Scoperta una grave falla in Windows Vista, ma per Microsoft è una scelta di design!
15 feb2007
Joanna Rutkowska è una hacker che si è data molto da fare nello scoprire i bachi di sicurezza di Windows Vista.
Nonostante questo è rimasta per lungo tempo una sostenitrice del modello di sicurezza proposta da Microsoft con il suo nuovo sistema operativo, questo finché non ha scoperto una grave vulnerabilità nello User Account Control (UAC) di Vista, che ha così descritto nel suo blog:
"Quando provate ad avviare un programma, vi si presenterà il prompt dell'UAC e avrete solo due scelte: dare il consenso ed avviare l'applicazione con privilegi amministrativi o bloccare l'applicazione ed impedirne totalmente l'avvio. Questo significa che se avete scaricato una versione freeware di Tetris, dovrete avviare il suo installer come amministratore, dandogli non solo 'accesso all'intero file system e al registro di sistema, ma permettendogli anche di caricare driver a livello kernel! Perchè l'installer del Tetris dovrebbe avere il permesso di caricare driver a livello kernel?".
In che modo Vista riconosce gli installer eseguibili? Utilizzando un database di compatibilità ed una serie di metodi euristici. Esempio: Se il nome del file contiene la stringa "setup" (Davvero, non dico fesserie!). Alla fine guarda nel manifesto dell'eseguibile, e buona parte dei moderni installer dovrebbero avere questo manifesto integrato al loro interno, il che dovrebbe indicare che l'eseguibile deve essere avviato in modalità amministratore.
Trovate l'intero post sul blog della Rutkowska: Invisiblethings.
Ma ciò che ha fatto arrabbiare Rutkowska è stata la risposta di Microsoft, che l'ha spinta a scrivere un post dal titolo inequivocabile: " Vista Security Model – A Big Joke?.
Questo è la risposta fornita alla Rutkowska da Mark Russinovich (un impiegato Microsoft):
"Dovrebbe essere chiaro, che né l'UAC elevation ne il Protected Mode di IE definiscono nuove barriere di sicurezza per Windows. Microsoft ha comunicato questo ma voglio essere sicuro che questo punto sia chiaramente compreso. Tra l'altro, come puntualizzato da Jim Allchin nel suo blog post: "Funzionalità di sicurezza VS Convenienza", Vista alterna sicurezza e convenienza, e sia UAC che Protected Mode IE hanno scelte di design che costringono a lasciare aperti alcuni percorsi nel muro dell'IL per questioni di compatibilità e facilità di utilizzo".
Il tizio in questione ha anche aggiunto che, secondo lui, siccome la vulnerabilità nel UAC è stata una scelta di design voluta da Microsoft, al fine di aumentare la facilità di utilizzo e la compatibilità del sistema, questo problema con l'UAC non può essere considerato un bug di sicurezza!
Joanna Rutkowska, ovviamente è, come me d'altronde, rimasta allibita per le parole di Microsoft, ed ha concluso così il suo post (che potete leggere integralmente qui):
Quindi, dirò questo: Se Microsoft non cambierà la sua attitudine al più presto, allora tra qualche mese la sicurezza di Vista (dal tipico punto di vista di un malware) sarà uguale a quella degli attuali sistemi XP (il che significa, non molto impressionante).
Vota questa notizia su Ok notizie
Leggi anche:
- Microsoft evangelist accusa: le infezioni su Windows Vista sono causate da voi utenti
- Firefox 3 beta 5 su Ubuntu 8.04, una scelta discutibile
- Scoperta nuova vulnerabilità in Windows in grado di killare il tuo firewall
- Una class action contro Vista ed il bollino ''Vista Capable''. Dalle e-mail emergono dettagli clamorosi.
- Microsoft avvisa gli utenti di Vista: l'aggiornamento al Service Pack 1 potrebbe rendere alcuni software inutilizzabili
(PS. Che ne dici di dare un voto all'articolo?)
Loading ...- Blu-ray ed HD-DVD craccati per la seconda volta
- Blu-ray ed HD-DVD craccati per la seconda volta
- Diritti d'autore creativi: videoblog sulla proprietà intellettuale (puntata 5)
- Non avete una connessione a banda larga? Sappiate che è tutta colpa del Titanic
- Non avete una connessione a banda larga? Sappiate che è tutta colpa del titanic II
Articoli correlati
Warning: Cannot use a scalar value as an array in /home/doxaliber/webapps/doxaliber/wp-content/plugins/yet-another-related-posts-plugin/related-functions.php on line 43
Leggi anche:
Articolo scritto da Doxaliber per Doxaliber, vuoi partecipare anche tu?
Se questo articolo ti è piaciuto aiutami a diffonderlo.
Segnalalo sul tuo blog, invialo agli amici, segnalalo sugli aggregatori di news.
Se vuoi seguire Doxaliber con maggiore tranquillità iscriviti ai feed, trovi i link in alto a destra.
Intanto questo blog ha già:
senza contare i lettori dei feed per categorie e gli abbonati alla newsletter!
9 Risposte to “Scoperta una grave falla in Windows Vista, ma per Microsoft è una scelta di design!”
Rispondi
Doxaliber, blog di Salvatore Ingrosso, è distribuito con licenza Creative Commons. - Collegati -
Questo blog usa wordpress | Tema Evidens [White] realizzato da Design Disease per PremiumThemes.com, modificato, riadattato e tradotto da Doxaliber
non capisco quale sia il problema
se apt-getti merda lo fai da root e fai quello che ti pare
non vedo quale sia il problema se installi roba e' ovvio che sei root a meno che non la stai installando solo x il tuo utente nella tua home cosa che gli installer non fanno (e neanche i deb/rpm a dire il vero)
quindi ok vista fa schifo ma per altri motivi non per questo
Ti piace questo commento?
0 
0
Linux ha un'architettura completamente diversa da Windows, non è il caso di fare paragoni. Tra l'altro gli applicativi che scarichi con apt-get provengono da un repository centralizzato... semmai bisogna usare dpkg -i ed installare file binari provenienti da fonti sconosciute.
Comunque, per spiegare meglio, ora è tardi e non ho voglia di tradurre, sempre dal blog di Rutkowska:
To get around this problem, e.g. on XP, I would normally just add appropriate permissions to my normal (restricted) user account, in such a way that this account would be ale to add new directories under C:\Program Files and to add new keys under HKLM\Software (in most cases this is just enough), but still would not be able to modify any global files nor registry keys nor, heaven forbid, to load drivers. More paranoid people could chose to create a separate account, called e.g. installer and use it to install most of the applications. Of course, the real life is not that beautiful and you sometimes need to play a bit with regmon to tweak the permissions, but, in general it works for majority of applications and I have been successfully using this approach for years now on my XP box.
That approach would not work on Vista, because every time Vista detects that an executable is a setup program (and believe me Vista is really good at doing this), it will only allow running it as administrator… Even though it’s possible to disable heuristics-based installer detection via local policy settings – see picture below:
that doesn’t seem to work for those installer executables which have embedded manifest saying that they should be run as administrator.
I see the above limitation as a very severe hole in the design of UAC. After all, I would like to be offered a choice whether to fully trust given installer executable (and run it as full administrator) or just allow it to add a folder in C:\Program Files and some keys under HKLM\Software and do nothing more. I could do that under XP, but apparently I can’t under Vista, which is a bit disturbing (unless I’m missing some secret option to change that behavior).
Poi, ripeto la domanda della Rutkowska:
Perchè l’installer del Tetris dovrebbe avere il permesso di caricare driver a livello kernel?
Ti piace questo commento?
0 
0
@marco:
a parte la risposta di doxa estremamente corretta, aggiungerei che il normale utilizzo di linux non andrebbe fatto da root, tantomeno l'installazione di applicazioni di cui non ti senti sicuro (purtroppo i newb non se ne curano). Se devi installare un giochino online (il cui client puo avere vulnerabilita' facilmente trovabili), o compilare qualche programma-fai-da-te di sconosciuti, lo fai nella home dell'utente del desktop!
E' a questo uso dei privilegi malsano, ora inevitabile in Vista, che Rutkowska inveisce.
E lo chiamano "design"...
Ti piace questo commento?
0 
0
cit di zippone :lo fai nella home dell’utente del desktop
frase senza senso
Ti piace questo commento?
0 
0
Forse intendeva dire che i "binari" vengono "eseguiti" dall'utente e non da root.
In ogni caso di sicuro non si può prendere un virus con la compilazione di un programma sorgente, la compilazione non esegue il programma, crea soltanto l'eseguibile.
In ogni caso, ripeto, stiamo confrontando due architetture completamente diverse, non ha molto senso.
Io non ho ancora visto l'UAC in azione, ancora nessuno mi ha chiesto di installare Vista e quindi non l'ho provato, ma da quanto mi è parso di capire leggendo le specifiche non chiede mai la password di ammnistratore, prendiamo ad esempio questa schermata, che mi lascia molto perplesso:
Vedi immagine
Sembra che non sia richiesta alcuna password di root, basta dare l'ok ed il programma si avvia... il solito continua-->continua-->continua tipico degli installer windows...
Un sistema così progettato è per forza di cose insicuro, se qualsiasi utente può avviare eseguibili con permessi di amministrazione semplicemente cliccando su un bottone...
Ti piace questo commento?
0 
0
@marco
>se apt-getti merda lo fai da root e fai quello che ti pare
c'e' una grossa differenza tra apt/dpkg/rpm e gli installer di windows: i primi sono software di sistema che estraggono file da archivi e copiano i file nelle cartelle opportune, i secondi sono software esterni che hanno accesso all'intero sistema.
e' vero che in ambito domestico questa differenza e' marginale perche' sputtanato l'unico utente importa poco di salvare il sistema ma con la tipica distribuzione centralizzata bisogna un po' andarsela a cercare o avere la rogna di aggiornare da un repository bucato (capita ma e' piuttosto raro)
Ti piace questo commento?
0 
0
uhm no la mia frase non era chiara:
oltre ad usare normalmente il pc da utente senza privilegi, il software di terze parti non affidabile e' compilabile (o installabile) nella home dir dell'utente citato. Non tutto deve per forza passare per apt.
Esempio?
Io gioco a tremulous (fps basato sul motore 3d di quake3).
Potevo scegliere se installarlo (ora non parlo di compilazione) come root in /usr/local/games e renderlo disponibile a tutti gli utenti del sistema, ma nel remoto caso in cui il gioco contenesse malware gli "davo il permesso di caricare driver a livello kernel" -citando la Rutkowska- , oppure di installarlo da utente non privilegiato in /home/pippo/tremulous.
Questo e' quello che intendevo.
NB ah non uso un linux debian-based, apt non ce l'ho comunque su slackware
Ti piace questo commento?
0 
0
Effettivamente mi ero accorto anche io di questo problema con la beta 2 di vista in quanto un mio cliente tentando di installare un software di cui non ricordo il nome (ma che su xp rendeva il sistema simile a mac osx), aveva sputtanato mezzo sistema, ma li per li avevo sottovalutato la cosa.
In pratica davvero non cambia nulla rispetto a xp, per un utente domestico è solo un "allow" in più rispetto al classico avanti, avanti, fine.
Ma concordo nel dire che non è questo che rende Vista problematico.
Ti piace questo commento?
0 
0
Giusto per la cronaca, anche se nessuno leggerà sto commento, potreste leggere anche le dichiaraizoni successive della tizia in seguito alla risposta di un tizio che non è esattamente l'ultimo arrivato.
Ti piace questo commento?
0 
0