vengano classificate come spam”. A tal proposito il colosso propone che le aziende non certificate “paghino in termini di tempo” l?invio di messaggi.
“Affinché l?invio di posta commerciale risulti economicamente vantaggioso – ha spiegato Microsoft – gli spammer devono inviare ogni giorno milioni di messaggi, messaggi che normalmente partono in una frazione di secondo. Nel modello economico di uno spammer, infatti, perdere anche solo 10 secondi su ciascun messaggio comporterebbe costi proibitivi. Dall?altro lato, le organizzazioni di dimensioni minori che inviano volumi contenuti di e-mail, benché non possano sostenere la spesa di un certificato, possono permettersi di “spendere” una manciata di secondi su ciascun messaggio”.
Microsoft ha sviluppato un sistema grazie al quale i mittenti non certificati possono dimostrare di aver effettivamente dedicato alcuni secondi all’elaborazione di ciascun messaggio, adottando un comportamento che risulterebbe antieconomico per uno spammer. I filtri anti-spam potrebbero quindi utilizzare questo criterio per accertare la validità del mittente.
Per poter applicare il proprio piano, però, Microsoft dovrà riuscire a mettere tutti d’accordo e guidare l’industria, possibilmente in concerto con i governi, verso il varo e l’adozione di standard e normative comuni.