Windows 8: il sistema operativo più sicuro rilasciato da Redmond? Di Chet Wisniewski, Senior Security Advisor, Sophos, 2012 A SophosLabs technical paper - October 2012 Windows 8: Redmond’s Safest Operating System Ever? Con il sistema operativo Windows 8, Microsoft ha introdotto cambiamenti radicali nell'ambiente desktop. Anche se a far discutere del nuovo sistema operativo di Redmond è stato il nome da attribuire alla moderna interfaccia utente e ai riquadri sensibili al tocco, è altrettanto importante analizzare Windows 8 dal punto di vista della sicurezza. Funzionalità di sicurezza Avvio protetto La prima nuova funzionalità di cui potranno usufruire i proprietari di un PC Windows 8 è nota come Avvio protetto (Secure Boot). Tutti i nuovi PC certificati Windows 8 devono soddisfare gli standard UEFI (Unified Extensible Firmware Interface), invece dei tradizionali BIOS. L'UEFI deve essere configurata in modo da lanciare solamente i caricatori d'avvio approvati da un'autorità di fiducia. I vendor di computer certificati Windows 8 si affidano alla signature di Microsoft, ma hanno comunque il permesso di includere altre signature, o di consentire agli utenti finali di imporre le proprie. Questa modifica sarà un passo molto importante verso la sconfitta del malware del settore di avvio. Negli anni '80, i virus dell'MBR (record di avvio principale) e altri tipi di malware potevano celare la propria presenza semplicemente grazie alla capacità di lanciarsi prima del sistema operativo. Indipendentemente dalla vostra opinione su quanto ciò possa influire sulla scelta del sistema operativo, alla fin fine è comunque un'importante vittoria per la sicurezza. Subito dopo il lancio, il caricatore d'avvio di Microsoft verificherà l'autenticità della signature del kernel Windows, procedendo con un altro nuovo componente facoltativo di avvio: ELAM. A SophosLabs technical paper - October 2012 2 Windows 8: Redmond’s Safest Operating System Ever? ELAM (Early Load Anti Malware) è progettato per consentire ai vendor di IT security di convalidare i componenti non Windows caricati durante l'avvio. Oltre alla verifica dell'autenticità di tutte le signature del driver di avvio da parte del kernel Windows, è possibile utilizzare anche un antimalware di base per controllare i driver prima del loro caricamento. L'esatto livello di efficacia di questa funzionalità contro le sofisticate minacce in circolazione è ancora da verificare, ma è pur sempre un passo nella direzione giusta e potrebbe risultare utile durante la rimozione dei rootkit (ad es. per prevenire il caricamento di componenti malevoli). L'ultima novità fra i componenti di avvio è nota come "avvio con misurazioni" (Measured Boot), e richiede la presenza sul PC di un Trusted Platform Module (TPM) abilitato. Il TPM effettuerà misurazioni di tutti i componenti caricati durante il processo di avvio, registrando ad esempio il tempo di inizializzazione. Una volta completato l'avvio, i risultati possono essere inviati a enti esterni di fiducia per verificare che siano stati eseguiti solamente codici autorizzati e che questi non abbiano mostrato comportamenti insoliti. Al momento i computer dotati di TPM sono pochi, e si sospetta che questo componente sia incline a generare errori. È ancora da stabilire se i vantaggi giustificheranno i costi generali e aggiuntivi. Microsoft ha anche consolidato alcune delle più comuni tecnologie di mitigazione degli exploit introdotte con Windows Vista e 7. Address space layout randomization (ASLR), protezione esecuzione programmi (data execution prevention, DEP) e randomizzazione dell'heap sono tutte funzionalità che sono state aggiornate per rendere più solida la protezione contro buffer overflow e altri attacchi allo stack. Siccome sono rivolte a elementi praticamente invisibili agli occhi degli utenti, queste modifiche dovrebbero contribuire all'hardening di Windows contro gli attacchi. Funzionalità adoperate dagli utenti Tutti gli elementi analizzati finora sono funzionalità che operano "dietro le quinte"; è quindi difficile che influiscano sugli utenti che quotidianamente utilizzano il sistema operativo di Microsoft. Ci accingiamo ora a esplorare come questo nuovo approccio modifichi l'interazione con questo tipo di utenti. SmartScreen SmartScreen, una tecnologia introdotta da Microsoft con Internet Explorer 9, è ora stato ampliato per includere tutti i file eseguibili scaricati sui sistemi Windows 8. SmartScreen è programmato per verificare i checksum dei file EXE, confrontandoli con il database in-the-cloud di Microsoft, il quale contiene un elenco di checksum di applicazioni legittime e malevole. A SophosLabs technical paper - October 2012 3 Windows 8: Redmond’s Safest Operating System Ever? Se il risultato è inconcludente, Microsoft avvisa l'utente prima dell'esecuzione, indicando che il programma è di origine ignota e potrebbe contenere del malware. Microsoft continua a sostenere che questa funzionalità abbia protetto milioni di utenti di IE 9, ma personalmente rimango scettico. In fase di test mi aveva ricordato il comportamento di un falso allarme che generava messaggi intimidatori per file legittimi talmente spesso, che finivo per ignorare gli alert, talvolta mettendo a rischio la mia stessa sicurezza. La buona notizia per i consumatori è che ora Microsoft include una protezione antivirus di base, fornita dal tool Windows Defender. Sebbene le aziende richiedano una protezione più completa, per non parlare di controllo, reportistica e aggiornamenti centralizzati, con tutta probabilità gli utenti privati apprezzeranno le funzionalità di base incluse senza alcun costo aggiuntivo. Security Essentials, il prodotto antivirus gratuito per uso privato rilasciato da Microsoft, non ha ottenuto risultati convincenti in recenti test indipendenti; tuttavia, dovrebbe essere sufficiente per la maggior parte degli utenti privati, e con tutta probabilità dovrebbe riuscire a impedire la violazione delle copie di Windows appena installate. DirectAccess Al tempo della sua inclusione in Windows 7, DirectAccess era una nuova ed elegante soluzione VPN; tuttavia presentava un problema. Per essere operativo, richiedeva IPv6, risultando in una distribuzione rasente a zero. Windows 8 sta cercando di rilanciarlo, questa volta includendo il supporto di IPv4. Il concetto di una VPN sempre attiva è molto valido e potrebbe contribuire notevolmente alla risoluzione dei problemi legati alla protezione degli utenti aziendali che si connettono a Internet dagli hotspot Wi-Fi privi di sicurezza di aeroporti, hotel e bar. Windows To Go Un'altra novità in termini di IT security per gli utenti mobili negli ambienti aziendali è Windows To Go. Questa funzionalità permette agli utenti aziendali dotati di licenza Windows 8 di portare con sé l'intero desktop, salvandolo su una chiavetta USB. Sembrerebbe che Windows To Go sia stato progettato per essere in diretta concorrenza con le iniziative legate ai desktop virtuali (ad es. l'avvio dal PC per qualsiasi PC che supporti l'avvio da unità USB). L'accesso agli hard disk e ad altre periferiche potenzialmente a rischio è disabilitato in modalità To Go, ma tutti i file, le preferenze e i programmi sono disponibili per l'uso. Di sicuro la ritengo un'opzione più sicura per le aziende che desiderino garantire agli utenti la possibilità di connettersi da PC personali senza consentire l'accesso VPN a computer privati non affidabili. A SophosLabs technical paper - October 2012 4 Windows 8: Redmond’s Safest Operating System Ever? Modern User Interface Infine l'ultima novità, ma non per questo la meno importante, è la tanto chiacchierata Modern Interface, con le relative funzionalità di sicurezza. Modern si basa sul concetto di App Store, introdotto da Apple con iOS. Tutte le applicazioni (con un'eccezione) devono essere scaricate direttamente da Microsoft e devono soddisfare gli standard di privacy e sicurezza di Microsoft. I walled garden sono una buona idea, ma si sa che il diavolo fa le pentole ma non i coperchi. Ciò va tenuto presente soprattutto se si paragona l'approccio di Apple con quello di Google. Google Play si è evoluto a tal punto da diventare un ambiente più sicuro, ma è stato afflitto da molti più problemi di quanto sembri, dovuti a quanto pare al tentativo di Google di esercitare meno controllo e fornire agli utenti un ambiente più aperto. Gli ambienti aziendali avranno l'opzione di caricare i propri certificati di attendibilità sui dispositivi, abilitando così il sideload delle applicazioni. È un procedimento simile a quanto avviene su iOS, ma molto più controllato dell'approccio "spunta la casella", che consente il caricamento su Android di una giungla selvaggia di applicazioni non conosciute. Quando vengono visualizzate le applicazioni in un Microsoft store, è possibile consultare un elenco dettagliato delle autorizzazioni richieste, in maniera simile a quanto osservato sui dispositivi Android. Tuttavia, questo elenco è disponibile solamente se si seleziona la scheda "Dettagli". Questa opzione di privacy non viene promossa attivamente. Ciò potrebbe essere un fatto positivo, in quanto affidare agli utenti la possibilità di effettuare una scelta spesso li induce a "dire sempre di sì": il problema che affligge SmartScreen; tuttavia, potrebbe risultare un'opzione molto utile se, invece di essere nascosta all'interno di una scheda, l'autorizzazione comparisse nella schermata di installazione. IE 10 Windows 8 introduce una nuova versione di Internet Explorer 10 a doppia personalità. Sebbene in modalità “Desktop” IE non abbia subito modifiche radicali, opera in modalità molto più limitata se utilizzato come applicazione Modern UI. IE per Modern UI non supporta plugin, eccezion fatta per una whitelist che consente ad Adobe Flash (che è nativo in IE 10) di eseguirsi su un determinato numero di siti, il cui elenco è gestito da Microsoft. Di conseguenza non è possibile applicare le patch rilasciate da Adobe e gli utenti devono quindi attendere l'implementazione di un aggiornamento da parte di Microsoft. Le aziende che richiedono l'uso di Java o di altri plugin di proprietà dovranno, nella maggior parte dei casi, ricorrere alla modalità Desktop, rendendo vani molti dei vantaggi offerti da Modern UI. A SophosLabs technical paper - October 2012 5 Windows 8: Redmond’s Safest Operating System Ever? Un ulteriore problema della versione Modern UI di IE è che nasconde la barra degli indirizzi durante la navigazione. Se da un lato nascondere la barra degli indirizzi può contribuire a migliorare l'esperienza utente, eliminare gli indicatori visuali che aiutano a stabilire se un sito sia cifrato (ad es. il lucchetto, che verifica che l'indirizzo caricato sia quello desiderato) potrebbe ostacolare la protezione contro i rischi on-line, quali ad es. il phishing. Tutte le applicazioni che adoperano Modern UI devono operare all'interno di una sandbox. Questo requisito riduce la superficie di attacco e impedisce alle applicazioni di interferire o di attaccare altre applicazioni installate nel sistema. Microsoft ha anche imposto restrizioni sulle Application Programming Interface (API), autorizzando l'accesso solamente a quelle esplicitamente dichiarate nel file manifest di un'applicazione. In questo modo si eviterà che le applicazioni contenenti vulnerabilità vengano attaccate per scopi non previsti dai loro autori, quali il prelievo di informazioni riservate o l'accesso a determinate risorse di sistema. Tale concetto può essere esteso, per prendere la forma di quello che Microsoft definisce come "contratto". Alle applicazioni viene data la possibilità di dichiarare se siano l'origine o la destinazione di informazioni attinenti ad altre app Modern. Ad esempio, l'app Twitter può dichiarare di essere un contratto di destinazione per il social messaging. Ciò permette a un'app di fotografia di inviare l'immagine all'app Twitter, allo scopo di condividerla. Apple non autorizza le applicazioni ad agire all'esterno della propria sandbox e non ne consente l'interazione con altre applicazioni. Di certo, autorizzando la comunicazione fra le varie app Microsoft ha incrementato la superficie di attacco, anche se il tutto avviene tramite un'interfaccia restrittiva. Col tempo scopriremo se questa mossa si sia rivelata un vantaggio tattico, oppure un errore di IT security. A SophosLabs technical paper - October 2012 6 Windows 8: Redmond’s Safest Operating System Ever? La versione Windows più sicura in assoluto Riassumendo, Windows 8 non sta certamente tracciando nuovi percorsi verso un futuro completamente privo di rischi; eppure fornisce miglioramenti che possono portare e che sicuramente condurranno a un'esperienza Windows più sicura. Personalmente, non noto niente (a parte la nuova interfaccia IE) di veramente preoccupante. La domanda che ancora attende risposta è la seguente: le aziende che hanno investito in hardware e formazione per prodotti legacy saranno disposte ad accogliere rapidamente un'interfaccia utente completamente nuova, a così poco tempo dal delivery di Windows 7? Non credo che saranno i progressivi miglioramenti della sicurezza a influire sulla decisione, ma non vi è alcun dubbio che per ora questo sia il sistema operativo Windows più sicuro in assoluto. A SophosLabs technical paper - October 2012 7 Windows 8: Redmond’s Safest Operating System Ever? United Kingdom and Worldwide Sales: Tel: +44 (0)8447 671131 Email: [email protected] North American Sales: Toll Free: 1-866-866-2802 Email: [email protected] Boston, USA | Oxford, UK © Copyright 2012. Sophos Ltd. All rights reserved. All trademarks are the property of their respective owners. 3497.dsna.10.12 Australia and New Zealand Sales: Tel: +61 2 9409 9100 Email: [email protected]