Pare proprio di si, visto che il 12 agosto Microsoft rilascerà ben 12 patch, di cui almeno 7 sono ritenute di primaria importanza perché vanno a risolvere una serie di vulnerabilità che sembrano avere il massimo grado di pericolosità, secondo i tecnici di Redmond.

Andiamo a vedere velocemente le 7 patch più importanti, dicendo che riguardano Windows, Internet Explorer, Windows Media Player, Access, Excel e PowerPoint.

La patch più urgente da scaricare sarebbe quella per Access (applicazione per la realizzazione e la gestione di database, parte del pacchetto Office), poiché si è già riscontrato un exploit pubblico che potrebbe trasformarsi in un attacco di massa.

La ulteriori 5 patch a minor livello di importanza invece, riguardano Windows, Outlook Express e Windows Mail, windows Messenger e Word.

Come sempre, questi aggiornamenti saranno scaricabili tramite Windows Update, ma Microsoft ha annunciato che metterà a disposizione degli utenti anche dei singoli pacchetti per effettuare il download e l’installazione manuale delle singole patch.

Premetto che avremmo voluto (e dovuto) soffermarci a parlare del problema che sta affliggendo il meccanismo globale del sistema DNS già da settimane, visto che la questione è delicata. Ma il tempo fino ad oggi è stato tiranno.
Oggi però abbiamo deciso che non si può più rimandare vista l’entità del problema, che si aggrava di ora in ora, causando sempre più delicati allarmi a livello globale. Non che noi possiamo farci poi molto, ma già spiegare a tutti in parole semplici di cosa si tratta “in pratica”, può servire a chiarire le idee agli utenti. Mettetevi comodi perché forse il discorso sarà un po prolisso!

PREAMBOLO: Cosa sono i DNS.

Domain Name System (abbreviato con l’acronimo DNS) è un servizio utilizzato per la risoluzione di nomi di host in indirizzi IP e viceversa. Il servizio è realizzato tramite un database distribuito, costituito dai server DNS. Questo dice l’inesauribile Wikipedia.
Noi cerchiamo di renderlo comprensibile così: Quando si vuole raggiungere un qualunque sito internet, lo si fa digitando il suo “nome a dominio”, ovvero per esempio per arrivare su questo blog, digiteremmo www.mondowin.com. A questo punto cosa succede? Chi spiega al nostro browser web come arrivare fino al server che ospita il sito? Ecco che entrano in gioco i DNS. In pratica la prima cosa che il nostro browser farà a seguito della digitazione di un indirizzo sull’apposita barra sarà quella di chiedere agli appositi server (che sono espressamente prestabiliti dal nostro provider secondo un sistema di attribuzione che vedremo eventualmente un’altra volta, oppure sono decisi a mano dall’utente, ai fini pratici di questo esempio non fa differenza). Il nostro server DNS contiene al suo interno, per semplificare, una sorta di tabelle di conversione con le quali è in grado di sostituire al nome di dominio ricercato l’indirizzo IP univoco del server. Per tanto, considerando che ogni entità fisica (server o pc che sia) sulla rete ha un suo inririzzo IP unico ed univoco, specie se si tratta di un web server, sarà facile come potrete dedurre arrivare a destinazione. E’ come prendere l’elenco del telefono e leggere l’indirizzo di una persona che stiamo cercando, per poi prendere la macchina e fare il percorso migliore possibile per arrivare fino a casa sua.
Questo dovrebbe spiegare l’estrema importanza del sistema DNS, visto che se il sistema di conversione degli url in IP non funzionasse, non si potrebbe raggiungere di fatto alcun sito, mentre (ed è lo scenario più inquietante) se esso venisse “intercettato e pilotato” permetterebbe a chi ha intenti malevoli (dal semplice spam fino al terrorismo informatico), di dirottare il traffico internet da quella che sarebbe la destinazione voluta dall’utente ad una arbitraria, con tutte le conseguenze che potrete immaginare.
Vi faccio comunque un esempio: Immaginate di digitare sul vostro browser l’indirizzo del sito di home banking del vostro istituto bancario, tipo “www.lamiabanca.qualcosa“, e che qualcuno intercetti la vostra richiesta dirottando il vostro browser verso una destinazione finta che simula il sito reale. Voi senza rendervene conto potreste disgraziatamente inserire i vostri dati d’accesso al conto, che verrebbero così rubati da malintenzionati che poi accederebbero al vostro vero conto e lo potrebbero in pochi click prosciugare! E’ il più classico e nefasto esempio di phishing.

Il bug:

Purtroppo, se è vero che fino a qualche settimana fa il sistema di funzionamento dei DNS pareva immune da bug e vulnerabilità, alcuni esperti sono putroppo dovuti trasalire all’improvviso a seguito di scoperte poco tranquillizzanti. In pratica un team di esperti ha scoperto delle vulnerabilità intrinseche nel meccanismo di funzionamento dei DNS e le ha poi erroneamente rese pubbliche, permettendo quindi attacchi ai sistemi di gestione della risoluzione dei nomi a dominio prima che tutti gli enti coinvolti nella realizzazione di un vasto elenco di patch potesse terminare il proprio lavoro.

La complessità di realizzare un sistema completo di patch è resa enorme dal fatto che i bug non riguardano una specifica piattaforma di un produttore, ma proprio la logica di funzionamento che sta alla base dei DNS, per cui tutte le piattaforme DNS, sia per quanto concerne i client che i server, sono vulnerabili.
Ciò vuol dire che tutti i grandi nomi dell’informatica hanno dovuto correre ai ripari e rilasciare le patch per le proprie architetture, piattaforme e sistemi: Microsoft, Sun, Cisco, Novell sono solo alcune delle aziende che producono hardware e software impattati dal bug e che tramite le loro applicazioni e apparecchiature hanno in mano il destino di tutto il sistema globale.

L’inizio degli attachi al sistema:

Risalirebbe allo scorso giovedì notte il primo tentativo documentato di sfruttare la falla resa nota il 9 luglio prima di tutti dal noto esperto di sicurezza informatica Dan Kaminsky , di cui tuttavia al momento non si conoscono i dettagli. Nelle stesse ore, venivano messi in circolazione i primi esempi di exploit proof-of-concept che tentano di mettere in pratica le teorie dedotte dalle scarne informazioni fornite da Kaminsky stesso.

Il blog di Kaminsky

A questo punto, lo stesso Kaminsky decide di cercare di fare un po di chiarezza sulla vicenda, fin’ora caotica e nebulosa, attraverso le pagine del suo blog, sulle quali scrive: “Prima che questo attacco venisse scoperto, un malintenzionato aveva una possibilità su 65mila di dirottare la vostra connessione ad Internet, ma poteva fare un solo tentativo ogni paio d’ore. Dopo la scoperta dell’attacco, il malintenzionato aveva sempre una su 65mila possibilità, ma poteva provare migliaia di volte al secondo. Dopo la patch, il malintenzionato ha una possibilità su un paio di centinaia di milioni o di miliardi di dirottare la vostra connessione ad Internet, Il che non significa che sia impossibile: potrà sempre provarci migliaia di volte al secondo, ma facendo molto più baccano di prima”. (La traduzione è tratta dall’articolo di Luca Annunziata “DNS Poisoning, dettagli e attacchi“, pubblicato su Punto Informatico il 28 luglio 2008).

Conclusioni

Tutto questo in breve vuol dire che le contromisure adottate fino ad oggi dal momento della scoperta del bug non servono di fatto a risolvere la vulnerabilità. A tutt’oggi, secondo Kaminsky non è più necessario attendere la query al DNS di un utente per tentare di intercettarne le comunicazioni, e con la forza bruta di migliaia di richieste contemporanee (provenienti magari anche da reti di client o da “bot-net” costruite ad-hoc) diverrebbe possibile scardinare un DNS senza che nessuno si accorga di niente o quasi.

Considerazioni

Insomma, c’è da dire che gli esperti di sicurezza delle maggiori compagnie informatiche di tutto il mondo sono tutt’ora al lavoro per scongiurare un pericolo concreto, però la paura che una futura guerra globale possa essere combattuta con armi informatiche e su suolo “virtuale” fa molta più paura di qualche tempo fa, quando tutto questo poteva essere solo la trama di un film. Oggi banche, sistemi previdenziali, aziende e privati di ogni tipo affidano la propria esistenza ai computer. Scardinare le reti mondiali partendo da così basso livello potrebbe dare luogo a conseguenze disastrose.

Che sia giunto il momento di prelevare i propri sudati risparmi per nasconderli sotto al materasso?

[Continua...]

Adobe ha comunicato che l’attuale versione del Flash player presenta una serie di gravi vulnerabilità a causa delle quali è opportuno aggiornare quanto prima la propria versione del lettore.
Tutto è chiaramente specificato nel bollettino di sicurezza APSB08-11.

Adobe spiega nel proprio advisory che le falle più gravi possono essere innescate da un file SWF creato ad hoc: quando aperto con una versione vulnerabile di Flash Player, tale file può eseguire del codice maligno con gli stessi privilegi dell’utente locale.
L’update risolve anche una debolezza che, nel recente passato, è stata sfruttata dai cracker per lanciare attacchi di cross-site scripting e infettare migliaia di siti web.

Il suggerimento è quindi di aggiornare il lettore alla versione 9.0.124.0 già disponibile e priva di vulnerabilità.

Come molti sapranno, l’uscita del precedente upgrade del browser (la 2.0.0.8) anzichè curare bug e vulnerabilità aveva di fatto introdotto una seria instabilità in Firefox. Così in questo week end Mozilla è corsa ai ripari rilasciando un nuovo aggiornamento il cui obbiettivo è proprio quello di patchare le falle causate dalla precedente versione. Le vulnerabilità corrette dalla nuova versione di Firefox sono cinque, risolvendo tra le altre cose gli occasionali (ma non troppo) crash all’avvio del browser e possibilità che, dopo l’aggiornamento del software, alcune estensioni risultino inspiegabilmente disattivate.

ATTENZIONE: Firefox 2.0.0.9 non introduce alcuna patch di sicurezza o fix di nuove vulnerabilità risontrate e quindi viene descritto da Mozilla come uno “stability update” non critico, nonostante questo, Mozilla stessa ne raccomanda caldamente l’applicazione a tutti gli utenti.

Dopo la Service Pack 1 per Windows Vista, Microsoft mette a disposizione dei betatester anche la candidate release della Service Pack 3 per Windows XP, ultimo “pacco” di aggiornamenti cumulativi per il più diffuso sistema operativo Microsoft, che malgrado una proroga di cinque mesi, è comunque destinato ad andare in “end of life” nel 2008, con la conseguente cessazione del supporto da parte di Microsoft, esclusion fatta per gli aggiornamenti critici e di sicurezza, che verranno rilasciati più a lungo.

Il Service Pack 3 per Windows XP comprende una vasta mole di aggiornamenti (circa un migliaio) comprendente tra l’altro hotfix, bugifx e update della sicurezza sicurezza. Potrebbe essere inclusa anche qualche novità nell’interfaccia utente, ma non ci sono dettagli ufficiali per il momento.

Se voleste assaggiarla, la trovate sul sito di Microsoft Connect, in lingua inglese (c’è anche la versione tedesca e giapponese, se può interessare ).

Una mezza ammissione riguardo a questa notizia arriva direttamente da uno dei reponsabili della programmazione di Windows, Nick White, che dice: “Dobbiamo riconoscere che dovevamo essere più chiari fin dall’inizio nell’informare gli utenti su questo processo. [..]L’aggiornamento viene eseguito malgrado l’utente abbia abilitato il rilevamento automatico, il download e/o l’installazione degli aggiornamenti”.
La questione è così riassunta: Molti utenti si sono accorti di “stani” comportamenti di Windows che nelle scorse ore ha aggiornato alcuni files senza informare preventivamente l’utente, così come previsto normalmente sia per gli aggiornamenti facoltativi che per quelli critici, ritenuti obbligatori. Le librerie aggiornate, sia su Windows XP che su Windows Vista, sono le seguenti:

Windows Vista

wuapi.dll
wuapp.exe
wuauclt.exe
wuaueng.dll
wucltux.dll
wudriver.dll
wups.dll
wups2.dll
wuwebv.dll

Windows XP

cdm.dll
wuapi.dll
wuauclt.exe
wuaucpl.cpl
wuaueng.dll
wucltui.dll
wups.dll
wups2.dll
wuweb.dll

Qualcuno ricorderà che un non meglio precisato problema ha bloccato, lo scorso week end, i server del WGA (Windows Genuine Advantage), ovvero quella funzione tramite la quale Microsoft verifica i sistemi degli utenti e individua le copie pirata per bloccarle.

Oggi Microsoft comunica che il blocco è stato causato da un errore umano, e precisamente è stato causato da “un errore umano”, errore dovuto all’installazione di un software di pre-produzione sui server WGA pubblici. A spiegarlo è Microsoft, secondo cui gli utenti coinvolti sono “meno di 12mila. [].. In caso di guasto ai server, il nostro sistema è stato progettato per riconoscere tutte le copie di Windows come autentiche. In altre parole, abbiamo progettato WGA per dare ai nostri clienti il beneficio del dubbio”.

Insomma, si cerca di dare un colpo al cerchio ed uno alla botte per difendere il sistema di verifica che, quando ha un malfunzionamento come quello dello scorso week end, mette in ginocchio molti utenti “regolari” che vengono identificati invece come non autentici e viene loro bloccato il sistema operativo, fino a quando i medesimi non riescano a ripristinarlo tramite un nuovo check o tramite il supporto tecnico.

…e lo fa per bocca di Mark Russinovich, che ha ammesso un bug per il quale Windows Vista fa crollare le prestazioni della rete quando Windows Media Player è attivo. Il rallentamento della rete è causato, come molti hanno speculato, dalla gestione del DRM, bensì da un sistema di priorità inserito in Vista che vede il Media Player come un’applicazione impattante per la rete e per le risorse del sistema. Microsoft in ogni caso puntualizza che questo funzionamento è una scelta consapevole e non un difetto, Russinovich argomenta così la questione: quando la CPU è stressata, si favorisce la riproduzione multimediale, anche se ciò impatta sulle prestazioni di rete. Il calo prestazionale non affligge il traffico Internet.

Ciò che forse è però sfuggito a tutti in Microsoft è il massiccio crollo di prestazioni del sistema, quando si avvia WMP. In ogni caso è stata già creata una task force col compito di fixare il bug quanto prima, almeno secondo le parole dello stesso Mark Russinovich, che ha tranquillizzato gli utenti. Ora aspettiamo l’ennesima patch, Microsoft continua così!!!

:-\