Archivio » 2004 » luglio » lunedì 5 »

Il Cert punta l’indice contro Explorer e le sue falle

Scritto da Tommaso Pericle

L’organismo governativo statunitense, paragonabile a una sorta di Cia dell’informatica, critica duramente l’ennesimo buco nelle difese del sistema. In più, chiarisce che evitare un mucchio di grattacapi è possibile. Basta… cambiare browser

Basta con Internet Explorer, non è sicuro, cambiate browser.
Stavolta a dirlo non è il solito romanticone innamorato dell’open source. È il Governo degli Stati Uniti, attraverso il Computer emergency readiness team (Cert), una specie di cyber-Cia che ha la responsabilità di garantire la sicurezza delle reti informatiche degli Stati Uniti contro gli attacchi elettronici.

Sicurezza e antivirus

» Aiuto! proteggete il mio computer

L’agenzia ha davvero perso la pazienza, per arrivare a dare un consiglio così drastico, e punta il dito su quattro problemi irrisolti del browser più diffuso al mondo: “Ci sono molte gravi vulnerabilità nelle tecnologie relative al modello di sicurezza domain/zone, al Dhtml, alla determinazione dei tipi Mime e Activex” afferma il Cert. Poco dopo, la stoccata: “È possibile ridurre l’esposizione a queste vulnerabilità usando un browser Web diverso, specialmente quando si visitano siti potenzialmente non sicuri”.
Parole pesantissime, che suonano come una condanna senza appello alla tecnologia Microsoft, immediatamente seguite da un’ulteriore notazione: altri programmi possono lanciare Ie, i controlli AcxtiveX o il motore di rendering Html”. Attenzione all’insospettabile (o quasi) untore, dunque.

Spam, antispam e dintorni

» Tutti gli articoli

Il buco c’è e si sente
L’ira del Cert è stata scatenata dall’ennesimo problema di Explorer, un buco che sembrava essere già stato chiuso ma che invece è tornato a farsi vedere ed è potenzialmente devastante: il browser non riesce a garantire la sicurezza nel caso in cui il contenuto di un frame residente su un sito considerato sicuro in realtà provenga da un altro server Web che sicuro non è per nulla. Anzi, è nelle mani di un hacker che attraverso tecniche piuttosto sofisticate, può inserire nel frame un programma che viene di conseguenza caricato nella cache del Pc.
Normalmente un codice in arrivo da un sito non certificato come affidabile non verrebbe eseguito, ma grazie al fatto che Explorer ha certificato tutto il sito come sicuro, frame maligno compreso, l’hacker può lanciare il programma e catturare il Pc del navigatore o comunque farne ciò che vuole.
Si tratta esattamente dello stesso buco di sicurezza sfruttato dagli hacker russi di Hang Up con l’epidemia Download.ject con cui hanno allegramente rubato numeri di carte di credito e login di accesso a siti web. Microsoft paga dunque un pesante scotto alla complessità del suo browser, diventato difficilissimo da gestire e da mantenere. Quando il Cert suggerisce di buttarlo via e passare ad altri programmi implicitamente riconosce la validità dell’assunto “less is more” (meno è più) che ha guidato lo sviluppo di Opera, Mozilla o Firefox, che puntano sulla leggerezza e la semplicità.
Il che si traduce anche in una maggior prontezza nello scrivere le patch quando salta fuori qualche problema; tutto il contrario di quello che succede in casa Microsoft, dove nel recente passato ci sono voluti anche dieci mesi per rilasciare un aggiornamento critico.