www.MegaLab.it

Le parti si sono invertite, e ora a sparare ad alzo zero contro la sicurezza di Windows Vista non è più Symantec bensì la società di sicurezza russa Kaspersky Lab. Motivi del contendere ancora le tecnologie UAC e lo scudo dei kernel x64 PatchGuard, due delle più sbandierate feature protettive di uno dei sistemi operativi Microsoft più criticati e discussi di sempre.

Kasperksy, che è tra l'altro apprezzato partner commerciale di Microsoft stessa, arriva a definire lo User Account Control un'irritazione e null'altro: il pop-up di avviso che compare prima dell'esecuzione di qualunque azione potenzialmente pericolosa sul sistema, ben noto a chi ha già installato Vista, genera un fastidio talmente profondo da spingere la maggior parte degli utenti a disabilitarlo, sostiene la società.

Una critica che mi sento di appoggiare in pieno: una delle prime cose che ho fatto una volta installato Vista è stata proprio disabilitare il querulo avviso di danno potenziale, che compariva all'apertura del Pannello di Controllo così come durante la semplice copia di alcuni file dal disco locale a quello esterno su USB.

Fastidioso e sostanzialmente inutile: Kaspersky, che descrive Vista senza UAC come un sistema "meno sicuro di Windows XP SP2", dice di aver individuato ben 4 diverse modalità attraverso le quali virus e affini possono disattivare i controlli dell'UAC senza allarmare l'ignaro utente.

E la qual cosa non fa che confermare l'idea che mi sono fatto dopo aver ascoltato la puntata n.83 di Security Now!, il podcast di Leo Laporte con ospite fisso l'esperto di sicurezza Steve Gibson: un malware che si camuffi da programma di installazione chiamato Setup.exe, per dirne una, potrebbe tranquillamente ingannare l'utente sulle sue reali intenzioni e bypassare la difesa dell'UAC.

Viene poi ancora chiamata alla sbarra PatchGuard, la protezione del kernel di Vista nelle versioni a 64 bit: già aspramente criticato da Symantec per l'impossibilità dei software di sicurezza di terze parti di "mettere mano" al cuore del sistema sulle suddette piattaforme, la tecnologia diventa bersaglio anche di Kaspersky, che come Symantec ne denuncia le implicazioni sull'intero settore dei programmi specializzati in security e affini.

PatchGuard impedirebbe tra le altre cose di identificare VBootkit, un "Windows Vista Bootkit" appena presentato BlackHat conference e di cui Kaspersky da notizia sul suo weblog: VBootkit è un malware di nuova concezione, in grado di compromettere il sistema nelle fasi di avvio della macchina. Se su di essa fosse presente Vista a 64 bit, PatchGuard impedirebbe ai software di sicurezza di accorgersi della minaccia, sostiene la società moscovita.

Cosa piuttosto interessante da riportare è poi il fatto che VBootkit usi un meccanismo che si credeva estinto per infettare il PC e nascondere la propria presenza, ovvero catturare e dirottare le chiamate all'Interrupt 13 del BIOS utilizzato per la lettura/scrittura a basso livello dei dischi fissi. Lo stesso metodo utilizzato, fa notare Kaspersky, da quello che viene comunemente identificato come il primo vero computer virus mai identificato, il famigerato Brain scritto nel 1986 dai fratelli pakistani Basit e Amjad Farooq Alvi.

Tutto cambia affinché nulla cambi dunque, e ora ci si mette anche Microsoft realizzando meccanismi di sicurezza potenzialmente in grado di fare più danni che altro: la fantomatica sicurezza superiore di Windows Vista è oramai storia, com'è possibile rendersi conto dall'exploit zero-day appena scoperto nei cursori animati e già ampiamente adoperato dai virus writer per creare malware come Exploit: W32/Ani.C, Trojan-Downloader: W32/Tiny.GG e Trojan-Downloader: W32/Small.EKV.

Se c'è una nota positiva da spendere nei confronti di Redmond questa viene, stranamente considerando le aspre critiche su Vista lanciate negli ultimi tempi, proprio da Symantec: secondo lo studio Internet Security Threat Report appena pubblicato, che analizza i trend delle falle di sicurezza e relative pezze per Windows, Red Hat Linux e Mac OS X nel periodo luglio-dicembre 2006, il sistema più attivo sul fronte riparazioni è proprio Windows.

Quest'ultimo si conferma il bersaglio privilegiato dei malware writer, costantemente esposto a rischi e vulnerabilità gravi alla sicurezza di dati e sistema (12 per Windows, 2 per R.H. Linux e 1 per Mac OS X). Pur tuttavia, il tempo di risposta medio è superiore sugli SO Microsoft (21 giorni) che sulla distro Linux di Red Hat (58 giorni) e su Mac OS X (66 giorni).