Windows 8:
il sistema operativo
più sicuro rilasciato da
Redmond?
Di Chet Wisniewski, Senior Security Advisor, Sophos, 2012
A SophosLabs technical paper - October 2012
Windows 8: Redmond’s Safest Operating System Ever?
Con il sistema operativo Windows 8,
Microsoft ha introdotto cambiamenti radicali
nell'ambiente desktop. Anche se a far discutere
del nuovo sistema operativo di Redmond
è stato il nome da attribuire alla moderna
interfaccia utente e ai riquadri sensibili al tocco,
è altrettanto importante analizzare Windows 8
dal punto di vista della sicurezza.
Funzionalità di sicurezza
Avvio protetto
La prima nuova funzionalità di cui potranno usufruire i proprietari di un PC
Windows 8 è nota come Avvio protetto (Secure Boot). Tutti i nuovi PC certificati
Windows 8 devono soddisfare gli standard UEFI (Unified Extensible Firmware
Interface), invece dei tradizionali BIOS. L'UEFI deve essere configurata in modo
da lanciare solamente i caricatori d'avvio approvati da un'autorità di fiducia. I
vendor di computer certificati Windows 8 si affidano alla signature di Microsoft,
ma hanno comunque il permesso di includere altre signature, o di consentire agli
utenti finali di imporre le proprie.
Questa modifica sarà un passo molto importante verso la sconfitta del malware
del settore di avvio. Negli anni '80, i virus dell'MBR (record di avvio principale) e
altri tipi di malware potevano celare la propria presenza semplicemente grazie
alla capacità di lanciarsi prima del sistema operativo. Indipendentemente dalla
vostra opinione su quanto ciò possa influire sulla scelta del sistema operativo,
alla fin fine è comunque un'importante vittoria per la sicurezza.
Subito dopo il lancio, il caricatore d'avvio di Microsoft verificherà l'autenticità
della signature del kernel Windows, procedendo con un altro nuovo componente
facoltativo di avvio: ELAM.
A SophosLabs technical paper - October 2012
2
Windows 8: Redmond’s Safest Operating System Ever?
ELAM (Early Load Anti Malware) è progettato per consentire ai vendor di IT
security di convalidare i componenti non Windows caricati durante l'avvio. Oltre
alla verifica dell'autenticità di tutte le signature del driver di avvio da parte
del kernel Windows, è possibile utilizzare anche un antimalware di base per
controllare i driver prima del loro caricamento.
L'esatto livello di efficacia di questa funzionalità contro le sofisticate minacce
in circolazione è ancora da verificare, ma è pur sempre un passo nella direzione
giusta e potrebbe risultare utile durante la rimozione dei rootkit (ad es. per
prevenire il caricamento di componenti malevoli).
L'ultima novità fra i componenti di avvio è nota come "avvio con misurazioni"
(Measured Boot), e richiede la presenza sul PC di un Trusted Platform Module
(TPM) abilitato. Il TPM effettuerà misurazioni di tutti i componenti caricati
durante il processo di avvio, registrando ad esempio il tempo di inizializzazione.
Una volta completato l'avvio, i risultati possono essere inviati a enti esterni di
fiducia per verificare che siano stati eseguiti solamente codici autorizzati e che
questi non abbiano mostrato comportamenti insoliti. Al momento i computer
dotati di TPM sono pochi, e si sospetta che questo componente sia incline a
generare errori. È ancora da stabilire se i vantaggi giustificheranno i costi generali
e aggiuntivi.
Microsoft ha anche consolidato alcune delle più comuni tecnologie di
mitigazione degli exploit introdotte con Windows Vista e 7. Address space
layout randomization (ASLR), protezione esecuzione programmi (data execution
prevention, DEP) e randomizzazione dell'heap sono tutte funzionalità che sono
state aggiornate per rendere più solida la protezione contro buffer overflow e
altri attacchi allo stack. Siccome sono rivolte a elementi praticamente invisibili
agli occhi degli utenti, queste modifiche dovrebbero contribuire all'hardening di
Windows contro gli attacchi.
Funzionalità adoperate dagli utenti
Tutti gli elementi analizzati finora sono funzionalità che operano "dietro le
quinte"; è quindi difficile che influiscano sugli utenti che quotidianamente
utilizzano il sistema operativo di Microsoft. Ci accingiamo ora a esplorare come
questo nuovo approccio modifichi l'interazione con questo tipo di utenti.
SmartScreen
SmartScreen, una tecnologia introdotta da Microsoft con Internet Explorer
9, è ora stato ampliato per includere tutti i file eseguibili scaricati sui sistemi
Windows 8. SmartScreen è programmato per verificare i checksum dei file EXE,
confrontandoli con il database in-the-cloud di Microsoft, il quale contiene un
elenco di checksum di applicazioni legittime e malevole.
A SophosLabs technical paper - October 2012
3
Windows 8: Redmond’s Safest Operating System Ever?
Se il risultato è inconcludente, Microsoft avvisa l'utente prima dell'esecuzione,
indicando che il programma è di origine ignota e potrebbe contenere del malware.
Microsoft continua a sostenere che questa funzionalità abbia protetto milioni di
utenti di IE 9, ma personalmente rimango scettico.
In fase di test mi aveva ricordato il comportamento di un falso allarme che
generava messaggi intimidatori per file legittimi talmente spesso, che finivo per
ignorare gli alert, talvolta mettendo a rischio la mia stessa sicurezza.
La buona notizia per i consumatori è che ora Microsoft include una protezione
antivirus di base, fornita dal tool Windows Defender. Sebbene le aziende
richiedano una protezione più completa, per non parlare di controllo,
reportistica e aggiornamenti centralizzati, con tutta probabilità gli utenti privati
apprezzeranno le funzionalità di base incluse senza alcun costo aggiuntivo.
Security Essentials, il prodotto antivirus gratuito per uso privato rilasciato da
Microsoft, non ha ottenuto risultati convincenti in recenti test indipendenti;
tuttavia, dovrebbe essere sufficiente per la maggior parte degli utenti privati,
e con tutta probabilità dovrebbe riuscire a impedire la violazione delle copie di
Windows appena installate.
DirectAccess
Al tempo della sua inclusione in Windows 7, DirectAccess era una nuova ed
elegante soluzione VPN; tuttavia presentava un problema. Per essere operativo,
richiedeva IPv6, risultando in una distribuzione rasente a zero. Windows 8 sta
cercando di rilanciarlo, questa volta includendo il supporto di IPv4.
Il concetto di una VPN sempre attiva è molto valido e potrebbe contribuire
notevolmente alla risoluzione dei problemi legati alla protezione degli utenti
aziendali che si connettono a Internet dagli hotspot Wi-Fi privi di sicurezza di
aeroporti, hotel e bar.
Windows To Go
Un'altra novità in termini di IT security per gli utenti mobili negli ambienti
aziendali è Windows To Go. Questa funzionalità permette agli utenti aziendali
dotati di licenza Windows 8 di portare con sé l'intero desktop, salvandolo su una
chiavetta USB.
Sembrerebbe che Windows To Go sia stato progettato per essere in diretta
concorrenza con le iniziative legate ai desktop virtuali (ad es. l'avvio dal PC per
qualsiasi PC che supporti l'avvio da unità USB). L'accesso agli hard disk e ad altre
periferiche potenzialmente a rischio è disabilitato in modalità To Go, ma tutti i file,
le preferenze e i programmi sono disponibili per l'uso.
Di sicuro la ritengo un'opzione più sicura per le aziende che desiderino garantire
agli utenti la possibilità di connettersi da PC personali senza consentire l'accesso
VPN a computer privati non affidabili.
A SophosLabs technical paper - October 2012
4
Windows 8: Redmond’s Safest Operating System Ever?
Modern User Interface
Infine l'ultima novità, ma non per questo la meno importante, è la tanto
chiacchierata Modern Interface, con le relative funzionalità di sicurezza. Modern si
basa sul concetto di App Store, introdotto da Apple con iOS. Tutte le applicazioni
(con un'eccezione) devono essere scaricate direttamente da Microsoft e devono
soddisfare gli standard di privacy e sicurezza di Microsoft.
I walled garden sono una buona idea, ma si sa che il diavolo fa le pentole ma
non i coperchi. Ciò va tenuto presente soprattutto se si paragona l'approccio di
Apple con quello di Google. Google Play si è evoluto a tal punto da diventare un
ambiente più sicuro, ma è stato afflitto da molti più problemi di quanto sembri,
dovuti a quanto pare al tentativo di Google di esercitare meno controllo e fornire
agli utenti un ambiente più aperto.
Gli ambienti aziendali avranno l'opzione di caricare i propri certificati di
attendibilità sui dispositivi, abilitando così il sideload delle applicazioni. È
un procedimento simile a quanto avviene su iOS, ma molto più controllato
dell'approccio "spunta la casella", che consente il caricamento su Android di una
giungla selvaggia di applicazioni non conosciute.
Quando vengono visualizzate le applicazioni in un Microsoft store, è possibile
consultare un elenco dettagliato delle autorizzazioni richieste, in maniera simile a
quanto osservato sui dispositivi Android.
Tuttavia, questo elenco è disponibile solamente se si seleziona la scheda
"Dettagli". Questa opzione di privacy non viene promossa attivamente. Ciò
potrebbe essere un fatto positivo, in quanto affidare agli utenti la possibilità
di effettuare una scelta spesso li induce a "dire sempre di sì": il problema che
affligge SmartScreen; tuttavia, potrebbe risultare un'opzione molto utile se,
invece di essere nascosta all'interno di una scheda, l'autorizzazione comparisse
nella schermata di installazione.
IE 10
Windows 8 introduce una nuova versione di Internet Explorer 10 a doppia
personalità. Sebbene in modalità “Desktop” IE non abbia subito modifiche radicali,
opera in modalità molto più limitata se utilizzato come applicazione Modern UI.
IE per Modern UI non supporta plugin, eccezion fatta per una whitelist che
consente ad Adobe Flash (che è nativo in IE 10) di eseguirsi su un determinato
numero di siti, il cui elenco è gestito da Microsoft. Di conseguenza non è possibile
applicare le patch rilasciate da Adobe e gli utenti devono quindi attendere
l'implementazione di un aggiornamento da parte di Microsoft. Le aziende che
richiedono l'uso di Java o di altri plugin di proprietà dovranno, nella maggior parte
dei casi, ricorrere alla modalità Desktop, rendendo vani molti dei vantaggi offerti
da Modern UI.
A SophosLabs technical paper - October 2012
5
Windows 8: Redmond’s Safest Operating System Ever?
Un ulteriore problema della versione Modern UI di IE è che nasconde la barra
degli indirizzi durante la navigazione. Se da un lato nascondere la barra degli
indirizzi può contribuire a migliorare l'esperienza utente, eliminare gli indicatori
visuali che aiutano a stabilire se un sito sia cifrato (ad es. il lucchetto, che verifica
che l'indirizzo caricato sia quello desiderato) potrebbe ostacolare la protezione
contro i rischi on-line, quali ad es. il phishing.
Tutte le applicazioni che adoperano Modern UI devono operare all'interno di
una sandbox. Questo requisito riduce la superficie di attacco e impedisce alle
applicazioni di interferire o di attaccare altre applicazioni installate nel sistema.
Microsoft ha anche imposto restrizioni sulle Application Programming Interface
(API), autorizzando l'accesso solamente a quelle esplicitamente dichiarate nel
file manifest di un'applicazione. In questo modo si eviterà che le applicazioni
contenenti vulnerabilità vengano attaccate per scopi non previsti dai loro autori,
quali il prelievo di informazioni riservate o l'accesso a determinate risorse di
sistema.
Tale concetto può essere esteso, per prendere la forma di quello che Microsoft
definisce come "contratto". Alle applicazioni viene data la possibilità di dichiarare
se siano l'origine o la destinazione di informazioni attinenti ad altre app Modern.
Ad esempio, l'app Twitter può dichiarare di essere un contratto di destinazione
per il social messaging. Ciò permette a un'app di fotografia di inviare l'immagine
all'app Twitter, allo scopo di condividerla.
Apple non autorizza le applicazioni ad agire all'esterno della propria sandbox
e non ne consente l'interazione con altre applicazioni. Di certo, autorizzando la
comunicazione fra le varie app Microsoft ha incrementato la superficie di attacco,
anche se il tutto avviene tramite un'interfaccia restrittiva. Col tempo scopriremo
se questa mossa si sia rivelata un vantaggio tattico, oppure un errore di IT
security.
A SophosLabs technical paper - October 2012
6
Windows 8: Redmond’s Safest Operating System Ever?
La versione Windows più sicura in assoluto
Riassumendo, Windows 8 non sta certamente
tracciando nuovi percorsi verso un futuro
completamente privo di rischi; eppure fornisce
miglioramenti che possono portare e che sicuramente
condurranno a un'esperienza Windows più sicura.
Personalmente, non noto niente (a parte la nuova
interfaccia IE) di veramente preoccupante.
La domanda che ancora attende risposta è la
seguente: le aziende che hanno investito in hardware
e formazione per prodotti legacy saranno disposte
ad accogliere rapidamente un'interfaccia utente
completamente nuova, a così poco tempo dal delivery
di Windows 7? Non credo che saranno i progressivi
miglioramenti della sicurezza a influire sulla decisione,
ma non vi è alcun dubbio che per ora questo sia il
sistema operativo Windows più sicuro in assoluto.
A SophosLabs technical paper - October 2012
7
Windows 8: Redmond’s Safest Operating System Ever?
United Kingdom and Worldwide Sales:
Tel: +44 (0)8447 671131
Email: [email protected]
North American Sales:
Toll Free: 1-866-866-2802
Email: [email protected]
Boston, USA | Oxford, UK
© Copyright 2012. Sophos Ltd. All rights reserved.
All trademarks are the property of their respective owners.
3497.dsna.10.12
Australia and New Zealand Sales:
Tel: +61 2 9409 9100
Email: [email protected]