Windows 10 build 16232 integra una funzionalità specifica contro i ransomware

Windows 10 build 16232 integra una funzionalità specifica contro i ransomware

Una misura di sicurezza che prevede la protezione di cartelle specifiche il cui accesso è consentito solamente ad applicazioni presenti in una whitelist

di pubblicata il , alle 14:20 nel canale Sicurezza
WindowsMicrosoft
 

La build 16232 di Windows 10 che Microsoft ha rilasciato sul canale insider nel corso della giornata di ieri e della quale abbiamo dato notizia qui, contiene alcune nuove funzionalità di sicurezza per l'irrobustimento generale del sistema contro le più recenti minacce, tra le quali una che si propone nello specifico di cercare di limitare i danni che possono conseguire dalla compromissione del sistema da parte di un ransomware.

I meccanismi di protezione dei file messi in atto dai sistemi operativi si basano da anni su una combinazione di proprietà e permessi di accesso. In quei sistemi che sono usati da più utenti questo approccio rappresenta un modo abbastanza efficace per ridurre l'incidenza di problemi: un utente non può accedere (o può accedere solo limitatamente) a file di proprietà di un altro utente che opera sullo stesso sistema. E' lo stesso approccio che ha mostrato anche una certa efficacia per proteggere il sistema operativo dall'utente stesso, grazie appunto al meccanismo di permessi e privilegi.

Con l'avvento della piaga dei ransomware il contesto è però mutato pesantemente, cambiando i connotati della minaccia: in questo caso infatti il pericolo non è rappresentato da un altro utente che modifica i file cifrandoli, ma da un programma che opera sotto l'identità dell'utente e che potrà modificare tutti i file che sono accessibili all'identita dello stesso utente. In altri termini il ransomware può leggere e scrivere gli stessi file che l'utente può leggere e scrivere.

Partendo da questa considerazione Microsoft ha elaborato la funzionalità Controlled Folder Access che rientra sotto il cappello di Windows Defender. Il principio di funzionamento di questa nuova funzionalità è quella di configurare alcune cartelle per essere protette e accessibili solamente dalle app presenti in una whitelist: tutti i tentativi di accesso da parte di app non autorizzate verrebbero quindi bloccati da Defender. Allo scopo di ridurre le necessità di gestione e mantenimento della funzionalità, alcune applicazioni saranno messe automaticamente nella whitelist. Microsoft non specifica esattamente quali app, ma è ragionevole supporre che le app dello Store saranno automaticamente inserite con i dovuti permessi.

In linea teorica un approccio di questo tipo dovrebbe andare a limitare la capacità di un ransomware di cifrare i dati degli utenti, ma sul versante pratico la reale efficacia di queste misure dipenderà dalla solidità di Controller Folder Access. Perché ciò funzioni effettivamente sarà necessario, ad esempio, che la funzionalità impedisca a macro di Word o Excel di accedere ad una cartella protetta anche se l'applicazione da cui esse dipendono è nella whitelist. Nel caso in cui un ransomware possa trovare una strada per "delegare" il lavoro sporco ad un'altra applicazione in whitelist, l'efficacia delle nuove misure verrà di fatto neutralizzata. L'esempio delle macro di Word non è casuale, in quanto nei giorni scorsi è stata data una dimostrazione della possibilità di compromettere il nuovo sistema operativo Windows 10S tramite questi meccanismi.

Trattandosi di una build rilasciata sul canale insider, tutte le funzionalità sono da considerarsi in forma di beta, quindi in fase di test e valutazione, e pertanto potrebbero non essere mai rilasciate all'utente finale.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

20 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Axios200630 Giugno 2017, 14:49 #1
Nel caso in cui un ransomware possa trovare una strada per "delegare" il lavoro sporco ad un'altra applicazione in whitelist, l'efficacia delle nuove misure verrà di fatto neutralizzata.


Ah... Be... Allora è a prova di bomba...

Come Windows 10 S...
Lampetto30 Giugno 2017, 14:57 #2
Non mi sbagliavo quando dicevo che il primo commento sulle build Windows 10 sono sempre del solito.....
peronedj30 Giugno 2017, 15:01 #3
Domanda da chi non ne capisce niente: è così difficile per windows o un programma antivirus, individuare quando un file sta per essere criptato? Penso che sia diverso da una semplice riscrittura, non c'è un modo per capire quando i file stanno per essere criptati e bloccare tutto sul nascere?
emiliano8430 Giugno 2017, 15:04 #4
Originariamente inviato da: Lampetto
Non mi sbagliavo quando dicevo che il primo commento sulle build Windows 10 sono sempre del solito.....


come non quotarti
WarDuck30 Giugno 2017, 15:10 #5
Originariamente inviato da: Axios2006
Ah... Be... Allora è a prova di bomba...

Come Windows 10 S...


Conosci altri modi?

Su altri sistemi operativi esistono protezioni per impedire all'utente stesso di accedere ai suoi files?

Perché anziché ridacchiare, mi piacerebbe capire se puoi dare contributo utile alla discussione.

Altrimenti potresti astenerti dal commentare tutte le notizie in cui si parla di Windows
ambaradan7430 Giugno 2017, 15:13 #6
Basterebbe semplicemente inserire le cartelle protette da una password
WarDuck30 Giugno 2017, 15:18 #7
Originariamente inviato da: peronedj
Domanda da chi non ne capisce niente: è così difficile per windows o un programma antivirus, individuare quando un file sta per essere criptato? Penso che sia diverso da una semplice riscrittura, non c'è un modo per capire quando i file stanno per essere criptati e bloccare tutto sul nascere?


Se vengono usati i servizi del sistema operativo si, altrimenti non è così semplice, perché un applicativo qulunque può implementare il suo meccanismo di cifratura (anche non standard) senza usare alcun servizio fornito dall'OS.

In quel caso per il sistema operativo il flusso dei dati è qualcosa di simile a: apertura del file, lettura, scrittura, chiusura del file.

E ovviamente il SO è agnostico di cosa sta facendo il programma, per lui sono sequenze di bytes da e verso un file.

Sono anni che vado dicendo che anche usando un utente con privilegi limitati non ti salva comunque da certi tipi di attacchi (vedi keylogger su Linux usando Xorg con utente standard e non root).
WarDuck30 Giugno 2017, 15:21 #8
Originariamente inviato da: ambaradan74
Basterebbe semplicemente inserire le cartelle protette da una password


Non sarebbe un sistema molto più sicuro di una whitelist protetta con password.
goku4liv30 Giugno 2017, 15:26 #9
io odio win 10... sempre in beta sempre a scaricare update che ti rallentano il lavoro o quello che fai perchè ti occupano banda internet senza chiedertelo, sempre piu pesante sull'hard disk.... io consiglio win 7 o 8.1 alemno puoi decidere tè quando scaricare e aggiornare win.
raffux330 Giugno 2017, 16:07 #10

ma quando mai?

goku4liv da quant'è che non usi Windows 10? Gli update, quelli grossi, arrivano una volta a settimana e giornalmente solo quelli di windows defender (di pochi KB). E' possibile, inoltre, impostare una connessione dati a consumo in modo che non ti occupi banda se non lo decidi tu.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^