• Approfondimenti » Internet e Tecnologia - Approfondimenti

Secondo quanto riportano i ricercatori di sicurezza di Symantec, Windows Vista, l'atteso nuovo sistema operativo di Microsoft, potrebbe "ospitare" una serie di vulnerabilità che lo renderebbero meno sicuro addirittura dei sistemi Windows suoi predecessori.

Secondo lo studio pubblicato da Symantec una serie di componenti software di Vista, nello specifico alcuni protocolli relativi alle ridisegnate tecnologie di networking, potrebbero essere sfruttare come scappatoie di sicurezza se Microsoft non provvederà a correggere i problemi o non si assicurerà che il prodotto venga configurato appropriatamente per non esporre le falle, al momento del lancio di Vista (atteso per Gennaio 2007).

I ricercatori della società di Cupertino hanno scoperto tre differenti tipi di falle potenziali nel codice di Vista, tra cui alcuni problemi di stabilità che potrebbero causare il crash del sistema ai tentativi di attacco tramite file malformati creati per lo scopo. Altri problemi riguardano protocolli IP non documentati di cui non si conosce l'utilità e alcuni nuovi protocolli (LLTD, IPv6, Teredo, SMB2) profondamente integrati nel cosiddetto network stack del sistema operativo. L'azienda di sicurezza basa il suo report su alcuni test condotti su tre differenti versioni beta di Vista, e comunque ammette che Microsoft ha rimosso molte potenziali vulnerabilità in ciascuna delle successive beta release.

Nonostante i grandi sforzi di Microsoft nel ripulire il nuovo codice dai bug, in particolare grazie all'uso del suo processo SDL (Security Development Lifecycle), che richiede che tutto il codice sia esminato in cerca di potenziali problemi prima di essere integrato nel prodotto, secondo Oliver Friedrichs, director of emerging technologies del Symantec Security Response, riscrivere interamente un così vasto codebase senza introdurre bug è molto difficile. Friedrichs aggiunge che sono le imprese quelle a dover essere più interessate che Microsoft configuri Vista per proteggere nella maniera migliore i clienti da qualsiasi protocollo potenzialmente rischioso. Secondo Friedrichs finora Microsoft non è riuscita a risolvere questi problemi in maniera appropriata e questo significa che Vista potrebbe risultare meno sicuro addirittura di Windows XP, che ha richiesto il rilascio di una lunga di lista di patch di protezione. Microsoft non ha ancora commentato ufficialmente il report di Symantec. Secondo Symantec, tutti i produttori di software, inclusi i gruppi open-source e i provider di sicurezza, devono affrontare gli stessi problemi durante lo sviluppo dei loro prodotti, tuttavia l'incredibile portata del codice di Vista e la popolarità del prodotto accrescono enormemente il potenziale problema.

"Non c'è dubbio che Microsoft stia facendo progressi nel tentativo di rendere lo stack più robusto possibile eliminando numerose vulnerabilità, ma il nostro studio mostra che ogni volta che si tenta di riscrivere una componente chiave come il network stack, si devono affrontare una serie sfide dal punto di vista della sicurezza … la maggior parte dei problemi di stabilità e delle falle stanno già venendo corretti, ma ciò che preoccupa maggiormente saranno il deployment e la configurazione dei nuovi protocolli di rete; se lasciati scoperti, questi potranno consentire ai cybercriminali di bucare i firewall e di aprire i network agli attacchi". Per esempio, secondo Symantec una delle potenziali debolezze del nuovo sistema risiede nel lavoro fatto da Microsoft per includere in Vista il supporto di default per lo standard IPv6 (Internet Protocol Version 6). L'uso di Ipv6 in Windows per supportare le nuove applicazioni di file-sharing potrebbe dare vita ad attacchi di firewall tunneling ed altri tipi di minacce.

Friedrichs prevede che Microsoft correggerà gran parte dei problemi isolati nelle versioni beta di Vista, tuuttavia ritiene che ulteriori falle potrebbero venire introdotte ogni giorno durante il processo di sviluppo, in particolare se Microsoft tenterà di accelerare per rispettare le ultime scadenze di rilascio.