Zeus News è un notiziario dedicato a quanto avviene nel mondo di Internet, dell'informatica, delle nuove tecnologie e della telefonia fissa e mobile: non è un semplice amplificatore di comunicati stampa ma riserva ampio spazio ai commenti e alle riflessioni, proponendosi quale punto di osservazione libero e indipendente.

Sondaggio
Quando cerchi un brano musicale, o un intero Cd, cosa fai pių spesso?
Scarico il brano o il Cd su iTunes: costa poco ed č legale.
Scarico l'Mp3 con Torrent o eMule o altro servizio simile.
Ascolto la canzone in streaming (per esempio su Youtube), anche se non posso scaricare l'Mp3.
Vado nel mio negozio di dischi o maxistore preferito.
Altro.

Mostra i risultati (2982 voti)
Ottobre 2014
L'ombrello ad aria
L'invenzione italiana che rende potabile l'acqua radioattiva
Samsung sperimenta la rete mobile 5G a 7,5 Gigabit/s
SIAE, una picconata al monopolio
Il chiavistello smart a prova di scassinatore
Hai scaricato Kill Bill? Arriva la multa
Vantablack, il materiale più nero del nero
Violati i server di Yahoo e Winzip
Mac colpiti da malware
Arriva Windows 10, cosa c'è da sapere (e dove si scarica)
Windows 10, torna il menu Start
Windows 10, tutte le novità
Settembre 2014
Ecco come sarà Windows 10
Il Tar del Lazio boccia il Regolamento Agcom
ShellShock, falla critica in Linux e Mac OS X
Tutti gli Arretrati

Falla colossale in Windows XP

Le ammissioni di Microsoft: la falla in Windows XP viene definita critica dalla casa di Redmond. L'aggiornamento è caldamente consigliato, perché chi non scarica la patch compromette la sicurezza della propria macchina.



[ZEUS News - www.zeusnews.it - 25-12-2001]

Il 20/12/2001 Microsoft ha annunciato l'esistenza di una triplice falla definita "critica" nel gioiello di famiglia, Windows XP, quello pubblicizzato come il più sicuro sistema operativo mai realizzato da Microsoft. Microsoft esorta tutti gli utenti di Windows XP a scaricare e installare la patch (programma di correzione) da 586 kilobyte che elimina la falla.

La gravità della falla è sottolineata da un fatto che credo sia senza precedenti: la disponibilità della patch è indicata con grande risalto nella pagina iniziale del sito Microsoft.

Senza questa patch, un malintenzionato (Microsoft usa la parola hacker, ma non è corretto) può introdursi nel computer su cui gira XP e fare quello che gli pare ("Run code of attacker's choice"): ad esempio, cancellare i dati, alterarli, mandare in crash il computer, formattare il disco rigido, intercettare tutte le comunicazioni (e-mail, chat, password) che passano per il computer della vittima, e usare il computer della vittima come base per attacchi verso altri siti. Scusate se è poco.

Non sto a disquisire sui dettagli tecnici della questione, già se ne parla tantissimo in Rete, per cui c'è chi ha esplorato gli aspetti tecnici della falla meglio di me. Faccio solo alcune rapide considerazioni.

Prima: stando a Microsoft, la falla è dovuta a un difetto all'interno del protocollo Universal Plug and Play (UpnP), che "permette a computer e a periferiche diverse (es. stampanti, scanner, telecamere e fotocamere digitali) di riconoscersi e comunicare fra loro automaticamente". Ancora una volta, dunque, la fonte del problema è l'ambizione di rendere più facile l'uso del computer. Come sempre, quando Microsoft deve scegliere fra sicurezza e facilità d'uso, sceglie la seconda a discapito della prima.

Seconda: Il problema colpisce non solo Windows XP, ma anche Windows ME se è stato installato il servizio UPnP, e Microsoft Windows 98 "solo se è stata installata la Internet Connection Sharing distribuita con Windows XP". Non so perché qualcuno dovrebbe prendere un pezzo di XP e installarlo sopra Windows 98 'à la Frankenstein', ma è importante sapere che anche gli utenti Windows 98/ME possono essere vulnerabili in particolari circostanze.

Soprattutto, è importante notare che gli utenti delle versioni precedenti di Windows (98, 98SE, ME) sono immuni a questa falla. In altre parole, chi ha scelto di non passare a Windows XP ha fatto bene.

Terza: il problema non è stato scoperto da Microsoft, ma da una società esterna, la eEye Digital Security. Dato che il codice sorgente di Windows è segreto (a differenza di quello di Linux) questo è a dir poco imbarazzante, perché facendo un paragone automobilistico, è come se un meccanico scoprisse un guasto al motore di una Porsche col cofano sigillato, mentre gli esperti della Porsche (che possono aprire il cofano e hanno realizzato il motore) non se ne accorgono e la dichiarano perfettamente sicura.

Quarta: e con questo siamo a tre patch critiche da installare nell'arco di tre settimane, per chiunque abbia Windows XP e usi Internet Explorer e Outlook (cioè usi Windows secondo i dettami dell'ortodossia Microsoft).

Le tre patch, tutte classificate critical, cioè indispensabili per chiunque, infatti sono state pubblicate il 27 novembre (Q312461), il 14 dicembre (Q313675) e il 19 dicembre (Q315000).

Conclusioni

Molti utenti, per pigrizia o incompetenza o semplicemente perché non informati, non aggiorneranno il proprio Windows e quindi resteranno vulnerabili. Ricordo che basta una macchina vulnerabile in una rete aziendale per compromettere la sicurezza di tutta l'azienda.

In queste condizioni, è abbastanza difficile argomentare che il costo di gestione di Windows è più basso rispetto ai sistemi operativi concorrenti. Avere tre patch da installare in tre settimane significa che il responsabile del reparto informatico di un'azienda deve andare a ogni singola macchina presente in azienda e installare e collaudare una patch ogni settimana. Quanto costa, e quanto tempo richiede tutto questo, visto che fra l'altro siamo sotto Natale? E quanto sarà facile trovare tutta questa assistenza tecnica in questi giorni di festa?

E così, ancora una volta, gli utenti Windows soffrono e restano sguarniti o devono pagare per ripristinare la propria sicurezza, mentre gli utenti degli altri sistemi operativi possono godersi le vacanze.

Meditate, amici, meditate. In attesa della scoperta della prossima falla.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita.

Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (0)

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


web metrics