Microsoft propone una soluzione per il problema botnet

4 marzo 2010

Mi sono imbattuto in una notizia che mi ha portato a guardare il calendario un paio di volte per vedere se per caso non fosse già il primo aprile e non me ne fossi accorto!

Durante la RSA security conference in San Francisco il sig.Scott Charney (che, per chi come il sottoscritto non l’avesse mai sentito nominare, detiene l’altisonante titolo di Microsoft Corporate Vice President for Trustworthy Computing) ha parlato di botnet e virus. Ha delineato uno scenario in cui la Microsoft da sola non può debellare le botnet e i virus, ma occorre la collaborazione dei provider;  facendo l’esempio della sanità in cui si può curare un malato, ma è possibile e più efficace effettuare prevenzione e applicare la quarantena ai pazienti contagiosi in modo da evitare l’espansione della malattia. Un bel esempio e anche una strategia valida. Che però ha un costo, che provider non riescono a sostenere. E qui nasce l’idea brillante: questi costi si possono far pagare al mercato attraverso una tassa!

Semplicemente una mossa geniale: io sviluppo un sistema operativo che è un colabrodo, siccome non riesco a tapparne i buchi in tempi ragionevoli  chiedo ad altri di farlo per me e tutto questo lo faccio pagare a TUTTI gli utilizzatori di internet.

Io ho una controproposta certamente più equa: sono perfettamente d’accordo con l’idea della tassa ma applicata solamente ai prodotti i cui bachi siano sfruttabili per la diffusione di virus/botnet e che non siano stati chiusi in modo tempestivo dalla scoperta (basti pensare che il solo Windows XP tra le 2 versioni home e professional ha 67 falle ancora aperte di cui oltre il 40% gravi contro le 0 ad esempio di Ubuntu – che include centinaia di programmi – nelle varie versioni dal 2007 a oggi  ) . Si otterrebbe sicuramente un vantaggio: chi vuole proprio usare prodotti Microsoft potrebbe continuare a farlo ma contribuirebbe a ridurre i pericoli con il contributo economico, chi invece preferisce passare a prodotti diversi (e più sicuri) contribuirebbe a farlo in modo diretto.


CPU a rischio virus?

17 luglio 2008

Secondo Kris Kaspersky sarebbe possibile scrivere un virus indipendente dal sistema operativo utilizzato e dal tipo di patch di sicurezza applicate, in quanto andrebbe a sfruttare i bug dei processori per agire. A ottobre darà una dimostrazione pratica all’Hack-In-The-Box Security Conference.
Sicuramente Kaspersky (che non è collegato all’omonima ditta che produce antivirus) saprà il fatto suo, ma a me qualche dubbio è venuto:
innanzi tutto deve sfruttare un bug del processore, quindi sarà anche trasversale al sistema operativo ma non lo è all’hardware utilizzato; poi dice che il malware verrebbe inviato o tramite un packet storming sul TCP/IP o tramite appositi programmi scritti in java o javascript (che penso abbia scelto perchè sono gli unici 2 linguaggi sufficientemente diffusi su tutte le piattaforme software, ed inoltre sono interpretati quindi non ci sono problemi di compilazione). Qui comincia a sorgermi qualche dubbio in più: lo stack TCP/IP non è collegato direttamente alla CPU, ma viene sempre filtrato dal sistema operativo (a meno che il bug non sia sul chipset della scheda di rete, ma qui si parla di bug delle CPU); per quanto riguarda java/js invece se è possibile eseguire una sequenza di istruzioni valida che provochi un errore nel processore e quindi un crash,  è altresì possibile creare una patch ai compilatori java/js per impedirne l’esecuzione sul hardware buggato (e quindi va a decadere la condizione iniziale di “con qualsiasi patch software”).

Comunque questa scoperta (che sia o meno applicabile in casi reali) è sicuramente preoccupante e insegna che ancora una volta la sicurezza non è mai troppa. Vedremo a fine ottobre, dopo il meeting, se ci saranno sorprese o se il tutto è solo cercarsi un po’ di pubblicità.


Google Ocert: un aiuto all’Opensource

7 maggio 2008

Google ha  lanciato un mese fa circa una nuova iniziativa chiamta Ocert (Opensource computer Emergency Response Team), in pratica un team di persone con l’incarico di scoprire e aiutare a correggere le falle di sicurezza che si presentano nei programmi opensource coordinando le comunicazioni fra gli sviluppatori dei vari progetti. Esiste già una cosa simile per tutti i maggiori progetti opensource ma cosa mancava (o non era abbastanza sviluppato) è una rete sicura di contatti fra i maggiori sviluppatori. Se il programma affetto da bug di sicurezza è molto diffuso o è utilizzato all’interno di altri progetti tipo la speex library di un advisory presente su OCert adesso, era  difficile avvisare tutti gli sviluppatori che utilizzano questi programmi (sempre per rimanere nell’esempio VLC, SLD, Xine-lib, Speex, Sweep, Vorbis tool) in modo rapido e capillare, bene con OCert dal momento della scoperta del bug alla correzione dello stesso e all’implementazione in tutti i programmi affetti sono passati solamente 7 giorni.

Ocert al momento ha 4 Advisory registrate. Se venite a conoscenza di incidenti o vulnerabilità è possibile segnalarle direttamente dal loro sito.

Una bella idea che dovrebbe semplificare la vita agli sviluppatori: brava Google.