Approfondimenti

Formato dei file, attenzione alle vulnerabilità

Molti sottovalutano la gravità dei bug collegati a certi tipi di file, minacce particolarmente insidiose perché cross platform. La base per la difesa è una corretta e regolare gestione delle patch.

Le vulnerabilità sul formato dei file stanno rapidamente assurgendo agli onori della cronaca come una delle principali minacce che devono affrontare le imprese moderne in tema di sicurezza delle informazioni. Gli attacker che sfruttano tali vulnerabilità generano ingegnosi file maligni capaci di sfruttare i bug nelle applicazioni (quali il buffer overflow). Queste vulnerabilità sono particolarmente insidiose perché spesso sono cross platform: così una vulnerabilità sul formato di Adobe Acrobat può permettere a un attacker di creare un singolo file maligno PDF in grado di compromettere i sistemi Windows, Macintosh e Linux.

Una recente analisi di SPI Dynamics ha rivelato che circa un quarto delle patch rilasciate da Microsoft durante gli ultimi due anni ha avuto l'obiettivo di risolvere problemi inerenti il formato dei file (si pensi al caso eclatante del Windows File Format WMF di 2005-06 , ma non solo come illustriamo nel prosieguo dell'articolo).

Lo scorso 4 gennaio la United States Computer Emergency Readiness Team (US-CERT) ha annunciato che il popolare QuickTime di Apple è vulnerabile e che permetterebbe a cracker di leggere i contenuti del file system locale semplicemente includendo uno specifico file QuickTime su una pagina Web. Questa vulnerabilità riguarda gli utenti del plug-in QuickTime sia di Internet Explorer di Microsoft (IE) sia del browser Web Apple Safari.  I cracker hanno creato un exploit per questa vulnerabilità e lo hanno distribuito attraverso MySpace prima che Apple potesse rilasciare una patch. 

Il 9 gennaio Adobe ha rilasciato un bollettino di sicurezza in cui riconosce le vulnerabilità  del formato in tutte le versioni di Acrobat Reader antecedenti alla 7.0.9. Di nuovo, questa vulnerabilità era indipendente della piattaforma, quindi sono stati interessato tutti i sistemi operativi supportati da Acrobat - Windows, Mac e Unix -. L'attivazione richiedeva soltanto che l'utente aprisse un file PDF maligno e questo poteva permettere a un cracker di prendere il controllo del sistema. Dato il vasto uso di Acrobat Reader e la fiducia degli utenti riposta nell'affidabilità del software Adobe, questa vulnerabilità ha un notevole potenziale di causare infezioni molto diffuse.

Perciò, cosa può essere fatto per proteggere l'impresa dalle vulnerabilità del file format? Le soluzioni non sono nulla di sorprendente; sono tutte best practice che i professionisti della sicurezza stanno adottando da anni:

* Applicate le patch con regolarità. Anche se può sembrare un'affermazione ovvia, comporta alcune difficoltà: la gestione delle patch delle applicazioni, infatti, non è un'operazione banale perché le patch sono infatti fornite attraverso meccanismi differenti che hanno bisogno di essere coordinati. Le applicazioni di Microsoft usano il processo standard Microsoft Update, mentre altre applicazioni come Firefox e Acrobat hanno proprie procedure automatiche di aggiornamento. Ciascuna di queste applicazioni dispone di un box nascosto in qualche luogo in una finestra delle preferenze che deve essere contrassegnato per permettere gli aggiornamenti automatici. Per esempio, in Firefox, per permettere gli aggiornamenti automatici dovete accedere alla finestra Strumenti->Opzioni, quindi dovete selezionare la linguetta Avanzate, scegliete il subtab Aggiornamenti e infine contrassegnare “Scarica e installa automaticamente l'aggiornamento”. Ancora oggi molte applicazioni non hanno servizi per gli aggiornamenti automatici e richiedono il patching manuale.

* Controllate con regolarità i bollettini di sicurezza. Molte vulnerabilità sono identificate e rese pubbliche giorni o settimane prima che sia disponibile una patch. Purtroppo, i cracker leggono i bollettini di sicurezza, e questo significa che spesso c'è prima un exploit di una patch  (come è stato il caso di MySpace QuickTime).

* Practice per la gestione della configurazione . Oltre ad aiutare a risolvere problemi inerenti il sistema operativo, le practice di amministrazione della configurazione, quali le immagini standardizzate e il controllo delle modifiche, possono contribuire a mantenere in ordine i vari ambienti e a limitare quell'atmosfera di “selvaggio west” che si ha quando gli utenti installano i software e si improvvisano esperti cambiando le varie configurazioni, ottenendo come risultato quello di minare la sicurezza delle applicazioni.

* Attenzione al portfolio di software usati nella vostra organizzazione. Meno pacchetti software usate, minore è la necessità di rintracciare nuove vulnerabilità di sicurezza. Se possibile, consolidate o eliminate delle applicazioni dal vostro portfolio; così facendo ridurrete notevolmente il rischio.

Stampa Invia un commento Invia questo articolo