Microsoft: Windows, WMF e "favole" di spionaggio mondiale

Microsoft: Windows, WMF e "favole" di spionaggio mondiale

Continua a far parlare di sé l'ormai famigerata falla di Windows nella gestione di files WMF. E c'è chi comincia a parlare di spionaggio e di backdoor in Windows.

di Marco Giuliani pubblicata il , alle 14:37 nel canale Sicurezza
MicrosoftWindows
 
In una società che si sta battendo - in alcuni casi giustamente in altri cadendo nel ridicolo - per il diritto alla privacy, tutto quello che può servire a delineare una persona e le proprie informazioni personali è caduto "vittima" di una dura virata a causa delle nuove leggi. Ovunque ci sia la possibilità di recuperare informazioni personali c'è la corsa per poter tutelare l'individuo da eventuali possibili fughe di informazioni.

Ed è ovvio che in una società oramai più virtuale che reale il cybermondo dei computer è stato uno dei primi a subirne le prime conseguenze. In un periodo dove molto, troppo in alcuni casi, si vuole tutelare la propria individualità, dove un professore universitario deve stare attento a pubblicare i voti di un esame con nome e cognome degli studenti pena il rischio di denuncia, di allarmismi ne nascono tanti.

Quello che però in questi giorni sta girando nel mondo di Internet sta alimentando in maniera spaventosa le fantasie di chi sente che la privacy non esista più e che tutti siamo controllati e schedati nei database dei paesi più potenti al mondo.Alzi la mano chi non ha mai avuto il dubbio, sull'onda dei film americani di spionaggio, che Microsoft Windows, il sistema operativo più utilizzato al mondo, non avesse backdoor inserite di nascosto per permettere ai servizi segreti di entrare nelle vite di chiunque. Bene, quello che Steve Gibson, esperto di sicurezza informatica, dichiara di aver scoperto in questi giorni è qualcosa che tocca proprio questo argomento.

Gibson, nel suo podcast con Leo Laporte, ha dichiarato che, nel cercare di scrivere una patch per la falla WMF per i sistemi operativi più vecchi, quindi non aggiornati da Microsoft, ha fatto una scoperta interessante. Per capire meglio di cosa stiamo parlando, cerchiamo prima di spiegare in che cosa consiste in modo un po' più tecnico la famosa vulnerabilità WMF che in questi giorni ha creato parecchio scompiglio. Leggendo le news precedenti è stato scritto che la procedura incriminata era Escape/SETABORTPROC. Ma a cosa serve e che cos'è?

Quando un utente esegue la stampa di un documento, l'applicazione crea un Printer Device Context, una sorta di "struttura" che contiene tutto quello che si vuole stampare. Questo processo viene eseguito per passare i dati da gestire dall'applicazione al sistema operativo Windows. Ma che succede se l'utente decide di annullare la stampa dopo che il processo è stato già passato in gestione a Windows? Ecco che entra quindi in gioco la funzione SETABORTPROC, una sorta di callback, un collegamento per poter tornare indietro al programma.

La vulnerabilità scatta quando Windows incontra, nel processare un file WMF, la funzione Escape che chiama la procedura SETABORTPROC. In questo caso avviene il bug e la possibilità di eseguire codice. Bisogna premettere che un file WMF è composto da una serie di records e che ogni record può avere una lunghezza minima di 6 bytes. La scoperta che Gibson ha dichiarato di aver fatto è stata quella che l'esecuzione di codice avviene solo ed esclusivamente se si inserisce come lunghezza del record 1 byte, una sorta di "chiave magica".

Ecco che Gibson punta il dito contro Microsoft: "Questo non è un bug o un errore di programmazione, è una backdoor volutamente inserita da Microsoft, non so da chi ma è possibile scoprire quando" dichiara l'esperto che, nell'intervista, si chiede anche perché sia stata lasciata la procedura SETABORTPROC in un contesto diverso da quello di stampa, dove teoricamente non servirebbe a niente. Gibson termina la propria analisi dichiarando che probabilmente questa backdoor, scoperta casualmente lo scorso dicembre, sia stata inserita volutamente da Windows 2000 in poi. Accuse pesanti insomma, dalle quali Microsoft si è prontamente difesa per mano di Stephen Toulouse.

"Non è vero che la vulnerabilità può essere sfruttata solo con la falsa dichiarazione della lunghezza del record, qualunque lunghezza errata causa l'esecuzione di codice, sembra ci sia un po' di confusione su questo punto", ha dichiarato Toulouse. "Quando si è deciso che i metafile avrebbero avuto accesso a tutte le funzionalità GDI è stata introdotta la vulnerabilità. Inoltre non è vero che la vulnerabilità può essere sfruttata solo dichiarando un'errata lunghezza del record, se così è stato è perché il record relativo alla procedura SETABORTPROC è l'ultimo nel metafile" ha poi aggiunto Stephen.

Infine Toulouse ha spiegato il perché non sia stata rilasciata una patch per i sistemi operativi più datati: "solamente perché la vulnerabilità non è sfruttabile così facilmente, poichè quando il contesto non è quello di stampa windows 9x non processerà mai la procedura SETABORTPROC". Hardware Upgrade ha avuto l'occasione di chiedere un parere a Costin Raiu, direttore dei centri di ricerca Kaspersky Lab in Romania.

"Penso che le dichiarazioni di Steve siano incorrette e che la vulnerabilità WMF in Windows sia solamente un bug. Solamente che spesso i bug possono mostrarsi sotto differenti aspetti. Per esempio, la vulnerabilità di Sendmail sfruttata dal worm Morris 14 anni fa altro non era che una funzionalità studiata male che ha permesso al worm di replicarsi. Ovviamente l'intenzione dell'autore non era quella, ma di errori ne capitano così tanti. Di bug ne capitano tanti e a volte sembra che possano prendere deliberate forme di backdoor anche se in realtà non lo sono. Con centinaia di società che studiano Windows alla ricerca di bug è impensabile che Microsoft possa aver inserito una backdoor sapendo che potrebbe essere scoperta da qualche ricercatore. Inoltre se lavorassi per Microsoft e volessi inserire una backdoor sicuramente la nasconderei in qualche posto migliore, per esempio nel kernel, avendo poi modo di poterla sfruttare da remoto per mezzo di pacchetti di rete segretamente modificati. Insomma, come ho detto, è solamente un bug che si può mostrare sotto differenti aspetti. E i programmatori possono fare degli sbagli. Dopo tutto, siamo solo umani :-)"

Se per gli amanti delle storie di spionaggio all'americana questa può apparire come un'altra conferma di un "1984" di Orwell, possiamo tranquillamente dire che forse troppo allarmismo non giustificato non fa altro che causare ulteriori danni alla società .

Insomma, possiamo dormire sonni tranquilli, almeno sotto questo punto di vista.

Fonte: http://www.grc.com/default.htm

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

67 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
RedDrake18 Gennaio 2006, 14:43 #1
è possibile che sia solo un errore,
comunque leggetevi il libro 1984 di Orwell!
stefanotv18 Gennaio 2006, 15:00 #2
ma l'angolo in alto a destra è quello riservato a Microsoft?

piuttosto che mettere in risalto fantomatiche storie, leggende e opinioni espresse da tizio o caio e che non sono dimostrate,
perche' visto che siete hwupgrade non avete mai messo in risalto ad esempio le incompatibilita' dei dischi sata2 con i controller sata nvidia?
sicuramente gioverebbero di piu' queste notizie visto che riguardano da vicino migliaia di utenti,
tutte ste storielle che scrivete per avere qualche clic in piu' cominciano veramente a farvi perdere la faccia.
Tutto rigorosamente imho naturalmente

S.
archibald tuttle18 Gennaio 2006, 15:03 #3
Originariamente inviato da: stefanotv
ma l'angolo in alto a destra è quello riservato a Microsoft?

piuttosto che mettere in risalto fantomatiche storie, leggende e opinioni espresse da tizio o caio e che non sono dimostrate,
perche' visto che siete hwupgrade non avete mai messo in risalto ad esempio le incompatibilita' dei dischi sata2 con i controller sata nvidia?
sicuramente gioverebbero di piu' queste notizie visto che riguardano da vicino migliaia di utenti,
tutte ste storielle che scrivete per avere qualche clic in piu' cominciano veramente a farvi perdere la faccia.
Tutto rigorosamente imho naturalmente

S.


non credo che hwupgrade perda la faccia, vista la sobrietà con la quale riporta questa voce

e comunque, roba da mulder e scully...
ghiry18 Gennaio 2006, 15:07 #4
...Il codice Gates...il nuovo best seller che sbancherà prossimamente le librerie di tutto il mondo....
Alessandro Bordin18 Gennaio 2006, 15:11 #5
Originariamente inviato da: stefanotv
tutte ste storielle che scrivete per avere qualche clic in piu' cominciano veramente a farvi perdere la faccia.
Tutto rigorosamente imho naturalmente

S.



Veramente certe "storielle" le scriviamo per EVITARE che girino a ruota libera. Abbiamo sentito e riportato il parere di esperti, in questo caso il sig. di Kaspersky

Tutto non IMHO, è proprio così per scelta editoriale
Kanon18 Gennaio 2006, 15:11 #6
ma di errrori ne capitano così tanti.

Alessandro Bordin18 Gennaio 2006, 15:15 #7
Originariamente inviato da: Kanon



CoRRRetto, grazie
eraser18 Gennaio 2006, 15:17 #8
Originariamente inviato da: Kanon


grazie mille l'abbiamo messo apposta l'eccezione che conferma la regola
benotto18 Gennaio 2006, 15:22 #9
Comunque Steve Gibson è una fonte piuttosto autorevole.

Senza di lui forse staremmo ancora tutti senza firewall o con firewall bucabili.
trydent18 Gennaio 2006, 15:33 #10
Sulla scia dei film con Will SMith: Nemico pubblico e I robots...

Come diceva il funzionario cattivo di Nemico Pubblico, il quale aveva fatto ammazzare il senatore all'inizio del film la pricacy è lusso che il sistema non può permettersi perchè ci sono ragazzini di 12 anni i quali scrivono riche di codice che l'NSA riesce a mala pena a decifrare, perchè acccanto all'internet delle meraviglie esistono siti che ti spieganoin modo più o meno dettagliato come costruire ordigni micidiali, perchè ormai le mappe le trovi su google o su msn...

Considerando che l'ultima frase l'ho aggiunta io effettivamente una qualche forma di controllo è pur necessaria e bisogna ammetterlo

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^