Internet Explorer 9 e le funzionalità per la sicurezza

Internet Explorer 9 e le funzionalità per la sicurezza

Abbiamo avuto modo di incontrare Feliciano Intini - Security and Privacy Initiative Lead at Microsoft - per fare il punto su Internet Explorer 9 e su alcune caratteristiche di questo browser dedicate alla sicurezza

di Fabio Boneschi pubblicata il 23 Giugno 2011, alle 11:53 nel canale Sicurezza
 

Al termine di un recente evento organizzato da Microsoft abbiamo avuto il piacere di scambiare alcune battute con Feliciano Intini - Security and Privacy Initiative Lead at Microsoft - che tra le proprie attività cura anche i contenuti costantemente aggiornati sul blog NonSoloSecurity. Da questo breve scambio di opinioni sono usciti alcuni utili elementi che pubblichiamo qui di seguito.

1 - I primi mesi di IE9, una sintesi sul fronte della sicurezza: quali le sfide raccolte e quali gli obiettivi raggiunti.

[Feliciano Intini] Anche se IE9 è stato disponibile da più mesi nella versione beta ed RC, ha indubbiamente pochi mesi di vita nella sua versione finale da permettere una vera e propria sintesi. Il tema sicurezza, dal suo lato, non ammette punti di arrivo ma è sempre un processo di evoluzione costante. Nonostante queste considerazioni, IE9 ha il merito di essere riuscito a mostrare in questo suo primo periodo di vita due caratteristiche importanti: una ottima robustezza rispetto alle vulnerabilità e agli attacchi di socially-engineered malware, e un set di funzionalità davvero innovative in ambito sicurezza e privacy, tra tutte penso alla funzionalità di Application Reputation aggiunta al filtro SmartScreen, e alla Web Tracking Protection in area Privacy.

Su questo ultimo aspetto delle funzionalità di Privacy, e della Web Tracking protection in particolare, credo che IE9 si sia posta come un punto di riferimento d’avanguardia, probabilmente con l’approccio più completo sul mercato (come ho già avuto modo di spiegare nel mio blog), alla luce non solo dell’adozione del Do-Not-Track header che anche altri browser stanno supportando, ma soprattutto per la funzionalità delle Tracking Protection List (TPL), che permettono la massima granularità possibile per riuscire contemporaneamente a tutelare la Privacy dell’utente che non desidera essere tracciato da alcuni siti di cui non si fida e nello stesso tempo accetta di poter ricevere contenuti personalizzati da altri siti di cui si fida.

E’ inoltre una funzionalità che protegge subito l’utente e fa leva sulla competenza delle associazioni di categoria e degli enti che vigilano sulla privacy per la realizzazione di liste TPL efficaci che l’utente deve solo scegliere di installare in modo semplice e immediato, con un semplice click.

2 - NSS Labs ha assegnato a IE9 un ottimo punteggio in merito alla protezione da attacchi socially-engineered malware. A cosa è dovuto questo risultato?

[Feliciano Intini] L’analisi dell’ultimo report di NSS sugli attacchi da socially-engineered malware fa osservare due situazioni. Da un lato mostra il deciso divario di prestazioni tra la superiore protezione offerta da Internet Explorer (sia IE8 che IE9) e gli altri browser Firefox 3.6, Opera 5, Chrome 6: come indicato nelle conclusioni del report, è di fatto un confronto tra l’efficacia di identificazione, collezione e classificazione del malware operata dai Microsoft Reputation Services usati dallo SmartScreen filter in IE8 e IE9, e il servizio di Google Safe Browser feed usato dagli altri 3 concorrenti (Opera 10 si può definire non classificato in quanto il test ha rilevato la mancata o incompleta integrazione del servizio di AWG Online Shield come invece era stato pubblicizzato).

Nel confronto interno tra IE8 e IE9, che porta quest’ultimo a mostrare un miglioramento di circa il 9% rispetto a IE8, si possono addebitare queste migliori prestazioni all’efficacia di protezione offerta dalla nuova funzionalità di Application Reputation aggiunta in IE9, che con il risultato del 99% di Block Rate medio può a ragione essere considerato il più robusto browser sul mercato rispetto a questa tipologia di minacce.

3 - Puoi spiegarci in sintesi il funzionamento di SmartScreen Application Reputation?

[Feliciano Intini] La nuova funzionalità di SmartScreen® Application Reputation introdotta in IE9 si propone due obiettivi per aiutare l’utente nella scelta che si trova a fare quando opera il download di una applicazione da Internet: il primo è quello di rendere più utili i messaggi di allerta quando si è di fronte ad un download potenzialmente più pericoloso, il secondo è quello di ridurre il numero dei messaggi di allerta generici o poco utili per comprendere il livello di rischio.

Con questi obiettivi si è deciso di realizzare un sistema on cloud che provvede a calcolare e a tener traccia della reputazione dei singoli file scaricati dagli utenti di Internet Explorer nel mondo e dei certificati digitali eventualmente (e auspicabilmente) utilizzati per firmarli, utilizzando diversi criteri utili per la determinazione di tale reputazione, tra cui il traffico di download, lo storico dei download, le analisi pregresse da parte dell’antivirus, e la specifica reputazione dell’URL da cui si sta scaricando l’applicazione.

Quando l’utente sta per scaricare un’applicazione, IE contatta su un canale sicuro il servizio cloud di Reputation Services e chiede la reputazione dello specifico file e del certificato digitale (se il file è firmato): solo nel caso questa non fosse positiva viene generato un messaggio di allerta proposto all’utente. Il numero di messaggi di allerta più limitati ma più utili servono per indurre l’utente a farsi qualche domanda in più sulla situazione che lo ha portato a quello specifico download per poter valutare meglio se si è tranquilli nel continuare con l’esecuzione o se è preferibile annullare la stessa per cautela.

L’intento, sicuramente ambizioso, ma che ha dimostrato già la sua efficacia come evidenziato dal già citato report NSS, è quello di irrobustire il browser con una funzionalità che riesca ad intervenire in quella finestra temporale di rischio che segue il momento in cui un nuovo malware si affaccia su Internet e che precede il momento in cui viene riconosciuto come tale e aggiunto alle firme antimalware per il rilevamento e la rimozione: in questa finestra di rischio, dove le classiche soluzioni antimalware sono inefficaci, l’uso dello SmartScreen® Application Reputation (che va esplicitamente attivato dal menù Sicurezza in quanto non abilitato per impostazione predefinita) permette di aiutare l’utente a insospettirsi rispetto al download di una applicazione che per una reputazione non positiva (o non ancora stabilita) può rappresentare un rischio reale alla sua sicurezza dei suoi dati e del suo PC.

4 - In un recente evento Symantec ha mostrato dei risultati interessanti: Firefox cede lo scettro a Chrome per numero di vulnerabilità, mentre Internet Explorer pur avendo meno vulnerabilità ha una finestra di esposizione più ampia. Il tutto potrebbe essere legato anche alla scelta Ms di rilasciare mensilmente gli update, mentre altri utilizzano strategie di aggiornamento più tempestive. Come vedi tu questa situazione lato utente finale? Quale reale valore ha la finestra di esposizione e quali strumenti possono rivelarsi utili per limitarne i danni?

[Feliciano Intini] E’ da tempo che mi impegno ad illustrare come sia necessariamente diverso l’approccio di Microsoft rispetto ai suoi competitor su questo tema della gestione delle vulnerabilità, ma non per questo meno efficace rispetto all’obiettivo primario di proteggere gli utenti. Intanto la scelta di una cadenza mensile nel rilascio degli aggiornamenti è stata auspicata direttamente dagli stessi clienti che hanno chiesto esplicitamente la possibilità di poter contare su una schedulazione predicibile degli update (fermo restando la necessità di intervenire in modo straordinario per i casi più pericolosi), per poter semplificare il loro lavoro di manutenzione dei sistemi (dichiaravano come fosse un incubo correre dietro alle patch emesse dai diversi vendor in momenti diversi, senza preavviso anche per i casi meno pericolosi).

In seconda battuta Microsoft ha una necessità in più rispetto ad altri vendor legata al bisogno di ottimizzare gli aggiornamenti in modo da ridurre al minimo la possibilità di problemi di compatibilità con altre applicazioni: un update che blocca l’operatività di una soluzione business critical può essere più dannosa di un attacco potenziale. Di fronte alla necessità di questa più ampia finestra di testing degli aggiornamenti (che altri vendor decidono di non avere) come fa Microsoft a garantire comunque che rimanga limitato il rischio di esposizione dell’utente finale?

Microsoft provvede a questo aspetto monitorando in modo approfondito l’evoluzione dello sfruttamento attivo della specifica minaccia su Internet, grazie ad una estesa rete di collaborazione, in modo da tenere sempre strettamente sotto controllo il livello di rischio: finché questo risulta nullo o basso (assenza di attacchi attivi o presenti in modo limitato e circoscritto) ci si può continuare a focalizzare sulla fase di testing, se questo dovesse crescere ci si attiva tempestivamente per il rilascio più rapido possibile (fino al caso di un rilascio straordinario nei casi più gravi).

Dal punto di vista dell’utente questo si deve tradurre nella tranquillità di sapere che Microsoft porrà sempre la sua tutela, della sicurezza dei suoi dati e dell’affidabilità del suo PC, in cima alle sue priorità di intervento e che tutto verrà fatto per garantire tale tutela, ivi compreso lo sviluppo di funzionalità innovative, come quella di SmartScreen® Application Reputation appena descritta, che mirano a supportarlo nelle finestre temporali di esposizione.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
mak7723 Giugno 2011, 13:02 #1
Bene, bravi. Era ora che Microsoft iniziasse ad occuparsi della sicurezza e della privacy dei suoi utenti. Sarebbe bene iniziare anche ad occuparsi della libertà dei suoi utenti, fornendo loro strumenti e formati privi di royalties e brevetti, che possano usare liberamente.

Un solo appunto, sebbene Microsoft abbia sottoposto il DNT al W3C per l'approvazione ufficiale, mi sembra che la proposta, la prima implementazione e la forma finale di questo importante strumento per la privacy siano venute da Mozilla, sempre attenta a proteggere gli utenti, prima di tutto. Comunque l'importante è il risultato!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.