Il 20/12/2001 Microsoft ha annunciato l'esistenza di una triplice falla definita "critica" nel gioiello di famiglia, Windows XP, quello pubblicizzato come il più sicuro sistema operativo mai realizzato da Microsoft. Microsoft esorta tutti gli utenti di Windows XP a scaricare e installare la patch (programma di correzione) da 586 kilobyte che elimina la falla.

La gravità della falla è sottolineata da un fatto che credo sia senza precedenti: la disponibilità della patch è indicata con grande risalto nella pagina iniziale del sito Microsoft.

Senza questa patch, un malintenzionato (Microsoft usa la parola hacker, ma non è corretto) può introdursi nel computer su cui gira XP e fare quello che gli pare ("Run code of attacker's choice"): ad esempio, cancellare i dati, alterarli, mandare in crash il computer, formattare il disco rigido, intercettare tutte le comunicazioni (e-mail, chat, password) che passano per il computer della vittima, e usare il computer della vittima come base per attacchi verso altri siti. Scusate se è poco.

Prima: stando a Microsoft, la falla è dovuta a un difetto all'interno del protocollo Universal Plug and Play (UpnP), che "permette a computer e a periferiche diverse (es. stampanti, scanner, telecamere e fotocamere digitali) di riconoscersi e comunicare fra loro automaticamente". Ancora una volta, dunque, la fonte del problema è l'ambizione di rendere più facile l'uso del computer. Come sempre, quando Microsoft deve scegliere fra sicurezza e facilità d'uso, sceglie la seconda a discapito della prima.

Seconda: Il problema colpisce non solo Windows XP, ma anche Windows ME se è stato installato il servizio UPnP, e Microsoft Windows 98 "solo se è stata installata la Internet Connection Sharing distribuita con Windows XP". Non so perché qualcuno dovrebbe prendere un pezzo di XP e installarlo sopra Windows 98 'à la Frankenstein', ma è importante sapere che anche gli utenti Windows 98/ME possono essere vulnerabili in particolari circostanze.

Soprattutto, è importante notare che gli utenti delle versioni precedenti di Windows (98, 98SE, ME) sono immuni a questa falla. In altre parole, chi ha scelto di non passare a Windows XP ha fatto bene.

Terza: il problema non è stato scoperto da Microsoft, ma da una società esterna, la eEye Digital Security. Dato che il codice sorgente di Windows è segreto (a differenza di quello di Linux) questo è a dir poco imbarazzante, perché facendo un paragone automobilistico, è come se un meccanico scoprisse un guasto al motore di una Porsche col cofano sigillato, mentre gli esperti della Porsche (che possono aprire il cofano e hanno realizzato il motore) non se ne accorgono e la dichiarano perfettamente sicura.

Quarta: e con questo siamo a tre patch critiche da installare nell'arco di tre settimane, per chiunque abbia Windows XP e usi Internet Explorer e Outlook (cioè usi Windows secondo i dettami dell'ortodossia Microsoft).

Le tre patch, tutte classificate critical, cioè indispensabili per chiunque, infatti sono state pubblicate il 27 novembre (Q312461), il 14 dicembre (Q313675) e il 19 dicembre (Q315000).

Conclusioni

Molti utenti, per pigrizia o incompetenza o semplicemente perché non informati, non aggiorneranno il proprio Windows e quindi resteranno vulnerabili. Ricordo che basta una macchina vulnerabile in una rete aziendale per compromettere la sicurezza di tutta l'azienda.

In queste condizioni, è abbastanza difficile argomentare che il costo di gestione di Windows è più basso rispetto ai sistemi operativi concorrenti. Avere tre patch da installare in tre settimane significa che il responsabile del reparto informatico di un'azienda deve andare a ogni singola macchina presente in azienda e installare e collaudare una patch ogni settimana. Quanto costa, e quanto tempo richiede tutto questo, visto che fra l'altro siamo sotto Natale? E quanto sarà facile trovare tutta questa assistenza tecnica in questi giorni di festa?

E così, ancora una volta, gli utenti Windows soffrono e restano sguarniti o devono pagare per ripristinare la propria sicurezza, mentre gli utenti degli altri sistemi operativi possono godersi le vacanze.

Meditate, amici, meditate. In attesa della scoperta della prossima falla.