Speciale/ La sicurezza di Windows Vista

Speciale/ La sicurezza di Windows Vista

Viaggio in profondità nelle principali novità introdotte da Windows Vista nel campo della sicurezza, della privacy e della protezione dei dati. Ecco cosa bolle nel pentolone di Microsoft
Viaggio in profondità nelle principali novità introdotte da Windows Vista nel campo della sicurezza, della privacy e della protezione dei dati. Ecco cosa bolle nel pentolone di Microsoft

Sono trascorsi quattro anni da quando Bill Gates, in una storica e-mail ai propri dipendenti, lanciò il concetto di trustworthy computing : un nuovo approccio allo sviluppo del software che ha messo la sicurezza in testa alle priorità del colosso. Sebbene da allora Microsoft abbia riesaminato il codice di molti suoi software, incluso quello di Windows XP, Windows Vista è il primo sistema operativo ad essere nato e cresciuto “nella nuova era” del trustworthy computing: rappresenta dunque il prodotto più importante per verificare quanti e quali passi avanti siano stati fatti da Microsoft sul piano della sicurezza e dell’affidabilità.

Windows Service Hardening
A livello architetturale, la principale innovazione di Vista sul fronte della sicurezza è costituita dal concetto di Windows Service Hardening . L’idea alla base di questa strategia è di limitare il numero di operazioni critiche che possono essere svolte dai servizi di sistema sul file-system, sul registro, sulla rete o su altre risorse, e che potrebbero essere sfruttate dal malware (codici dannosi) per installarsi in locale o per attaccare altri computer. Ad esempio, in Vista il servizio Remote Procedure Call (RPC), alla base di molte vulnerabilità di Windows XP (il worm Blaster sfruttava questo servizio), parzialmente risolte con il Service Pack 2 , non sarà più in grado di sostituire i file di sistema o di modificare il registro.

Per raggiungere questo obiettivo, Microsoft ha riprogettato molti servizi in modo tale che girino nel sistema con privilegi più limitati: ad esempio, li ha spostati dall’account LocalSystem (con il quale vengono eseguiti i servizi critici su Windows XP) ad account con meno privilegi come LocalService e NetworkService e, solo quando è stato strettamente necessario, li ha divisi in modo che soltanto la parte che richiede realmente dei privilegi di LocalSystem li possa ricevere.

In Vista, per questo motivo, è stato inoltre introdotto un security identifier (SID) associato ad ogni servizio che, attraverso le access control list (ACL) di Windows, permette di individuare gli oggetti e le risorse a cui può accedere un servizio e i relativi permessi. Questo significa che adesso un servizio, anche critico, non potrà più accedere in modo indiscriminato a qualsiasi risorsa o oggetto ma dovrà effettuare le richieste al servizio a cui appartengono.
I servizi possono ora applicare ACL esplicite a risorse che appartengono al servizio: ciò impedisce ad altri servizi, nonché all’utente, di accedere alla risorsa.

Altre novità nel comportamento dei servizi di Vista risiedono nella rimozione dei privilegi non necessari (come la possibilità di effettuare il debugging); nell’introduzione di un access token che limita i servizi che possono effettuare le operazioni in scrittura; nell’accesso ai servizi al di fuori dei loro normali confini tramite SID (se non si conosce il SID del servizio, non vi si può accedere). Sul fronte dei servizi, un’altra innovazione di Vista rispetto a Windows XP è Session 0 Isolation . Stando alla documentazione di Microsoft, nelle precedenti versioni di Windows (inclusi XP e Server 2003), tutti i servizi girano nella stessa sessione del primo utente che si collega interattivamente, chiamata Session 0. L’esecuzione contemporanea dei servizi e delle applicazioni utente in Session 0 pone però seri rischi di sicurezza perché l’eventuale vulnerabilità di un’applicazione potrebbe essere sfruttata da cracker o malware per ottenere il controllo del sistema o accedere a informazioni sensibili. I progettisti di Vista hanno così deciso di isolare i servizi che girano in Session 0 e di rendere questa sessione non interattiva.

Questo significa che in Vista soltanto i processi di sistema e i servizi gireranno in questa sessione mentre il primo utente che si autenticherà interattivamente andrà in Session 1. Il risultato di questo approccio è che i servizi, non essendo più eseguiti nella stessa sessione delle applicazioni dell’utente, saranno protetti dagli attacchi generati da codice applicativo.

Il prezzo da pagare, per l’introduzione di questa rilevante modifica al kernel di Windows, sono i numerosi problemi di compatibilità all’indietro: qualsiasi funzionalità di un servizio o di un driver che assume che la sessione utente sia eseguita in Session 0, infatti, in Vista non funzionerà. Per fare un esempio, se un servizio crea un’interfaccia utente, come una finestra di dialogo, in Session 0, l’utente non potrà vederla perché non ha accesso a quella session. Lo stesso tipo di problema si presenta anche con i driver che si installano in Session 0 e con le applicazioni che cercano di comunicare con i servizi attraverso i window message.

User Account Control
Altra innovazione di Vista a livello architetturale, visibile dall’utente finale, è lo User Account Control (UAC). Piergiorgio Malusardi, IT Pro Evangelist di Microsoft Italia, spiegando perché Microsoft abbia introdotto questa funzionalità ha spiegato a Punto Informatico che “molte attività utente come navigare in Internet, scrivere documenti o mail non necessitano dei privilegi di amministratore del computer per essere svolte. Molto spesso gli utenti, sia aziendali che casalinghi, accedono comunque al loro computer usando un utente con i privilegi di amministrazione e questo genera rischi rilevanti di infezione da virus, installazione di spyware o altro”.

La funzione UAC di Vista impone l’esecuzione delle normali attività giornaliere usando un utente a bassi privilegi anche nel caso in cui si stia usando un account con privilegi di amministratore. Per impostazione predefinita, Vista esegue la maggior parte delle applicazioni con autorizzazioni limitate, anche se l’utente si connette al computer con privilegi di amministratore.

Questo non impedisce agli utenti di eseguire le attività amministrative per le quali è stata concessa l’autorizzazione. Quando gli utenti cercano di eseguire attività “critiche”, come quelle di tipo amministrativo, viene chiesto loro di confermare le intenzioni o fornire credenziali amministrative, in base all’impostazione scelta. È anche possibile controllare questa funzionalità con le impostazioni di Group Policy. Microsoft, per minimizzare i problemi di compatibilità con le applicazioni sviluppate per Windows XP, dove tipicamente l’utente usa un account con privilegi di amministratore, ha introdotto una nuova funzionalità, denominata Registry and file virtualization , che redirige le modifiche effettuate da un applicazione sui file e sul registro di sistema nel profilo dell’utente che la sta usando.

Questo significa che, tranne alcune eccezioni, la maggior parte delle applicazioni per Windows XP funzionerà correttamente sia quando verranno eseguite con un account amministratore sia con un account utente standard. Ad esempio, mentre in Windows XP un utente appartenente al gruppo User che provi ad eseguire un’applicazione che scrive un file di log nella directory Programmi avrebbe l’accesso negato perché l’ACL di questa directory, di default, non fornisce all’utente standard il permesso in scrittura, in Vista questa operazione è possibile perché il file verrebbe memorizzato in una locazione virtuale, situata all’interno della home dell’utente in questione.

A questo proposito, va osservato che uno dei requisiti che dovranno avere le applicazioni certificate per Vista sarà quello di poter girare senza richiedere la virtualizzazione dei dati. Malusardi sostiene che questo meccanismo dovrebbe contribuire significativamente a ridurre la diffusione di worm e altro genere di malware: gli utenti devono infatti confermare, con l’elevazione dei privilegi, la volontà di svolgere un’attività che può essere potenzialmente pericolosa come l’installazione di nuovo software. Un vantaggio diretto di questa funzione di Windows Vista è il miglior controllo che gli amministratori di una rete possono avere sulla configurazione dei computer aziendali, contribuendo in questo modo alla riduzione dei costi di gestione.

Nonostante Windows Vista abbia ormai raggiunto lo stadio finale di beta testing, UAC sta subendo continue modifiche, anche sostanziali: nei mesi scorsi i tester hanno ad esempio lamentato l’eccessivo numero di operazioni che, per essere portate a termine, richiedono l’elevazione dei privilegi e la visualizzazione della relativa finestra di avviso: questo ha indotto diversi tester a disabilitare del tutto le Group Policy di UAC. In risposta a questi feedback, Microsoft ha promesso di migliorare il sistema affinché l’acquisizione dei diritti di amministratore siano necessari solo in un numero ragionevole di casi.

Group Policy
Tra le componenti di Windows Vista che sono state profondamente modificate rispetto a Windows XP c’è sicuramente l’infrastruttura di Group Policy, che oltre a rendere disponibili più di tremila impostazioni per i criteri di gruppo è ora diventato un servizio autonomo.

Riconoscendo l’utilità del file user.log (generato da user.dll ) e della Resultant Set of Policy Microsoft Management Console (RSoP MMC) come strumenti per la diagnostica e la risoluzione dei problemi di Group Policy sotto Windows 2000/XP/2003, Microsoft ha introdotto in Vista un nuovo servizio, denominato Group Policy Client , che gira all’interno di Svchost e si occupa di applicare le impostazioni configurate dagli amministratori locali o di dominio. La presenza di questo servizio ha inoltre permesso di migliorare la reportistica degli eventi relativi a Group Policy: i messaggi relativi agli eventi Group Policy non appariranno più nel log degli applicativi ma in quello di sistema e saranno molto più specifici. Tra le varie novità delle Group Policy di Vista rispetto a Windows XP, oltre a quelle relative ad UAC, meritano particolare attenzione le nuove categorie di Policy Management, il nuovo formato basato su XML per gli Administrative Template e la Network Location Awareness.

In Vista, tramite Group Policy è adesso possibile: a) configurare tutte le impostazioni relative al Risparmio Energetico; b) decidere quali tipologie di periferiche rimovibili si possano usare e quali operazioni vi si possano eseguire; c) modificare le Group Policy di IE senza il rischio di cambiare inavvertitamente lo stato delle politiche basate sulla configurazione della workstation amministrativa; d) assegnare le stampanti in base alla posizione di un’organizzazione o alla locazione geografica; e) delegare agli utenti i diritti ed i permessi necessari per installare le stampanti.

I file Administrative Template sono stati convertiti in file di tipo XML chiamati ADMX che al loro interno contengono una descrizione indipendente dal linguaggio o localizzata in più lingue delle risorse coinvolte. Questo permetterà ad un amministratore di realizzare un Group Policy Object in inglese e ad un suo collega che opera in un dominio francese di importarlo nei suoi client senza alcun problema: verrà infatti caricata automaticamente la “parte” francese del template.

Altra novità significativa introdotta nelle Group Policy di Vista è la Network Location Awareness (NLA). Questo meccanismo, sviluppato per evitare che le macchine di un dominio continuino ad affidarsi al protocollo ICMP per l’applicazione delle politiche, assicura che queste siano sempre “consapevoli” dei cambiamenti che avvengono nella rete e della disponibilità delle risorse, in modo che possano adeguarsi in tempo reale. Ad esempio, grazie a NLA il Group Policy client potrà essere utilizzato per determinare la banda di rete disponibile (evitando così la necessità di utilizzare il comando Ping), inoltre sarà in grado di determinare se una scheda di rete è disconnessa e, in quel caso, non perderà tempo a tentare di dialogare con quell’interfaccia.

Una delle novità dei Local Group di Vista, richiesta da parecchio tempo dagli amministratori, è Multiple Local Group Policy Objects (LGPO), che a differenza di Windows 2000/XP/2003 permette di impostare politiche differenti per utenti che appartengono a gruppi diversi. In Vista è possibile creare più politiche di gruppo locali, come se si fosse all’interno di un dominio.

Nello specifico, l’amministratore potrà eventualmente aggiungere più LGPO a qualsiasi utente locale, agli utenti che appartengono al gruppo degli Amministratori locali e agli utenti che non fanno parte del gruppo degli Amministratori locali. Il principale vantaggio di questa funzionalità è che gli amministratori locali non saranno più costretti a disabilitare esplicitamente o a rimuovere le impostazioni delle Group Policy che possono interferire con i loro privilegi prima di eseguire task amministrativi. In Vista si troverà integrato Windows Defender , un software per la sicurezza disponibile anche per Windows ( attualmente in stato di beta pubblica ) che è in grado di rilevare e rimuovere i più diffusi malware, e principalmente spyware, cavalli di Troia, bot e root-kit. Come molti altri prodotti di questa categoria, Windows Defender include uno scanner anti-malware, una protezione residente in memoria (real-time) e una funzionalità di aggiornamento automatico (che si appoggia su Windows Update).

La scansione dei file, che può essere avviata manualmente o programmata su base regolare, genera un report finale con un elenco di tutte le minacce o le irregolarità trovate nel sistema: per ogni voce è possibile ignorare il problema, mettere i file coinvolti in quarantena o cancellarli, o aggiungere tali file alla white list (una lista di programmi di cui non verrà più segnalata la presenza).

Va osservato che le operazioni di ricerca e rimozione degli spyware possono essere eseguite da Windows Defender anche se l’utente non ha privilegi di amministratore.

Gli agenti di protezione in tempo reale di Windows Defender sono quasi una decina e tutti disattivabili individualmente: ognuno di essi tiene sotto controllo una diversa area del sistema, tra cui l’autostart, la configurazione del sistema, Internet Explorer (add-in, configurazione e download), servizi e driver, esecuzione e registrazione di applicazioni. Se una qualsiasi modifica viene apportata a una di queste aree senza il consenso dell’utente, Windows Defender notifica la variazione e consente all’utente di bloccare l’attività.

Come si è detto, il sistema di aggiornamento di Windows Defender si appoggia a quello di Windows, che può consistere nella funzionalità Aggiornamenti automatici o in Microsoft Update.

“Le definizioni sono create da tecnici di Microsoft con l’aiuto di un’attiva rete di utenti di Windows Defender che inviano autonomamente report relativi agli spyware”, ha spiegato Malusardi riferendosi alla rete SpyNet, a cui gli utenti di Windows Defender possono facoltativamente scegliere di iscriversi. “Ogni utente di Windows Defender può contribuire a questa rete in due diverse modalità: “Basic”, in cui l’utente invia report che non contengono informazioni che possano portare all’identificazione dell’utente stesso (questo può limitare le possibilità di riconoscimento di nuovi spyware) e “Advanced”, in cui l’utente può scegliere di inviare un rapporto completo che può contenere informazioni in grado di consentire la sua identificazione”.

Malusardi ha infine osservato che è possibile tenere traccia dell’attività di Windows Defender anche attraverso il Windows Event Log, e questo sia sotto Vista che sotto Windows XP.

Come ultima nota, Windows Defender include anche un utile strumento per la visualizzazione di tutti i processi che girano nel sistema e dei programmi che si avviano automaticamente: ciascuno di essi può essere disattivato o cancellato definitivamente dal sistema.

Network Access Protection
Sul fronte della sicurezza di rete, una delle funzionalità più interessanti introdotta da Vista (ma già parzialmente implementata in Windows Server 2003) è la Network Access Protection (NAP): questa fa sì che ogni client di un dominio possa accedere alla rete locale solo se risulta conforme alle policy aziendali in termini di configurazione del firewall, dell’antivirus, di aggiornamenti sulla sicurezza, ecc.. In caso non lo sia, il client verrà inserito in una zona di quarantena dove potrà scaricare gli aggiornamenti software necessari per essere in regola con le politiche locali. Ciò è particolarmente importante per i notebook, che spesso vengono lasciati sconnessi dalla rete per giorni e mancano, pertanto, degli ultimi aggiornamenti di sicurezza.

Una funzionalità simile a NAP è già presente in Windows Server 2003 con il nome di Network Access Quarantine Control (NACQ), ma è limitata alle connessioni dial-up e VPN tra un client Windows ed un Windows Server 2003 remote access server. Questo processo si svolge tramite un agente denominato system health agent (SHA), un software client integrato con il NAP Agent che controlla le politiche e lo stato del sistema.

La principale limitazione di NAP è che per funzionare appieno richiede un server Longhorn e client con Vista. Microsoft sta comunque valutando la possibilità di rilasciare una versione client di NAP anche per Windows XP. Malusardi ha aggiunto che NAP si può applicare sia agli accessi da remoto sia agli accessi locali su rete cablata e via wireless con client autenticati via 802.1x. In Vista Microsoft ha aggiornato anche Windows Firewall, rinominato per l’occasione Personal Firewall.
“Il modello di maggior successo nella difesa di una rete aziendale è la Difesa multilivello (defence in depth)”, spiega Malusardi. “In questo modello, ogni host contribuisce alla propria difesa, e questo mitiga fortemente i rischi nella sicurezza e nella diffusione di software maligno. Usando il Personal Firewall integrato in Windows Vista, il personale IT di un’azienda può consentire l’esecuzione locale di un’applicazione e prevenirne l’accesso alla rete aziendale. In aggiunta alle policy che bloccano il traffico in ingresso sulla macchina, Personal Firewall consente la definizione di policy per il controllo del traffico in uscita. Ad esempio, è possibile consentire a Windows Media Player di eseguire localmente contenuti multimediali, ma impedire il suo accesso a server in Internet per il download di nuovi contenuti”.

La configurazione di Personal Firewall può essere eseguita localmente o in modo centralizzato via Group Policy, semplificando in questo modo l’amministrazione della sicurezza a livello aziendale. Dalla stessa console con cui si gestisce Personal Firewall è possibile accedere anche alle impostazioni relative all’Internet Protocol Security (IPSec): ciò permette di centralizzare la definizione dei filtri del traffico in ingresso e in uscita fornendo un maggiore controllo delle impostazioni di sicurezza della macchina.

Da notare che sebbene il firewall integrato in Vista sia in grado di filtrare il traffico in entrambi i sensi, di default filtra solo il traffico in ingresso: una decisione che qualche tempo fa Microsoft ha giustificato con la volontà di assecondare le richieste di molti clienti, soprattutto grandi aziende e pubbliche amministrazioni, che a quanto pare preferiscono che questa funzionalità sia gestita dagli amministratori di rete.

Secondo il big di Redmond, infatti, configurare il firewall di Vista per bloccare le connessioni in uscita avrebbe richiesto una conoscenza tecnica non alla portata di tutti gli utenti: il rischio era che gli utenti meno esperti finissero per bloccare anche connessioni legittime, inficiando il buon funzionamento delle applicazioni di rete. Chi lo desidera, e ha le capacità per farlo, ha tuttavia piena facoltà di attivare anche il filtro in uscita. Di recente ha suscitato qualche polemica il fatto che il firewall di OneCare , un software di Microsoft a pagamento, filtri di default anche il traffico in uscita.

Tra le migliorie di Personal Firewall rispetto a Windows Firewall va senza dubbio evidenziato il maggior numero di tipologie di regole a disposizione dell’utente finale. Oltre alle regole classiche predefinite, come quelle per il desktop remoto o per la condivisione di file e stampanti, sono state aggiunte quelle che permettono di specificare i computer, gli utenti ed i gruppi che sono abilitati ad iniziare comunicazioni protette (IPSec). Ad esempio, si può specificare che il traffico verso determinati server contenente dati sensibili debba essere protetto (ovvero che avvenga tramite IPSec) e che possa essere generato soltanto da specifici utenti e computer.

Un’altra differenza significativa tra Windows Firewall e Personal Firewall è che mentre nel primo è possibile specificare soltanto l’intervallo degli indirizzi IP da cui può arrivare il traffico di rete, in Personal Firewall si possono indicare anche gli indirizzi IP di destinazione sia per il traffico in ingresso che per quello in uscita. Ad esempio, un amministratore di rete potrebbe decidere che un determinato computer non possa inviare pacchetti ad un gruppo di server impostando una regola che blocchi il traffico in uscita verso gli indirizzi IP di questi server.

Personal Firewall permette inoltre una maggiore granularità nelle regole che si possono configurare: oltre che su TCP e UDP si può agire discriminando tra protocollo IPv4 o IPV6; si possono specificare le porte (anche multiple) in ingresso e in uscita dell’indirizzo IP sorgente e di quello destinazione sia per il traffico in ingresso che per quello in uscita; a differenza di Windows Firewall, si può decidere se applicare una regola ad una specifica interfaccia (a quella che collegata alla LAN oppure a quella wireless) o a tutte le interfacce di rete. Ad esempio, si può bloccare il traffico non autorizzato che utilizza un insieme noto di porte TCP in ingresso e in uscita creando delle opportune regole di filtro su queste porte TCP. Infine, altre due differenze tra il nuovo ed il vecchio firewall, sono la possibilità di impostare dei filtri sui messaggi ICMP (per IPv4) e ICMPv6 e di potere decidere se applicare una regola ad un qualsiasi processo, solo a dei servizi o ad uno specifico servizio. Tra gli applicativi di Windows che in Vista hanno subito una profonda trasformazione sul fronte della sicurezza e della protezione c’è Internet Explorer. A questo proposito, ricordiamo che Microsoft sta portando contemporaneamente avanti due versioni della prossima major release del suo browser: IE 7, che gira in modalità stand-alone su Windows XP e su Windows Server 2003, e IE 7+, profondamente integrato con Windows Vista e le sue funzionalità di sicurezza.

Malusardi, spiegando i criteri con cui sia stato progettato la prossima release di IE, evidenzia: “Microsoft si è posta due obiettivi principali nello sviluppo di IE 7: la protezione contro il malware e la salvaguardia dei dati personali. In quest’ottica, le funzionalità che sono state introdotte in IE7 per aumentare la protezione degli utenti dal malware sono molteplici e interessano diversi aspetti dell’interazione utente-web.

Molti dei problemi di sicurezza passati fruivano di problemi di progettazione del codice dei browser. Alcuni di questi attacchi sfruttavano URL appositamente costruiti che in fase di parsing provocavano dei buffer overflow con conseguente possibilità di esecuzione arbitraria di codice. La risposta a questi attacchi è stata tradizionalmente la scrittura di patch che sistemavano il singolo problema. Con IE7, Microsoft ha riprogettato la modalità di analisi degli URL, rivedendo e spostando tutto il codice necessario in un’unica funzione.

Malusardi sostiene che “questo approccio ha portato ad una sensibile riduzione della superficie di attacco. Allo stesso tempo è stata aumentata la capacità di IE di gestire set di caratteri internazionali e nomi di dominio per tener conto della globalizzazione degli URL”.

La funzione ActiveX Opt-In di IE disattiva automaticamente tutti i controlli ActiveX che non provengano dall’intranet o da una delle zone di fiducia: così facendo Microsoft spera di limitare al massimo la possibilità che tali controlli vengano sfruttati da cracker o malware per attività dannose. Ogni qual volta un ActiveX viene bloccato, l’utente viene avvisato sulla Information Bar prima che vengano usati controlli ActiveX preinstallati non esplicitamente abilitati per l’uso verso Internet. Si evita in questo modo che siti web maligni possano sfruttare, all’insaputa dell’utente, controlli pre-installati per eseguire operazioni non approvate dall’utente.

IE7 include anche maggiori protezioni contro gli attacchi di cross-domain scripting , che consistono sostanzialmente nell’esecuzione di script da un dominio che manipolano il contenuto proveniente da altri domini: è una delle vulnerabilità utilizzata più di frequentemente dai phisher, perché nella maggior parte dei casi consente ad un sito maligno di rubare i dati che l’utente ha inserito su di un sito legittimo.

IE 7 gestisce queste situazioni tenendo conto del nome del dominio da cui ciascuno script proviene e consentendo allo script di interagire solo con finestre provenienti dallo stesso dominio. Un ulteriore aspetto di questa funzionalità è la protezione da siti maligni che sfruttano debolezze di altri siti per scaricare sul PC dell’utente malware o altri tipi di contenuto. La nuova Modalità protetta di IE7 riduce invece la possibilità che il codice maligno sfrutti una vulnerabilità del browser o di una sua estensione per installarsi silenziosamente nel sistema. Quando IE7 funziona in modalità protetta non può modificare file o impostazioni utente o di sistema senza l’esplicito consenso dell’utente. Questo meccanismo tare vantaggio dalle funzionalità Microsoft Windows Vista Integrity e User Interface Privilege Isolation (UIPI) di Vista per impedire che IE scriva o acceda, senza l’esplicita autorizzazione dell’utente, ad aree del sistema diverse dalla cartella dei file temporanei.

La Security Status Bar è una barra situata a fianco della barra degli indirizzi che cambia colore a seconda del livello di affidabilità della pagina web che si sta visitando. Maggiore evidenza viene fornita anche ai siti che implementano il protocollo SSL, per i quali viene mostrato il lucchetto chiuso a fianco della barra degli indirizzi: in questi casi l’utente ha la possibilità di verificare il certificato digitale fornito dal sito con un semplice click sull’icona del lucchetto chiuso. Nel caso in cui IE7 identifichi dei problemi legati al certificato, il lucchetto chiuso è mostrato su sfondo rosso.

La Security Status Bar è affiancata dal nuovo filtro anti-phishing , che sfrutta un servizio online per la verifica del sito raggiunto. Il servizio online viene aggiornato più volte ogni ora con le ultime informazioni disponibili sui siti fraudolenti.

Compito del filtro antiphishing è avvisare l’utente riguardo l’affidabilità del sito raggiunto e sfrutta una serie di meccanismi: confronta l’indirizzo web digitato dall’utente con la lista dei siti legittimi presente localmente; analizza il sito alla ricerca di caratteristiche comuni ai siti di phishing; verifica la presenza dell’indirizzo web nelle liste di siti fraudolenti mantenute dal servizio online.
Se il sito è riconosciuto come sito di phishing, IE7 cambia il colore di sfondo della barra degli indirizzi in rosso e redirige l’utente su una pagina contenente l’avviso di pericolo.
Se il sito non è riconosciuto come sito di phishing ma contiene contenuti sospetti, la barra degli indirizzi si colora di giallo e l’utente è avvisato del potenziale pericolo.

Una delle tecniche usata per convincere l’utente a scaricare contenuti maligni o fornire informazioni è aprire una nuova finestra del browser senza barra degli indirizzi e contenente grafica e messaggi fraudolenti. IE7 richiede che ogni finestra del browser mostri la barra degli indirizzi in modo che l’utente possa verificare la corrispondenza tra l’URL mostrato e il contenuto della pagina.

Alcuni gestori di siti maligni hanno sfruttato al scarsa capacità dei browser di gestire i set di caratteri internazionali come meccanismo per attacchi phishing o per nascondere il reale indirizzo del sito all’utente. Il problema deriva dal fatto che alcuni caratteri in certe lingue (es. A in inglese) rappresentano caratteri diversi in altre lingue (es. ä in Cirillico). È possibile quindi che un malintenzionato registri un nome di dominio simile a uno legittimo confondendo l’utente. IE7 supporta nativamente IDN e gli indirizzi multilingua tenendo però sempre conto della lingua del sistema operativo. Certe combinazioni di caratteri (come Cinese e Inglese) sono mostrate in Punycode e non sono considerate valide perché non condividono un set di caratteri comune. Altre combinazioni di caratteri, come Inglese e Francese, sono mostrate in una o nell’altra lingua o in Punycode in base alle impostazioni della lingua a livello di sistema operativo: l’URL www.microsôft.com, ad esempio, è mostrato correttamente nel caso entrambe le lingue siano abilitate o come www.xn--microsft-03a.com se non lo sono.

Delete Browsing History
Simile alla funzione “Elimina i dati personali” di Firefox, questa opzione di IE7 consente di rimuovere con un solo clic tutte le informazioni personali e tracciabili dal browser. Parental Controls
In Vista è integrato un filtro a livello di rete, disponibile a tutte le applicazioni (incluso IE7), che consente di impostare filtri, controlli e log sull’attività di navigazione in Internet da parte di un utente. Questa funzionalità consente ai genitori di controllare l’uso che i loro figli fanno del computer e l’accesso ad internet, riducendo l’esposizione dei minori a situazioni pericolose o spiacevoli.

Stack TCP/IP
La principale innovazione nell’architettura di rete di Vista è stata dal nuovo stack TCP/IP, che è stato completamento riscritto per migliorare la sua efficienza e le possibilità di amministrazione.

“Lo stack Next Generation TCP/IP ha un’architettura in cui i protocolli IPv4 e IPv6 condividono i livelli di Transport e Framing. Oltre al fatto che di default sono abilitati entrambi, il nuovo stack TCP/IP analizza automaticamente la rete e aggiusta i principali parametri che influenzano le prestazioni come la TCP receive window. È inoltre presente un insieme di funzioni dinamiche di auto-tuning e di configurazione che riducono la necessità di intervenire manualmente sulle impostazione dello stack TCP/IP”, spiega Malusardi.

Una delle novità del nuovo stack TCP/IP sono i routing compartment, che evitano il forwarding di traffico tra le interfacce in configurazioni VPN, Terminal Server e multi-utente.

“Un routing compartment ? sottolinea Malusardi – è la combinazione di un insieme di interfacce con una sessione di logon dotata di una propria tabella di routing. Un computer può avere diversi routing compartment, ciascuno isolato dagli altri. Ogni interfaccia può ovviamente appartenere a un unico compartimento. Attualmente quando un utente è connesso a Internet e a una VPN attraverso la stessa interfaccia è possibile, in alcune situazioni, che il traffico proveniente da Internet sia inoltrato sulla rete aziendale. I compartimenti di routing in Windows Vista evitano questa situazione usando tabelle di routing separate”.

Malusardi ha infine osservato che tutta la porzione dell’attuale stack TCP/IP dedicata alla sicurezza è stata sostituita da un nuovo framework denominato Windows Filtering Platform (WFP) che fornisce capacità di filtro a tutti i livelli dello stack TCP/IP.

BitLocker Drive Encryption
Sul fronte della protezione dei dati personali la principale novità di Vista è rappresentata da Bitlocker Drive Encryption, software di protezione dei dati che mira a risolvere il problema derivante dalla perdita di dati riservati o personali in seguito allo smarrimento o al furto di un notebook.

A differenza di EFS Encrypting File System, che consente la cifratura di singoli file o directory, BitLocker cripta tutto il disco di sistema di Windows compresi i file di avvio del sistema operativo, il file di swap e quello usato per l’ibernazione del sistema.

Le chiavi utilizzate per criptare e decriptare i settori del disco in cui risiede Windows verranno memorizzate in un chip TPM (Trusted Platform Module) 1.2 o in alternativa in una chiave USB che l’utente dovrà inserire a ogni avvio della macchina. BitLocker inoltre memorizza le dimensioni di alcuni file di sistema nel chip TPM e, ogni volta che il computer viene avviato, Vista verifica che questi file non siano stati modificati con un attacco offline. Con questo termine ci si riferisce ad uno scenario dove l’aggressore carica un altro sistema operativo e sostituisce i file critici del sistema per ottenerne il controllo.

Qualora si verifichi un’eventualità del genere, Vista avverte l’utente e blocca il caricamento del sistema operativo non rilasciando la chiave necessaria per accedervi. A questo punto il sistema andrà in recovery mode e chiederà all’utente di fornire una chiave di ripristino (generata da Bitlocker quando viene attivato) per avviare il sistema. Questa chiave è univoca per la singola macchina.

Riguardo alle polemiche sorte intorno al TPM, Malusardi ha osservato che “BitLocker può essere disattivato in ogni momento”. Un tema su cui già tanto è stato detto e sui certamente si dovrà tornare.

a cura di Giovanni Fleres
con la collaborazione di Alessandro Del Rosso

Nota: le informazioni contenute nell’articolo si riferiscono alla build 5456 di Windows Vista e alle informazioni rese pubblicamente disponibili da Microsoft fino ad oggi.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 25 lug 2006
Link copiato negli appunti