Fuori l'HTML portaworm da Outlook

Un piccolo add-in gratuito, NoHTML, offre all'utente ciò che Microsoft non aveva mai concesso: disabilitare le mail HTML. Con la conversione in testo
Un piccolo add-in gratuito, NoHTML, offre all'utente ciò che Microsoft non aveva mai concesso: disabilitare le mail HTML. Con la conversione in testo


Roma – Il recente arrivo del prolifico worm Badtrans ha riacceso le polemiche in merito alla sicurezza di Outlook, una diatriba che va avanti da oltre un anno e mezzo, da quando cioè fece capolino sulla scena dei virus il capostipite degli odierni mail-worm: ILoveYou.

Nonostante il rilascio di innumerevoli patch, alcune delle quali, secondo Microsoft, avrebbero dovuto arginare il problema senza però correre il rischio di trasformare Outlook in un sistema “blindato e inutilizzabile”, l’ondata dei worm che sfruttano le debolezze di Outlook non sembra arrestarsi. Come ha avuto modo di lamentare due giorni fa Richard Clarke, a capo della task force Sicurezza su Internet della Casa Bianca.

Outlook 2000 e Outlook 2002 dispongono già di diversi strumenti e filtri che, nelle intenzioni di Microsoft, dovrebbero – o avrebbero dovuto – porre un freno alla proliferazione dei worm. Una delle più frequenti accuse che gli esperti da tempo rivolgono a Microsoft è però quella di non offrire, al contrario di quanto avviene in prodotti analoghi, la possibilità per l’utente di disabilitare la visualizzazione delle e-mail in formato HTML.

A questa carenza pone ora rimedio NoHTML, un add-in sviluppato da Russ Cooper, CTO della società di sicurezza TruSecure. Secondo l’autore, questo tool può prevenire futuri attacchi del tipo di quelli lanciati da recenti mail-worm come BadTrans.B e Nimda.

Una volta installato, NoHTML fa in modo che le versioni 2000 e 2002 di Outlook convertano automaticamente tutte le mail HTML ricevute in innocue mail in formato testo. Gli utenti di Outlook 2000 possono anche scegliere come formato di arrivo quello RTF.

“Le mail basate sull’HTML forniscono un’enorme opportunità di creare virus e worm che sfruttino le vulnerabilità del motore di rendering di Internet Explorer integrato in Outlook”, ha detto Cooper. “La possibilità di disabilitare l’HTML significa che non potete più essere vulnerabili a questo vettore di attacco. E’ un grande passo avanti”.

Secondo altri esperti, NoHTML può essere efficace per proteggere gli utenti anche dai famigerati “Web bug”, un tipo di attacco basato su pagine o mail HTML che viene spesso usato per tracciare l’utente e ledere la sua privacy.

Cooper ha sottolineato che, perché il suo add-in possa essere davvero efficace, gli utenti di Outlook devono prima disabilitare la funzionalità di anteprima delle e-mail.

“Se il riquadro di anteprima è abilitato – ha spiegato Cooper – quando selezionate un’e-mail HTML Outlook la renderizza prima dell’attivazione di NoHTML (rendendolo di fatto inutile). Questo è, sfortunatamente, fuori dal mio controllo”.

Sebbene Cooper abbia ammesso che applicando tutte le patch rilasciate da Microsoft è possibile mettere fuori uso la quasi totalità dei worm in circolazione, egli sostiene che disabilitando le mail in formato HTML significa potersi proteggere anche dalla maggior parte dei futuri worm.

Altri esperti sostengono che un’accettabile alternativa a NoHTML consiste nel disabilitare l’esecuzione di codice JavaScript, anche se questa appare come una soluzione sicuramente più limitata di quella offerta dall’add-in di Cooper.

NoHTML, scaricabile gratuitamente da qui , non è compatibile con le versioni precedenti di Outlook 2000 o con Outlook Express.

Link copiato negli appunti

Ti potrebbe interessare

06 12 2001
Link copiato negli appunti