L’impegno profuso da Microsoft nel far fronte a ciò che minaccia la piattaforma Windows raccogliendo le segnalazioni relative alla sicurezza e ponendovi rimedio mediante il rilascio di aggiornamenti è oggi dettagliato con la pubblicazione di due documenti che descrivono i criteri adottati per la valutazione dei bug e per assegnare priorità ai problemi analizzati.
L’importanza di tale comunicazione è duplice: da una parte v’è l’utilità in termini di consapevolezza, poiché sarà ora più semplice capire l’origine delle scelte del gruppo su talune policy di aggiornamento; dall’altra v’è un apprezzabile gesto di trasparenza che, dopo troppi anni di opacità procedurale, esterna quelli che sono i parametri tenuti in considerazione dal gruppo durante le fasi decisionali pre-intervento.
I criteri di valutazione
Il primo documento prende il nome di Microsoft Security Servicing Criteria for Windows e descrive il processo che porta il gruppo di Redmond a stabilire se un bug dev’essere corretto in modo urgente con il rilascio di un update in occasione del successivo Patch Tuesday mensile oppure se può essere posticipato e risolto con l’aggiornamento cumulativo che il sistema operativo riceve all’incirca due volte l’anno.
Tre le categorie entro le quali vengono classificati gli interventi da pianificare: Security Boundaries, Security Features e Defense-in-Depth Security Features. Nella prima (Security Boundaries) finisce tutto ciò che costituisce una palese violazione delle policy relative alla tutela dei dati come un processo che consente a un utente sprovvisto dei permessi d’amministrazione di accedere al kernel. Un bug finisce in questo gruppo se interessa nove ambiti ben precisi: network, kernel, processi, AppContainer, sessioni, utente, browser Web, virtual machine e Virtual Secure Mode.
Vengono considerate minacce riconducibili al secondo insieme (Security Features) tutte quelle che interessano gli strumenti messi in campo al fine di garantire la sicurezza dell’utente e delle sue informazioni come i bug riguardanti BitLocker, Secure Boot, Windows Defender System Guard, Windows Defender Application Control, Windows Hello e altri sistemi di riconoscimento biometrico, Windows Resource Access Control, Platform Cryptography, Host Guardian Service e i protocolli di autenticazione.
Per queste due categorie Microsoft programma interventi immediati e l’inclusione di una soluzione nel Patch Tuesday. L’ultima categoria (Defense-in-Depth Security Features), alla quale viene invece assegnata una priorità inferiore, include le questioni legate a funzionalità aggiuntive per la sicurezza come User Account Control, AppLocker, Controlled Folder Access e Data Execution Prevention.
La classificazione delle vulnerabilità
L’altro documento pubblicato oggi è invece intitolato Microsoft Vulnerability Severity Classification for Windows e descrive le modalità attraverso le quali viene assegnata priorità a un bug report. Ad alcune segnalazioni è apposta l’etichetta Critical, ad altre Important e ad altre ancora Low, sulla base dell’entità del rischio e dell’esigenza di intervenire subito oppure con più calma. Un problema che permette a un utente non autorizzato di intervenire sul file system è critico, mentre un intoppo che provoca il riavvio di un’applicazione può essere posticipato o temporaneamente accantonato.
La condivisione dei documenti da parte del Security Response Center testimonia un’apertura del gruppo nei confronti della community e degli addetti ai lavori impegnati sul fronte della sicurezza. Così il team mette nero su bianco il proprio modus operandi, più volte preso di mira per via della presunta incapacità di rispondere prontamente alle segnalazioni. L’obiettivo dichiarato da Microsoft è quello di renderli oggetto di costanti modifiche e aggiornamenti, da apportare in modo collaborativo. Dopo la stesura di una prima bozza nel mese di giugno sono state aggiunte integrazioni anche sulla base dei feedback ricevuti.