| Sistema Operativo e Software Installati: l'importanza di applicare patch ed aggiornamenti | ||||
|
||||
| Se un tempo uno dei consigli più efficaci consisteva nel suggerire di evitare l’apertura di allegati sospetti, provenienti da mittenti sconosciuti, oggi tale comportamento non è più sufficiente. I virus worm sono infatti sempre più "intelligenti": per eseguirsi in modo automatico, senza l’intervento dell’utente (il classico "doppio clic"), sfruttano vulnerabilità di sicurezza e bug del client di posta, del browser Internet e del sistema operativo. Se non si ha l’abitudine di aggiornare periodicamente il sistema operativo applicando tutte le più importanti patch di sicurezza, il proprio computer ha un’elevata probabilità di cadere preda di virus e malware di ogni genere. Chi sviluppa virus e malware (termine coniato abbastanza di recente, viene universalmente utilizzato per identificare tutti quei programmi, spesso causa di grossi problemi sul "computer-vittima", che vengono installati sul sistema senza l’autorizzazione dell’utente) sempre più sovente fa uso di algoritmi che sfruttano falle di sicurezza, vulnerabilità, bug più o meno noti dei componenti software usati per operare in Rete. L’obiettivo è sempre lo stesso: cercare di insediarsi il più facilmente possibile su un maggior numero di sistemi e diffondersi con rapidità e magari senza che l’utente - proprietario del personal computer infetto - possa accorgersene. Dopo l’installazione di un software antivirus, il secondo passo fondamentale da compiere - spesso trascurato dalla maggioranza degli utenti domestici e da molte realtà aziendali - consiste nel mantenere sempre aggiornati il sistema operativo ed i programmi che si utilizzano in Rete. Proprio la mancanza di una importante patch di sicurezza (MS03-026) ha consentito, a partire dal mese di Agosto 2003 al worm Blaster (alias MSBlast o LovSan) di diffondersi immediatamente in tutto il globo. Il virus non usa la posta elettronica come mezzo per l’infezione ma, una volta insediatosi su una macchina, comincia a generare indirizzi IP (corrispondenti ad altrettante sistemi collegati ad Internet) cercando di accedervi sfruttando la vulnerabilità di cui sopra (nota anche come Buffer overrun in RPC interface DCOM/RPC). Nel caso in cui la patch MS03-026 non sia installata, il worm riesce ad infettare la macchina presa di mira dalla quale, poi, inizierà, a sua volta, a far partire attacchi verso altri sistemi. Inoltre, in caso di infezione da worm Blaster, il sintomo più evidente è un riavvio inspiegabile del personal computer durante la connessione Internet (viene visualizzato un messaggio d’errore relativamente al servizio NTAUTHORITY\SYSTEM). La prova di quanto sia vasto il problema è che ancor oggi, a mesi e mesi di distanza dalla prima infezione, il virus Blaster continua ad infettare sistemi: in caso di reinstallazione di Windows NT/2000/XP/Server 2003, provvedete immediatamente ad applicare la patch MS03-026 o, con buona probabilità, qualche minuto dopo esservi riconnessi alla Rete, vi ritroverete con il sistema infetto dal worm Blaster. Ad ogni modo, anche su un sistema non opportunamente "patchato", un antivirus aggiornato avrebbe immediatamente segnalato l’infezione. Non solo, un firewall avrebbe segnalato (e bloccato tempestivamente) tutti i tentativi di accesso sospetti al proprio sistema. La configurazione di una regola specifica per bloccare i tentativi di intrusione da parte di Blaster avrebbe permesso di evitare l’infezione. Blaster è stato quindi il primo virus che ha evidenziato come l’adozione di adeguate politiche di sicurezza (aggiornamento del sistema operativo, uso di antivirus e firewall) sia una pratica generalmente poco seguita. Prima ancora, virus come SQL.Slammer o Nimda che sfruttavano, anch’essi, la mancanza di patch di sicurezza sui sistemi-bersaglio avevano già mostrato come tali problemi riguardassero anche molti amministratori di server. L'enorme diffusione del virus Sasser, iniziata il primo Maggio 2004, che sfrutta la mancata applicazione della patch MS04-011, ha evidenziato come le cose - a più di un anno dall'enorme numero di infezioni causate dal worm Blaster - non fossero sostanzialmente cambiate. E' quindi opportuno ricorrere periodicamente all'aggiornamento del sistema operativo tramite il servizio Windows Update oppure ricorrendo a tool quali MBSA (per sistemi Windows 2000/XP/Server 2003). Nel caso di Windows XP, il passaggio obbligato consiste nell'applicazione del Service Pack 2 (che include tutte le patch di sicurezza sino a metà Agosto 2004, data di lancio del "pacchettone" di aggiornamento Microsoft). Successivamente, si dovrà provvedere ad installare tutte le patch critiche rilasciate in date successive. Ad oggi sono 16 gli aggiornamenti che vanno applicati dopo il SP2 per Windows XP. Ne forniamo, di seguito, l'elenco invitandovi comunque a verificare l'eventuale disponibilità di ulteriori aggiornamenti tramite Windows Update o MBSA: 1. Una vulnerabilità in WordPad può consentire l'esecuzione di codice non autorizzato (MS04-041) http://www.microsoft.com/downloads/details.aspx?familyid=703DE7D8-68D9-4A92-8C59-87221F89EF14&displaylang=it 2. Una vulnerabilità in HyperTerminal può consentire l'esecuzione di codice non autorizzato http://www.microsoft.com/downloads/details.aspx?familyid=96BBD220-5E2A-43AD-B8B7-54EC608BD8BE&displaylang=it (MS04-043) 3. Le vulnerabilità del kernel di Windows e LSASS possono consentire l'acquisizione di privilegi più elevati http://www.microsoft.com/downloads/details.aspx?familyid=27115D5C-3E4A-4F41-B81E-376AA1CD204F&displaylang=it (MS04-044) 4. Una vulnerabilità in HTML Help può consentire l'esecuzione di codice non autorizzato http://www.microsoft.com/downloads/details.aspx?familyid=43201B00-298D-4C0C-A26F-AAEDF163FEB7&displaylang=it (MS05-001) 5. Una vulnerabilità in Windows può consentire l'intercettazione di informazioni personali http://www.microsoft.com/downloads/details.aspx?familyid=B8C867C2-B7CD-4E2F-90E0-169B2C7125DC&displaylang=it (MS05-007) 6. Una vulnerabilità della shell di Windows può consentire l'esecuzione di codice in modalità remota http://www.microsoft.com/downloads/details.aspx?familyid=865B5D9D-FC5B-4F91-A860-2C35A025A907&displaylang=it (MS05-008) 7. Una vulnerabilità nell'elaborazione del formato PNG può consentire l'esecuzione di codice in modalità remota. Da installare solo nel caso in cui si utilizzi MSN Messenger 6.1 / 6.2 oppure Windows Media Player 9 su Windows 2000 - Windows XP SP1 - Windows 2003 (MS05-009) http://www.microsoft.com/technet/security/bulletin/MS05-009.mspx 8. Una vulnerabilità in SMB (Server Message Block) può consentire l'esecuzione di codice in modalità remota http://www.microsoft.com/downloads/details.aspx?familyid=6DF9B2D9-B86E-4924-B677-978EC6B81B54&displaylang=it (MS05-011) 9. Una vulnerabilità in OLE e COM può consentire l'esecuzione di codice in modalità remota http://www.microsoft.com/downloads/details.aspx?familyid=A0E59D77-8AC1-4AC0-9572-A7E1C2E4A66A&displaylang=it (MS05-012) 10. Una vulnerabilità nel controllo ActiveX del componente per la modifica del DHTML può consentire l'esecuzione di codice non autorizzato http://www.microsoft.com/downloads/details.aspx?familyid=9490E7D2-03C2-463A-B3D0-B949F5295208&displaylang=it (MS05-013) 11. Aggiornamento cumulativo per la protezione di Internet Explorer http://www.microsoft.com/downloads/details.aspx?familyid=82056EAB-8367-4B04-A11A-1002D14EB55B&displaylang=it (versione per Internet Explorer 6 Windows XP SP2) (MS05-014) 12. Una vulnerabilità nella Libreria a oggetti dei collegamenti può consentire l'esecuzione di codice in modalità remota http://www.microsoft.com/downloads/details.aspx?familyid=6005C5A3-AFF2-4765-B26F-BE47ED408E0B&displaylang=it (MS05-015) 13. Vulnerability in Windows Shell that Could Allow Remote Code Execution http://www.microsoft.com/downloads/details.aspx?familyid=51679BB1-A61B-47AC-A943-F9F306EF987B&displaylang=it (MS05-016) 14. Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege and Denial of Service http://www.microsoft.com/downloads/details.aspx?familyid=F0683E2B-8E8F-474F-B8D8-46C4C33FCE99&displaylang=it (MS05-018) 15. Vulnerabilities in TCP/IP Could Allow Remote Code Execution and Denial of Service http://www.microsoft.com/downloads/details.aspx?familyid=B6D0437E-5A9E-4AA9-9E84-802A1BC5436C&displaylang=it (MS05-019) 16. Aggiornamento cumulativo per la protezione di Internet Explorer (Aprile 2005) http://www.microsoft.com/downloads/details.aspx?familyid=974F9611-6352-4F9C-B258-346C317857C5&displaylang=it (MS05-020) Alcune vulnerabilità non risolte possono essere sfruttate anche da aggressori remoti per compiere azioni potenzialmente pericolose sul vostro personal computer. Per questo motivo è bene verificare la disponibilità (ed in questo caso provvedere alla loro installazione) di versioni aggiornate dei software che si impiegano, in particolare se questi vengono usati per comunicare in Rete. Recentemente si è registrata la scoperta di un gran numero di vulnerabilità di sicurezza che possono portare all'esecuzione di software dannoso sul proprio personal computer. Generalmente, queste falle possono essere sfruttate da parte di malintenzionati creando file "maligni", opportunamente generati per causare un errore di buffer overflow. Questi tipi di attacchi sono infatti il grimaldello preferito usato da parte di utenti malintezionati: il concetto consiste nell'inserire codice eseguibile ostile in aree di memoria che un programma sta utilizzzando per gestire dei dati. Se il programma non è sviluppato correttamente, potrebbe considerare il contenuto di quell'area di memoria come un'istruzione da eseguire anziché come un dato. In questo modo gli aggressori possono eseguire codice arbitrario sulle macchine-vittima. Alcuni esempi "dell'ultim'ora" sono le vulnerabilità messe a nudo nei player di RealNetworks ( http://www.ilsoftware.it/articoli.asp?ID=2487 ), in Microsoft Access ( http://www.ilsoftware.it/articoli.asp?ID=2473 ), in OpenOffice ( http://www.ilsoftware.it/articoli.asp?ID=2477 ). Ma sono moltissimi i software oggetto di questo tipo di problemi risolvibili soltanto scaricando ed installando patch specifiche od aggiornandosi all'ultima versione. Di seguito elenchiamo, esclusivamente a mo' di esempio, gli aggiornamenti indispensabili per alcune tra le più utilizzate applicazioni: - Adobe Reader Chi utilizzasse versioni antecedenti alla 7.0.1, è bene installi quest'ultima release ( http://www.adobe.it/products/acrobat/readstep2.html ). - Eudora Gli utenti di Eudora 6.x debbono aggiornarsi alla versione 6.2.1 che risolve una pericolosa lacuna di sicurezza in grado di rendere il sistema potenzialmente danneggiabile da remoto ( http://www.eudora.com/products/ ). Chi ancora utilizzi Eudora 5.x è bene passi alla nuova versione 6.2.1. - Firefox Chi utilizzasse versione precedenti alla 1.0.3 è inviato ad aggiornare immediatamente a questa release che integra le correzioni per tutte le vulnerabilità di sicurezza sinora scoperte all'interno del browser "alternativo" di Mozilla Foundation. Firefox 1.0.3 risolve infatti ben nove falle, tra cui anche quella scoperta ai primi di Aprile che permetterebbe ad un malintenzionato di appropriarsi di dati personali dell'utente. Firefox 1.0.3 è prelevabile gratuitamente dalla pagina http://www.ilsoftware.it/querydl.asp?ID=729 Contemporaneamente, è stato rilasciato anche Mozilla Suite 1.7.7 per il momento solo in lingua inglese. - Google Desktop Search Le versioni antecedenti alla 121004 hanno una vulnerabilità che consente l'inconsapevole esposizione di dati personali a terzi. Aggiornare all'ultima versione disponibile sul sito web ufficiale di Google ( http://desktop.google.com ). - Kerio Personal Firewall Provvedere all'aggiornamento alla versione 4.1.3 o successive. - MSN Messenger Gli utenti di versioni precedenti del client di messaggistica istantanea Microsoft, sono invitati a passare alla versione 7.0, recentemente rilasciata (ved. la news http://www.ilsoftware.it/articoli.asp?ID=2462 ), al momento esente da problemi di sicurezza. - OpenOffice OpenOffice.org ha confermato, nei giorni scorsi, la presenza di una pericolosa vulnerabilità di sicurezza nella sua suite opensource. Un utente malintenzionato, creando uno speciale file .DOC in grado di sfruttare il problema, può causare un errore di buffer overflow ed eseguire codice potenzialmente dannoso sul sistema dell'utente. La vulnerabilità è presente in OpenOffice 1.1.4 (e release precedenti) così come nella versione 2.0 beta. Come in altri casi analoghi, si potrebbe vedere il proprio sistema danneggiato semplicemente aprendo, con OpenOffice, un file .DOC "maligno". Il team di sviluppo di OpenOffice.org ha prontamente risolto la falla di sicurezza: tutti coloro che utilizzano versioni antecedenti della suite per l'ufficio, sono invitati ad aggiornarsi immediatamente ad OpenOffice 1.1.4 e ad applicare la patch risolutiva appena rilasciata. Non è stata invece ancora distribuita la patch destinata alla versione 2.0 beta: gli utenti di questa release di test di OpenOffice è bene provvedano ad installare la versione 1.9.95 (integrerà la patch e sarà a breve lanciata). Gli utenti di OpenOffice 1.1.4 per Windows debbono scaricare, da una delle locazioni riportate in calce alla pagina http://download.openoffice.org/1.1.4/security_patch.html, il file denominato sot645mi.dll e posizionarlo nella cartella program della suite opensource. E' consigliabile creare una copia di backup della precedente versione del file. Allo stesso indirizzo è possibile reperire il file correttivo destinato ad OpenOffice 1.1.4 per Linux (libsot645li.so), Mac OS X (libsot645mxp.dylib ), Solaris x86 (libsot645si.so) e Solaris Sparc (libsot645ss.so). - Outpost Firewall Aggiornare alla versione Pro 2.5 o superiori. - Thunderbird Mozilla Foundation caldeggia l'aggiornamento immediato alla versione 1.0.2: http://www.ilsoftware.it/querydl.asp?ID=730 E' attesa a breve anche l'uscita della versione 1.0.3. - WinRAR Installare la versione 3.42 o seguenti (http://www.rarlabs.com/download.htm). - ZoneAlarm Aggiornare alle versioni seguenti o successive: Check Point Integrity Client 4.5.122.000 e 5.1.556.166; ZoneAlarm Security Suite, ZoneAlarm Pro, ZoneAlarm e ZoneAlarm con antivirus 5.5.062.011, ZoneAlarm Wireless 5.5.080.000. Sul lato Linux, Fedora Core 3 ( http://fedora.redhat.com ) è considerata come una delle distribuzioni al momento più sicure con nessuna vulnerabilità lasciata in piedi (fonte: Secunia, http://secunia.com/product/4222/ - 0/92 vulnerabilità non risolte). La classifica delle distribuzioni più sicure (tra parentesi il rapporto tra il numero di vulnerabilità al momento classificate da Secunia come irrisolte ed il numero totale di problemi di sicurezza via a via scoperti): SuSE Linux 9.3 (0/3) - http://www.suse.com (la versione 9.3 è stata da poco rilasciata) Slackware Linux 10.0 (0/10) - http://www.slackware.com Fedora Core 3 (0/92) - http://fedora.redhat.com Mandrelinux 10.1 (0/119) - E' stato rilasciato comunque Mandriva (Mandralinux 10.2) - http://www.mandrivalinux.com Gentoo Linux 1.x (0/588) - http://www.gentoo.com Ubuntu Linux 4.10 (0/51) - http://www.ubuntulinux.org |
||||
| «Ritorna | ^Top | |||
