Dopo un'approfondita analisi delle nuove misure di sicurezza introdotte da Microsoft e note come "Kernel Patch Protection", gli esperti di sicurezza di Agnitum hanno annunciato oggi che tale tentativo di migliorare i livelli di difesa potrebbe invece rappresentare una mossa per bloccare su Windows l'uso di software di sicurezza di terze parti. Gli esperti di Agnitum affermano che ciò causerà maggiori problemi ai produttori di software di sicurezza che non agli hacker.
Alcune delle scoperte principali di questa analisi: La Kernel Patch Protection di Microsoft impedisce agli sviluppatori di software di sicurezza di installare i loro programmi al livello del kernel, una condizione invece necessaria per proteggere il sistema dal malware. Quando sono in uso alcune versioni del kernel, la Kernel Patch Protection non impedisce agli hacker di effettuare un reverse engineering su specifiche aree del codice del sistema operativo per acquisire un accesso non autorizzato al kernel. Se si vuole far funzionare software di sicurezza prodotto da terze parti, gli sviluppatori dovranno effettuare un analogo reverse engineering per accedere al kernel del sistema operativo, un processo che renderà comunque più complesse le attività di installazione e di mantenimento dei prodotti destinati a migliorare la sicurezza di Windows e a proteggere i dati dei suoi utilizzatori.
"In quanto produttori di Outpost Firewall Pro, ci troviamo nella condizione di dover effettuare l'installazione al livello del kernel," afferma Alexey Belkin, Chief Software Architect presso Agnitum. "Mentre cercavamo di risolvere il potenziale problema di non poter installare Outpost sulle nuove versioni di Windows, abbiamo scoperto che è possibile aggirare le nuove misure di sicurezza introdotte da Microsoft: è sufficiente adottare le stesse tecniche che usano gli hacker. Si tratta di una falla completamente aperta. E se l'abbiamo scoperta noi, anche gli hacker la troveranno, e useranno sicuramente questa vulnerabilità per installare software dannoso.”
La Kernel Patch Protection dovrebbe fornire una migliore protezione per le attività di sistema a basso livello, come le operazioni sui file e sul registro effettuate dal kernel di Windows; in pratica le azioni al livello più basso del sistema operativo (http://www.microsoft.com/whdc/driver/kernel/64bitpatch_FAQ.mspx).
Qualsiasi programma che riuscisse ad accedere al kernel potrebbe, ad esempio, nascondere nell'hard disk una cartella che sarebbe poi impossibile cancellare usando le normali utilities di Windows. Tuttavia l'accesso al kernel non viene usato solo dal malware con lo scopo di mascherarsi e carpire informazioni in maniera nascosta, ma anche dai software di sicurezza al fine di fornire un'adeguata protezione al PC.
Costringere gli sviluppatori indipendenti a seguire lo stesso percorso che seguirebbero gli hacker non fa altro che dare un indubbio vantaggio a questi ultimi, poiché essi non sono costretti a condurre molteplici test di compatibilità e i controlli di qualità richiesti invece ai normali sviluppatori di software.
L'analisi completa è disponibile in inglese presso il sito internazionale di Agnitum: http://www.agnitum.com/r/kernel/patching/
"Microsoft ha compiuto questa mossa nel tentativo di proteggere Windows dai rootkit," ha affermato Mikhail Penkovsky, vice-presidente alle vendite e al marketing di Agnitum.
"Sfortunatamente, essa non risolve davvero il problema, e oltretutto rende molto più difficile per gli sviluppatori indipendenti riuscire a realizzare programmi totalmente compatibili con Windows. Nessuno sa se Microsoft fosse al corrente di questo problema, ma ci riesce difficile non sospettare che tale azione possa essere stata progettata per costringere gli utenti ad avvalersi, per la sicurezza dei loro sistemi Windows, solo di software targato Microsoft. Se l'esperienza passata ci ha insegnato qualcosa è che le soluzioni di sicurezza sviluppate da terze parti sarebbero presumibilmente più solide e fornirebbero una maggiore protezione agli utenti che, se questa condizione dovesse protrarsi, pagheranno il costo più alto.”
Nelle versioni di Windows a 64 bit e nell'imminente Windows Vista la Kernel Patch Protection isolerà il kernel anche da modifiche del tutto legittime. Questo significa che nessun produttore terzo sarà in grado di installare software di sicurezza che facciano uso di funzioni del kernel contando su un approccio lecito, mentre gli hacker resteranno liberi di fare un reverse engineering e infiltrare rookit usando approcci meno leciti e convenzionali.
"Il problema è che questi approcci non-convenzionali funzioneranno solo con specifiche versioni del kernel di Windows," ha spiegato Penkovsky. "Qualora gli sviluppatori indipendenti fossero costretti a usare tali metodi, dopo ogni importante aggiornamento del sistema operativo essi saranno obbligati ad apportare modifiche al funzionamento dei loro programmi. Ciò si tramuterà ben presto in un incubo per le software house che sviluppano alla luce del sole, ma non rappresenterà un problema per gli hacker, che non si sono certo impegnati a mantenere una compatibilità al 100%. Senza contare poi che gli aggiornamenti ai codici malware saranno più facili da apportare rispetto agli update dei software di sicurezza.”
Discussione 0
Ancora nessun commento. Sii il primo a commentare!