|
|
|
Agnitum analizza le ultime iniziative di Microsoft in tema di sicurezza
Gli esperti di sicurezza avvertono che l'introduzione da parte di Microsoft della Kernel Patch Protection causerà maggiori rischi ai software di sicurezza di terze parti che non agli hacker
26 Luglio 2006 - Dopo un'approfondita analisi delle nuove misure di sicurezza introdotte da Microsoft e note come "Kernel Patch Protection", gli esperti di sicurezza di Agnitum hanno annunciato oggi che tale tentativo di migliorare i livelli di difesa potrebbe invece rappresentare una mossa per bloccare su Windows l'uso di software di sicurezza di terze parti.
Gli esperti di Agnitum affermano che ciò causerà maggiori problemi ai produttori di software di sicurezza che non agli hacker.
Alcune delle scoperte principali di questa analisi:
- La Kernel Patch Protection di Microsoft impedisce agli sviluppatori di software di sicurezza di installare i loro programmi al livello del kernel, una condizione invece necessaria per proteggere il sistema dal malware.
- Quando sono in uso alcune versioni del kernel, la Kernel Patch Protection non impedisce agli hacker di effettuare un reverse engineering su specifiche aree del codice del sistema operativo per acquisire un accesso non autorizzato al kernel.
- Se si vuole far funzionare software di sicurezza prodotto da terze parti, gli sviluppatori dovranno effettuare un analogo reverse engineering per accedere al kernel del sistema operativo, un processo che renderà comunque più complesse le attività di installazione e di mantenimento dei prodotti destinati a migliorare la sicurezza di Windows e a proteggere i dati dei suoi utilizzatori.
"In quanto produttori di Outpost Firewall Pro, ci troviamo nella condizione di dover effettuare l'installazione al livello del kernel," afferma Alexey Belkin, Chief Software Architect presso Agnitum. "Mentre cercavamo di risolvere il potenziale problema di non poter installare Outpost sulle nuove versioni di Windows, abbiamo scoperto che è possibile aggirare le nuove misure di sicurezza introdotte da Microsoft: è sufficiente adottare le stesse tecniche che usano gli hacker. Si tratta di una falla completamente aperta. E se l'abbiamo scoperta noi, anche gli hacker la troveranno, e useranno sicuramente questa vulnerabilità per installare software dannoso.”
La Kernel Patch Protection dovrebbe fornire una migliore protezione per le attività di sistema a basso livello, come le operazioni sui file e sul registro effettuate dal kernel di Windows; in pratica le azioni al livello più basso del sistema operativo (http://www.microsoft.com/whdc/driver/kernel/64bitpatch_FAQ.mspx). Qualsiasi programma che riuscisse ad accedere al kernel potrebbe, ad esempio, nascondere nell'hard disk una cartella che sarebbe poi impossibile cancellare usando le normali utilities di Windows. Tuttavia l'accesso al kernel non viene usato solo dal malware con lo scopo di mascherarsi e carpire informazioni in maniera nascosta, ma anche dai software di sicurezza al fine di fornire un'adeguata protezione al PC.
Costringere gli sviluppatori indipendenti a seguire lo stesso percorso che seguirebbero gli hacker non fa altro che dare un indubbio vantaggio a questi ultimi, poiché essi non sono costretti a condurre molteplici test di compatibilità e i controlli di qualità richiesti invece ai normali sviluppatori di software.
L'analisi completa è disponibile in inglese presso il sito internazionale di Agnitum:
http://www.agnitum.com/r/kernel/patching/
"Microsoft ha compiuto questa mossa nel tentativo di proteggere Windows dai rootkit," ha affermato Mikhail Penkovsky, vice-presidente alle vendite e al marketing di Agnitum.
"Sfortunatamente, essa non risolve davvero il problema, e oltretutto rende molto più difficile per gli sviluppatori indipendenti riuscire a realizzare programmi totalmente compatibili con Windows. Nessuno sa se Microsoft fosse al corrente di questo problema, ma ci riesce difficile non sospettare che tale azione possa essere stata progettata per costringere gli utenti ad avvalersi, per la sicurezza dei loro sistemi Windows, solo di software targato Microsoft. Se l'esperienza passata ci ha insegnato qualcosa è che le soluzioni di sicurezza sviluppate da terze parti sarebbero presumibilmente più solide e fornirebbero una maggiore protezione agli utenti che, se questa condizione dovesse protrarsi, pagheranno il costo più alto.”
Nelle versioni di Windows a 64 bit e nell'imminente Windows Vista la Kernel Patch Protection isolerà il kernel anche da modifiche del tutto legittime. Questo significa che nessun produttore terzo sarà in grado di installare software di sicurezza che facciano uso di funzioni del kernel contando su un approccio lecito, mentre gli hacker resteranno liberi di fare un reverse engineering e infiltrare rookit usando approcci meno leciti e convenzionali.
"Il problema è che questi approcci non-convenzionali funzioneranno solo con specifiche versioni del kernel di Windows," ha spiegato Penkovsky. "Qualora gli sviluppatori indipendenti fossero costretti a usare tali metodi, dopo ogni importante aggiornamento del sistema operativo essi saranno obbligati ad apportare modifiche al funzionamento dei loro programmi. Ciò si tramuterà ben presto in un incubo per le software house che sviluppano alla luce del sole, ma non rappresenterà un problema per gli hacker, che non si sono certo impegnati a mantenere una compatibilità al 100%. Senza contare poi che gli aggiornamenti ai codici malware saranno più facili da apportare rispetto agli update dei software di sicurezza.”
Informazioni su Agnitum
Fondata nel 1999, Agnitum Ltd. (www.agnitum.it) è impegnata a realizzare software di sicurezza di alta qualità e facile da usare. L'azienda ha rilasciato i prodotti Outpost Firewall Pro, per la protezione dei computer personali e delle piccole reti domestiche, e Outpost Network Security, che assicura una protezione affidabile degli endpoint per le reti delle PMI. La tecnologia firewall di Agnitum viene utilizzata in licenza da Novell, Sophos e Lavasoft.
Informazioni su Future Time
Future Time S.r.l., distributore esclusivo di Outpost Firewall per l'Italia, è un'azienda con sede a Roma. Fondata nel 2001, Future Time S.r.l. nasce dalla sinergia di due aziende attive da molti anni nel campo della sicurezza informatica e in quella antivirus in particolare. Paolo Monti, technical manager di Future Time S.r.l, si occupa di virus informatici fin dal 1988, è analista di Oasi Servizi per il network di sicurezza SecurityNet e i suoi programmi, analisi e articoli sulla sicurezza sono stati pubblicati molte volte su vari siti Internet e su riviste specializzate nel settore.
Paolo Monti e Future Time S.r.l sono membri della WildList Organization International (www.wildlist.org), organizzazione no profit a livello mondiale composta da esperti e aziende antivirus che hanno il compito di riportare mensilmente tipologia e numero dei virus diffusi in un dato Paese.
|
|
 |
|  | Contatti |
|
Distributore italiano
Future Time S.r.l.
Viale Luca Gaurico 257
00143 Roma
Tel: 06-5031712 (linee r.a.)
Contatti con la stampa:
press @ futuretime.eu
|
|
|
|
|
|
|
