Storia di una pezza molto poco furba e dell’azienda che l’ha creata

di |
logomacitynet696wide

Come un giovane ricercatore ha messo a nudo il re: la logica con la quale Microsoft realizza le patch per le vulnerabilità  dei suoi software. Secondo Cesar Cerrudo, giovane fondatore di Argeniss Information Security, dopo lo studio di come a Redmond abbiano reagito a un caso di segnalazione di una debolezza dello scorso aprile, il giudizio è uno solo. Microsoft sta sbagliando, e di grosso anche.

A Redmond non riescono proprio a farne una giusta, dice un esperto. In quest’epoca di vulnerabilità  e rischi di sicurezza, la principale risposta per dare sicurezza ai consumatori e alle imprese è nelle patch, cioè nella capacità  di un’azienda di reagire ai problemi scoperti nel suo software. Non si tratta più solo di un problema di sicurezza tecnologica, ma anche di affidabilità  e quindi di reputazione. In ultima analisi, un problema che riguarda tutti, visto il ruolo che l’azienda fondata da Bill Gates ha saputo ritagliarsi nel settore cruciale dell’Information technology.

Lo scorso 12 aprile è stato rilasciato il bollettino MS05-018 relativo a una patch mirata a colmare una vulnerabilità  scoperta nel CSRSS, cil Client/Server Runtime Server Subsystem, una compoente di Windows che funziona nella parte utente del sistema operativo e che può essere sfruttata per realizzare denial of service, cioè attacchi che sostanzialmente consistono nel saturare il carico del processore rendendo la macchina colpita incapace di rispondere a qualunque stimolo, persa in un loop da sovraccarico.

L’analisi di Cesar Cerrudo, fondatore e Ceo di Argeniss Information Security, che ha pubblicato in un paper tecnologico disponibile online (molto tecnico), è nata quasi per caso: dopo aver effettuato il reverse engineering del bug che la patch avrebbe dovuto coprire, per capire in quale modo fosse possibile creare un exploit, si è accorto di un altro bug di carattere logico. Vale a dire, del modo con il quale Microsoft realizza le sue patch.

In quale modo? Quello sbagliato. In sintesi, gli ingegneri di Redmond si preoccupano di “coprire” un percorso attraverso il quale il bug del sistema può essere sfruttato dai malintenzionati. Cioè, non lo eliminano, ma semplicemente lo rendono irraggiungibile sfruttando una determinata procedura. Ma il problema è che di procedure ce ne sono più d’una, e quindi la patch in realtà  lascia la porta aperta per altri tipi di attacchi a quella stessa debolezza che avrebbe dovuto mettere in sicurezza. Si tratta, insomma, di un palliativo, non di una vera e propria soluzione al problema di sicurezza.

Giungendo a queste conclusioni, Cerrudo non ha semplicemente aperto il vaso di Pandora (ma molto relativamente, dato che le debolezze di Windows vengono già  da tempo sfruttate nonostante le patch), quanto ha in pratica svelato qual è il criterio con il quale Microsoft risponde alle vulnerabilità , avanzando l’ipotesi che sia un sistema non adeguato e creando così una pericolosa interpretazione a disposizione del mercato, degli analisti e dei consumatori oltre che dei decisori aziendali. In altre parole, dei clienti e degli azionisti della casa fondata da Bill Gates trent’anni fa.

La patch di Microsoft è stata successivamente corretta proprio durante questo mese di ottobre, ma ha sollevato lo stesso alcune considerazioni sul meccanismo interno con il quale vengono realizzate le funzioni di sicurezza e le modalità  di coordinamento tra queste. Secondo Dana Epp, consulente di sicurezza informatica che studia da tempo il modello di Microsoft per aumentare la sicurezza, “Gli esseri umano sono fallibili. Anche quelli che lavorano a Microsoft. Sono loro, infatti, cioè il fattore umano, la parte debole nel processo di sicurezza”.