Alcuni pensieri su Windows Vista

Pur non essendo una cosa di cui potersi vantare - vista la rapiditá con cui molte versioni sono finite nei noti canali di file sharing - da alcuni giorni ho finalmente sottomano la versione finale di Windows Vista, in lingua italiana, edizione Business N (N forse sta per “Noi europei non vogliamo Media Player”? :) ).

Di novitá ce ne sono sicuramente, ma vorrei focalizzarmi maggiormente sulle tecnologie di sicurezza introdotte, aspetto che mi incuriosisce piú del resto. E, d’altronde, qualche giorno fa ho parlato dei problemi degli account limitati in Windows XP e qualcuno mi ha chiesto riguardo Windows Vista.

Sono fondamentalmente tre le parole chiavi che ci interessano e che “guidano” la rivoluzione portata avanti da Vista: UAC, MIC, PatchGuard.

Partiamo da UAC (User Access Control).

Il piú grande problema delle versioni di Windows basate su kernel NT e antecedenti a Vista é sempre stato l’utilizzo di default di un account amministratore. Finita l’installazione del sistema operativo, l’utente si ritrovava con tutti i privilegi a propria disposizione. Ció significa ovviamente che qualunque malware venga lanciato da questo account ha pressocché accesso completo alla macchina. Senza troppi giri di parole, la situazione che viviamo da sempre su circa il 90% dei pc in ambito casalingo.

Finita l’installazione di Windows Vista, abbiamo anche qui un account di amministratore locale, ma ben controllato da un meccanismo denominato Admin Approval Mode. Ció significa che l’account amministratore non ha tutti i privilegi, ma solo quelli basilari. In caso qualche applicazione lanciata necessiti di avere i privilegi di amministratore, una messagebox compare sul desktop chiedendo l’autorizzazione ad effettuare possibili azioni nocive al sistema. Messagebox che richiede anche la password di amministratore se l’account usato non é quello di amministratore locale ma utente standard.

Anche quando compare la richiesta di privilegi vediamo una nuova tecnologia di sicurezza denominata Secure Desktop: il desktop diventa scuro e in primo piano viene evidenziata solo la messagebox con la richiesta. Questa tecnologia é fatta in modo tale che solo processi di sistema possano interagire con il Secure Desktop, evitando possibili manomissioni di eventuali malware.

La seconda caratteristica interessante é il MIC (Mandatory Integrity Control). Grazie a questa nuova tecnologia tutti i processi attivi nel sistema vengono associati ad un indice di integritá, utilizzato per isolare i processi possibilmente nocivi da quelli di sistema. Tutti i processi eseguiti dall’utente vengono marcati con indice di integritá MEDIUM, mentre quelli di sistema vengono marcati come SYSTEM o HIGH. I processi con indice inferiore non possono ovviamente andare a modificare i processi con indice superiore.
Internet Explorer 7, di tutti i processi che di default prendono il valore MEDIUM, é l’unico che viene “degradato” per motivi di sicurezza a livello LOW. Facendo cosí si tenta di prevenire eventuali exploit che possano sfruttare bug di Internet Explorer per provocare danni. Idea interessante, sebbene appena si installa un browser alternativo quale Firefox, questi viene considerato con livello di integritá MEDIUM.

Infine PatchGuard, la tecnologia che tanto ha fatto discutere durante questo periodo di attesa per Vista. Una tecnologia che blinda il kernel di Windows, non abilitando nessun driver non firmato da Microsoft a interagire con esso. Kernel-mode rootkit teoricamente tagliati fuori dunque (insieme a numerosi driver di terze parti che non sono riconosciuti da Vista, ma vabbe…questo é un altro discorso). Se tralasciamo il fatto che giá sono presenti documenti su come alterare questa protezione e che quindi eventuali malware hanno teoricamente strada spianata, notiamo che solo la versione a 64bit utilizza questa tecnologia. Mi sono chiesto - fino a quando non sono riuscito ad avere questa versione di Vista - cosa proteggesse il kernel della versione a 32bit di Vista. Ora ho la risposta: niente. Compare solo un avviso dell’UAC che avverte dell’installazione di un driver non conosciuto.

Inoltre, un’altra interessante caratteristica é che tutti i file scaricati da Internet assumono di default livello di integritá MEDIUM, ció significa che possono modificare tutti i processi settati su MEDIUM. Ho realizzato questo video, magari si vede un pó male e me ne scuso (l’ho fatto ieri notte), peró dovrebbe rendere piú o meno l’idea.

Come in Windows XP con account limitato, anche qui é possibile settare un hook globale su tutti i processi di cui si é owner e di quelli con livello di integritá pari o inferiore. Differentemente i programmi con livello LOW non possono teoricamente settare hook utilizzando l’API SetWindowsHookEx. Considerando peró che i programmi scaricati da internet assumono immediatamente livello medium, l’eventuale problema é tutt’altro che risolto.

Inoltre, sebbene possano modificare i processi, i programmi con livello di integritá MEDIUM non possono modificare o scrivere in directory di sistema o avere accesso al registro. Quindi come possono partire all’avvio eventuali malware? Una modalitá é giá chiara, non la scrivo perché se tante volte qualche malware writer non c’avesse pensato evito di dare idee, ma é veramente banale. Altre arriveranno con il tempo, sicuramente.

Insomma, con Windows Vista non c’é piú bisogno di software di sicurezza? Parlando con alcuni amici di societá di antivirus si é arrivati alla conclusione che, con molta probabilitá, in meno di un anno Vista avrá piú o meno gli stessi problemi di Windows XP.

Chiudo citando parte di un’intervista “rubata” (si é finto un pirata informatico per strappare questa intervista) da Linus Larsson, giornalista svedese, a Corpse, autore del noto rootkit Haxdoor.

CS: By the way, will it also infect Vista? And how about older versions of Windows?

“Corpse”: All versions are supported - Windows 98 (4/10/1998) and later.

CS: Including Vista?

“Corpse”: Yes.

Scritto il 26 Gennaio 2007


17 Responses to “Alcuni pensieri su Windows Vista”


  1. m4v3rick
    Gennaio 26th, 2007 at 21:24

    Prima o poi tutti passeremo a Vista specialmente quando l’hardware necessario per farlo girare costera’ meno.E’ sempre stato così per tutte le versioni di windows.La sicurezza è un optional ma lo useremo lo stesso


  2. Piero
    Gennaio 26th, 2007 at 21:57

    @m4v3rick: Non posso evitare la battuta scontata: “Parla per te” ;-)

    Poi chiaramente nell’ambito consumer e aziendale ci si arrivera`..
    Per quanto mi riguarda, in ambito aziendale con XP Professional ho atteso l’uscita del secondo service pack; quindi penso che mi dedicherò a Vista verso il 2010 :-)


  3. m4v3rick
    Gennaio 26th, 2007 at 22:21

    Sfondi una porta aperta. :-)


  4. Luca Vasini
    Gennaio 26th, 2007 at 22:58

    Marco l’ho avuto prima di te..
    prrrrrrr


  5. Sbronzo di Riace
    Gennaio 27th, 2007 at 17:32

    C’è posta per te. Una collezione di librerie (dll) infette. Se non ti è arrivata la puoi scaricare da qui:

    Alcune sono inserite nel database di Prevx ma senza una descrizione sulla tipologia di malware.


  6. Marco
    Gennaio 27th, 2007 at 17:50

    Ciao!

    Sì, probabilmente mi era arrivata ma si è persa tra le e-mail varie :D sorry :P Tra poco provvedo :)

    Grazie mille :)


  7. Fabrizio Alberti
    Gennaio 27th, 2007 at 18:46

    Come al solito è un piacere leggere da esperti queste “recensioni”. Come ho avuto modo di provare in ufficio, vista non mi è parso decisamente più robusto di XP, anzi tutt’altro.

    Devo dire che XP SP2 se hai una buona macchina, tanto da poter disabilitare l’uso del paging, è un buon sistema.

    Pero’ purtroppo occorre ed occorrerà sempre più interagire con policy di sicurezza e utente per fare una buona configurazione di sicurezza.

    Le software restriction policies sono rimaste, anche queste sono un valido aiuto per evitare spiacevoli “nemici” nel proprio computer.

    @Marco, che ne pensi del “nuovo” firewall? A me pare na ciofeca quanto il precedente.


  8. luca
    Gennaio 28th, 2007 at 16:21

    la conclusione la trovo veramente stupida, e chiaramente di parte, dato che Marco lavora per una software house che vende antivirus o tecnologie di sicurezza


  9. Fabrizio Alberti
    Gennaio 29th, 2007 at 10:37

    Ma ci sono anche da questa parte i troll? Ma che palletico..


  10. Clausio
    Gennaio 29th, 2007 at 11:02

    Fabrizio Alberti ha scritto:
    >”Come ho avuto modo di provare in ufficio, vista >non mi è parso decisamente più robusto di XP, >anzi tutt’altro.” dimostra la tua più totale >IGNORANZA!

    come si fa a dire cretinate simili come questa che hai scritto tu?


  11. Fabrizio Alberti
    Gennaio 29th, 2007 at 11:29

    Caro Clausio o come diavolo ti chiami, io prima di parlare a vanvera le cose le provo, e per i miei standard di sicurezza, non mi è parso per nulla migliore il firewall di Vista, rispetto a quello di un XP SP2.

    Ho trovato utile la possibilità di impostare le regole sul dominio AD per replicarle ai PC, ma non lo trovo robusto come dovrebbe essere.

    Molti altri programmi a pagamento sono decisamente migliori, mi viene in mente ad esempio outpost, oppure lo Zone Alarm, oppure altri integrati in suite di sicurezza di sistema.

    Insomma hai voglia ad aspettare che windows diventi intrinsecamente sicuro. Forse i miei bis bis nipoti, vedranno windows “sicuro”.

    Io ritengo sicuri intrinsecamente, sistemi basati su *nix (Linux-AIX-Solaris-Unix), sistemi i5, ma non posso riternerlo un sistema windows, che se percaso lo metto su internet, in pochi attimi sono già che zombizzato in pochi minuti.

    I miei standard di sicurezza sono diversi.


  12. Clausio
    Gennaio 29th, 2007 at 11:56

    Caro Fabrizio Alberti quanta ignoranza nelle tue parole…


  13. Fabrizio Alberti
    Gennaio 29th, 2007 at 12:19

    E da quale pulpito arriverebbe la “predica” ?!? No tanto per sapere un po’ con chi parlo e perchè mi viene dato dell’ignorante, e tanto per contravvenire al detto “don’t feed the troll”.. Grazie..


  14. TNT
    Gennaio 29th, 2007 at 15:25

    ROTFL… ma da dove salta fuori questo? :D


  15. Fabrizio Alberti
    Gennaio 29th, 2007 at 15:38

    Penso dall’uovo di pasqua andato a male dello scorso anno.. Forse ha ragione il mio capo, parlo troppo difficile..


  16. PC Al Sicuro » Archivio » Alcuni pensieri su Windows Vista - parte seconda
    Febbraio 12th, 2007 at 21:30

    […] Avevo già scritto in questo post di come in realtà le parole di Microsoft non fossero poi così vere e che un software di sicurezza sarebbe comunque necessario anche nel nuovo sistema operativo. […]


  17. PC Al Sicuro » Blog Archive » L’SSDT hooking sta diventando obsoleto?
    Luglio 9th, 2007 at 15:37

    […] Concludo con un semplice video che vorrebbe nuovamente replicare a tutte le persone che chiedono se Windows Vista sia vulnerabile ai rootkit. Ne avevo già parlato QUI e QUI, riprendo a distanza di tempo l’argomento. […]

Lascia un commento

« Ennesima variante Rootkit.DialCall
Next: Qualcuno conosce antivirus umani? »