• Violato Vista, esultano gli “smanettoni”… ma le utenze business?

    vista_cansecwest.jpgIl tema della sicurezza in azienda è assai complesso, dal momento che abbraccia un universo fatto di reti e apparati, device e terminali, software e sistema operativi. La garanzia di inviolabilità  dovrebbe essere uno standard prioritario, e tuttavia sembra quasi una chimera potervi contare.
    Negli ultimi tempi, la polemica ha investito anche i prodotti Microsoft e, guarda caso, in modo particolare il tanto dibattuto Windows Vista.

    Ma vediamo in dettaglio cosa è accaduto: dopo OS X anche l’ultimo arrivato dei sistemi operativi client di casa Microsoft è stato pubblicamente sfidato e vinto. Autore dell’impresa un certo Shane Macaulay che, davanti al pubblico presente all’ultima edizione di CanSecWest, hacking contest che si tiene a Vancouver in Canada, è riuscito a violare Vista in meno di quattro ore.

    Per “bucare” Vista, Macaulay ha sfruttato una vulnerabilità  in Adobe Flash.
    Per prepararsi alla gara del vero l’hacker si è “sgranchito le dita” con una versione del sistema operativo di Microsoft sprovvista del recente SP1; poi come da regolamento ha accettato di provare a sfruttare le vulnerabilità  su una macchina aggiornata.

    Il Service Pack 1 è riuscito a mettere inizialmente in difficoltà  Macaulay e a frenare i tentativi di violazione, tuttavia alla fine ha avuto ragione del sistema. Come ci è riuscito? Sebbene le regole della gara imponessero la non-disclosure dei dettagli dei bug sfruttati, almeno fino alla loro risoluzione, Macaulay ha dichiarato di aver utilizzato un baco che sfrutta Java per eludere le misura di sicurezza e rendere inefficace la protezione.

    Interessante notare che nonostante l’entità  del premio (20000 dollari) per coloro i quali fossero riusciti a violare gli altri sistemi in gara già  dal primo giorno, nessuno ci sia riuscito; stesso discorso per la seconda giornata e montepremi dimezzato; nulla però ha potuto impedire che l’impresa riuscisse il terzo giorno, sebbene il vincitore si sia dovuto accontentare di 5000 dollari più il portatile su cui girava il sistema violato.

    Macaulay ha affermato che, con più di tempo a disposizione, la stessa vulnerabilità  avrebbe potuto essere sfruttata anche su OS X e Ubuntu.

    Come dire: un software carente sul piano della sicurezza può provocare danni su qualsiasi sistema operativo. Anche se su questo punto qualcuno storcerà  il naso, ciò dimostra che non è sempre possibile imputare a Microsoft tutte le responsabilità  per le magagne dei sistemi che realizza.

    La seconda lezione appresa da questo particolare esperimento è che, per quanto tempestiva possa essere la release di una patch, ciò non impedirà  ai malintenzionati di aggirarla.

    Nessuno può farci nulla è la scontata conclusione cui è approdato Macaulay,
    perché prima o poi installerai sempre qualcosa che finirà  per mettere in pericolo la sicurezza del sistema. Questa volta è stato per colpa di Java, la prossima sarà  grazie di qualcos´altro.

    Niente di nuovo intendiamoci, ma ripeterlo non fa mai male…

    Tags:

    Se vuoi aggiornamenti su Violato Vista, esultano gli “smanettoni”… ma le utenze business? inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenta

    Your email address will not be published. Required fields are marked *