Logo Tom's Hardware

Executive e-mail di Bill Gates ai clienti Mic

Avatar di Tom's Hardware

a cura di Tom's Hardware

Non capita tutti i giorni di ricevere una lettera da Bill Gates; a dire il vero non siamo noi i privilegiati destinatari, bensì tutti i clienti di Microsoft. Riportiamo il testo integrale, buona lettura!

Un report sui progressi di Microsoft: sicurezza

Da decenni esiste il problema della presenza di codice dannoso, ma solo negli ultimi anni le connessioni Internet ad alta velocità e milioni di nuovi dispositivi informatici hanno contribuito a creare una rete globale di computer nella quale virus e worm sono in grado di diffondersi in pochi minuti in tutto il mondo.

Contemporaneamente, i pirati informatici sono diventati più sofisticati e hanno creato e diffuso epidemie digitali, quali Slammer, Blaster, Sobig e Mydoom, che si propagano quasi istantaneamente, rallentando i livelli di produttività aziendale, commerciale e di comunicazione implementati dalla tecnologia.

Anche la tipologia di attacco alle reti e ai sistemi IT sta cambiando. Blaster, ad esempio, colpiva singoli computer, trasformando utenti ignari in propagatori inconsapevoli di worm. Questi tipi di attacchi, detti “swarming”, coordinati per provocare effetti multipli, a cascata, modificano continuamente il panorama delle possibili minacce alla sicurezza. I professionisti IT e in generale gli utenti della rete devono quindi porsi il problema di adottare misure preventive, e il settore tecnologico deve continuare a sviluppare nuove soluzioni.

Microsoft e l’intero settore stanno attuando progressi significativi sul fronte della protezione dei sistemi informativi. Questo messaggio offre una panoramica sulle principali aree legate alla sicurezza su cui l’azienda sta investendo in maniera significativa:

  • Isolamento e flessibilità
  • Aggiornamento
  • Qualità
  • Autenticazione e controllo degli accessi.

Siamo inoltre impegnati ad aumentare gli investimenti dedicati alla formazione dei clienti e alla creazione di accordi strategici, allo scopo di rendere qualsiasi ambiente IT più sicuro e protetto.

A causa della natura umana, dell’evoluzione nella struttura delle incursioni informatiche e della crescente interconnessione dei computer, il numero dei tentativi degli attacchi di hacker non sarà mai del tutto eliminato; tuttavia possiamo ridurre drasticamente l’azione dei criminali cibernetici, indirizzando una parte consistente dei nostri investimenti in Ricerca & Sviluppo al miglioramento delle funzionalità di sicurezza.

Isolamento e flessibilità

I nostri sforzi per la protezione dei sistemi IT hanno l’obiettivo di evitare che il codice dannoso sia in grado di sfruttare un problema di vulnerabilità delle applicazioni. Ciò avviene isolando tale codice, garantendo un controllo più efficace delle entità con cui i processi del computer possono comunicare o cooperare, rendendo i sistemi più flessibili in modo che riescano a individuare e bloccare preventivamente comportamenti dannosi o sospetti.

Windows XP Service Pack 2 - Stiamo lavorando ad alcune funzionalità rivolte in particolare a quattro specifiche modalità di attacco, che isolino e rendano più flessibili i nostri sistemi operativi client e che saranno disponibili nei prossimi mesi

  • Protezione della rete: Windows Firewall sarà attivato come impostazione predefinita, riducendo così l’area “attaccabile” dei PC e delle reti.
  • Navigazione del Web più sicura: per ridurre la quantità di codice dannoso e di siti Web che possono danneggiare i computer o ingannare gli utenti, Internet Explorer bloccherà automaticamente i download non richiesti e le finestre pop-up non desiderate, a meno che l’utente non abbia richiesto esplicitamente il download di un file. Gli amministratori IT saranno in grado di gestire questa funzionalità in modo centralizzato per applicare policy di protezione coerenti all’interno delle aziende. Inoltre, abbiamo migliorato le configurazioni wireless permettendo di navigare in rete dal PC di casa in modo più sicuro.
  • Posta elettronica e strumenti di messaggistica più sicuri : per ridurre il rischio di attacchi stiamo perfezionando la gestione degli allegati in Outlook Express e nella messaggistica istantanea di Windows Messenger; stiamo inoltre incrementando il livello di protezione in Outlook Express per evitare che il computer dell’utente possa essere identificato dal mittente in caso di download di contenuti esterni.
  • Protezione della memoria: un software dannoso creato per utilizzare i sovraccarichi di buffer (buffer overrun) può permettere che venga copiata una quantità elevata di dati che rappresentano codice maligno nelle aree di memoria del computer, mandando in seguito in esecuzione tale programma. Sebbene nessuna tecnica da sola possa eliminare completamente questo tipo di vulnerabilità, Microsoft sta utilizzando tecnologie di protezione per mitigare questi attacchi. Innanzitutto, i componenti principali di Windows sono stati ridefiniti secondo la versione più recente della nostra tecnologia di compilazione, allo scopo di proteggere contro sovraccarichi di stack e heap. Microsoft sta anche collaborando con società produttrici di microprocessori, tra cui Intel e AMD, affinché Windows supporti la data execute protection a livello di hardware (nota anche come NX o no execute). NX utilizza la CPU per contrassegnare tutte le posizioni della memoria di un’applicazione come non eseguibili, a meno che la posizione non contenga in modo esplicito codice eseguibile. In questo modo, quando un worm o un virus inserisce codice di programma in una porzione della memoria contrassegnata solo per i dati, questo non potrà essere eseguito.

Windows Server 2003 - I l nostro lavoro su Windows Server 2003 si è focalizzato sulle modalità per ridurre, mitigare o contenere i rischi di attacchi. Abbiamo in programma di inserire in Windows Server 2003 Service Pack 1, disponibile nella seconda metà del 2004, funzionalità avanzate che includeranno le tecnologie di protezione per il server già presenti in Windows XP SP2. Per migliorare il livello di isolamento, Windows Firewall sarà attivato durante la configurazione di partenza su nuove installazioni server, affinché il server possa essere meglio protetto da potenziali intrusioni. Una procedura guidata per configurare le protezioni permetterà, nel momento in cui le varie parti del server (il file server, il server delle applicazioni, ecc.) saranno abilitate, di bloccare ulteriormente le intrusioni a seconda del modello di utilizzo specifico per quella parte.

Internet Security and Acceleration Server 2004 - Le funzionalità avanzate presenti in ISA Server 2004 prevedono una più attenta analisi del contenuto che transita sulla rete, che consentirà ai clienti di proteggere le applicazioni Microsoft in modo efficace e di rendere più sicure le connessioni VPN remote. Un’interfaccia utente familiare e strumenti di gestione migliorati faciliteranno l’implementazione e la gestione dei criteri di protezione per i clienti, riducendo potenziali errori di configurazione, ossia diminuendo una causa comune di violazione della rete.

Exchange Edge Services - Questa nuova tecnologia gestisce i numerosi e mutevoli problemi di protezione legati alla posta elettronica. Exchange Edge Services blocca i messaggi pericolosi in entrata o in uscita e la posta indesiderata, difendendo il sistema da attacchi al server di posta e da virus diffusi tramite e-mail e crittografando i messaggi per ottimizzarne la protezione. Questa tecnologia Microsoft fornisce inoltre una base su cui sviluppatori di terze parti possono costruire tecnologie, quali filtri di posta elettronica di prossima generazione, prodotti per la crittografia dei messaggi e soluzioni per la conformità della posta elettronica.

Tecnologie di protezione attiva – È ormai imprescindibile prevenire per contenere gli attacchi, rendendo i computer sempre più flessibili anche in presenza di worm e di virus sofisticati. A questo scopo, Microsoft sta investendo nello sviluppo di tecnologie quali:

  • Protezione dinamica del sistema: regola in modo proattivo le difese di ciascun computer sulla base dei cambiamenti del suo “stato”. Ad esempio, l’installazione di nuovi prodotti software, la modifica della configurazione, la necessità di un nuovo aggiornamento o la connessione a reti differenti possono rendere un computer più vulnerabile. La protezione dinamica del sistema individua queste modifiche e regola di conseguenza il livello di sicurezza. Oggi i clienti Microsoft possono utilizzare la funzione di aggiornamento automatico di Windows, che individua quando un computer necessita di un nuovo update. Prevediamo che i computer non saranno solo in grado di individuare le modifiche, ma anche di adattarsi ad esse in modo proattivo. Per esempio, un computer portatile che si sposta da una rete aziendale a una connessione ADSL o modem potrebbe risultare più protetto se il firewall integrato chiudesse più porte.
  • Blocco del comportamento : limita la capacità di un computer infetto di causare ulteriori danni, attraverso l’intercettazione e il conseguente blocco di un comportamento insolito e sospetto. Per esempio, il worm Blaster colpiva una funzionalità vulnerabile di Windows che causava la replica del worm in altri computer. Il blocco del comportamento avrebbe contenuto questo attacco.
  • Firewall applicativo e prevenzione delle intrusioni : identificano il traffico di rete dannoso e lo bloccano. I firewall tradizionali possono essere superati da worm e virus incorporati in quello che sembra essere un traffico regolare. Questa nuova tecnologia consentirà una profonda analisi del traffico di rete e bloccherà o limiterà la distribuzione del contenuto pericoloso.

Strumenti antispam - Microsoft ha intrapreso una serie di attività per combattere lo spamming, poiché virus, worm e altro codice dannoso si diffondo spesso tramite la posta elettronica indesiderata. In novembre Microsoft ha presentato la tecnologia SmartScreen, un filtro utilizzato nei nostri programmi di posta elettronica client e online. Il filtro diventa progressivamente “più intelligente” man mano che gli utenti gli insegnano a identificare messaggi non desiderati. Lo scorso mese Microsoft ha annunciato un’implementazione pilota di Caller-ID, una tecnologia che autentica l’origine della posta elettronica - molto simile al Caller-ID del telefono. Sul fronte legale, nel frattempo, lo scorso anno la società ha intrapreso 66 azioni contro spammer di tutto il mondo.

Analisi client - A livello aziendale, una delle maggiori preoccupazioni riguarda gli home computer o i laptop remoti infettati da un virus o da un worm e che in seguito si connettono a una rete aziendale. Stiamo elaborando tecnologie che analizzeranno queste periferiche remote e bloccheranno l’accesso alla rete se non superano un esame di “buono stato di salute”.

Web Services - La distribuzione di WS-Security, una specifica standardizzata che migliora l’integrità, la riservatezza e la protezione dei Web Services, aiuterà le aziende a collegare i sistemi internamente ed esternamente in modo più protetto. Questo protocollo è vantaggioso dal punto di vista economico ed è flessibile, consentendo la crittografia dei messaggi e il supporto delle firme digitali. Un recente rapporto del WS-I Security Profile Working Group delinea nuove contromisure per combattere le sfide e le minacce legate alla realizzazione di Web Services interoperabili.

Aggiornamento

Fino ad ora gli aggiornamenti software sono stati la modalità principale con cui le aziende hanno protetto la vulnerabilità dei loro sistemi. Sebbene la natura mutevole delle minacce richieda una risposta più ampia e in più direzioni, Microsoft sta continuando ad apportare significativi miglioramenti alla qualità degli aggiornamenti e ai processi associati e sta realizzando strumenti più avanzati per aiutare gli amministratori IT a ottimizzare l’infrastruttura per renderla più sicura.

Lo scorso autunno abbiamo deciso di rilasciare gli aggiornamenti con cadenza mensile per migliorare la capacità di previsione delle attività di diffusione del software di aggiornamento e per diminuire il carico di lavoro degli amministratori IT (sebbene continueremo a rilasciare aggiornamenti non programmati per proteggere i clienti in caso di una minaccia attiva). Stiamo inoltre migliorando le procedure di testing per ridurre al minimo i problemi, ed entro la prossima estate la maggior parte dei nostri aggiornamenti sarà dotata di funzionalità di rollback complete.

System Management Server 2003, lanciato sul mercato lo scorso novembre, è una soluzione completa per la distribuzione e la gestione del software e degli aggiornamenti che consente alle organizzazioni di implementare rapidamente e con facilità gli ultimi aggiornamenti in modo sistematico. A gennaio abbiamo rilasciato Microsoft Baseline Security Analyzer v1.2, uno strumento gratuito che offre un metodo semplificato di identificazione dei comuni errori di configurazione delle funzionalità di protezione. 

Windows Update Service, un’evoluzione di Software Update Services 1.0 (SUS), costituisce un ulteriore passo in avanti nella strategia di gestione degli aggiornamenti e delle patch di Microsoft. Componente gratuito di Windows Server, Windows Update Service offre agli amministratori di rete funzioni di aggiornamento, analisi e installazione integrata sia per i server che per i desktop Windows. Le nuove funzionalità includono la possibilità di fornire ai clienti un ulteriore controllo e automazione che permettono di ridurre le interruzioni dei sistemi durante gli aggiornamenti, oltre a strumenti per aggiornare SQL Server, Exchange Server, Office 2003, Office XP e Windows. Attualmente ne esiste una versione beta, mentre il rilascio è programmato per la seconda metà del 2004. Stiamo inoltre arricchendo Windows Update di un nuovo servizio che consentirà di tenere aggiornati automaticamente i clienti su una vasta gamma di prodotti Microsoft. Il servizio Microsoft Update sarà disponibile nei prossimi mesi Uno strumento all’avanguardia consentirà di verificare automaticamente lo stato di importanti funzionalità di protezione, quali il firewall, l’aggiornamento automatico e l’antivirus. Una nuova applicazione Security Center nel Pannello di controllo di Windows XP indicherà ai clienti se le principali funzionalità siano attive e aggiornate. Quando rileva un problema, invierà una notifica al sistema, che risponderà segnalando le azioni corrette da intraprendere per essere più protetti.

Autenticazione e controllo degli accessi

Oggi milioni di computer sono connessi tra loro e fornitori e partner hanno spesso accesso alla rete di un’organizzazione. Per questo motivo esiste la probabilità che individui non autorizzati accedano a informazioni digitali, quali messaggi di posta elettronica, transazioni o documenti. In questo ambiente il controllo degli accessi (chi, cosa e quando) e l’autenticazione sono aspetti critici per garantire la protezione di un’organizzazione.

Password - Le password forniscono il meccanismo più comune per l’autenticazione degli utenti che devono accedere ai computer e alle reti. Possono essere anche un sistema di autenticazione poco affidabile se gli utenti scelgono password comuni per ricordarle con maggiore facilità. Il gruppo di prodotti Windows Server 2003 dispone di una nuova funzionalità che controlla la complessità della password per l’account Administrator durante la configurazione. Se la password non è stata impostata o non soddisfa i requisiti di complessità, viene visualizzata una finestra di dialogo per avvertire del pericolo che si corre se non si utilizza una password più sofisticata. Stiamo anche ampliando il nostro supporto per complessi meccanismi di autenticazione a due fattori, attraverso partnership con società quali RSA Security e VeriSign.

Smartcard - Windows Server 2003 e Windows XP supportano anche smartcard, dispositivi delle dimensioni di una carta di credito che consentono l’archiviazione protetta di certificati digitali, chiavi pubbliche e private, password e altri tipi di informazioni personali. L’accesso a una rete con una smartcard garantisce una potente forma di autenticazione, in quanto utilizza un’identificazione basata sulla crittografia e sulla prova di possesso della chiave privata presente sulla smartcard; in altre parole, qualcosa che si possiede e qualcosa che si conosce.

Infrastruttura a chiave pubblica(PKI) - Windows Server 2003 include funzionalità che consentono alle aziende di implementare un’infrastruttura a chiave pubblica, con il rilascio di certificati digitali. Una PKI offre i meccanismi necessari per supportare l’emissione e la gestione del ciclo di vita dei certificati digitali. L’utilizzo di questa tecnologia offre una valida autenticazione basata sulla tecnologia della crittografia a chiave pubblica.

Biometric ID Card - Il sistema Tamper-Resistant Biometric ID Card, attualmente in programmazione, offrirà una soluzione innovativa, semplice e di facile utilizzo per fornire “tessere di riconoscimento” (photo-ID card) protette da crittografia, attraverso l’utilizzo di una combinazione univoca di tecnologie di codice a barre, compressione e crittografia a chiave pubblica.

IPSEC – Altro componente importante di una completa e attenta strategia di protezione delle informazioni, IPsec elimina molti rischi di attacchi tramite l’autenticazione reciproca dei computer e la limitazione del traffico di rete in entrata basato su quell’autenticazione. Inoltre, permette di applicare la firma digitale al traffico di informazioni scambiato per garantire l’integrità dei dati e assicurarne la riservatezza. L’implementazione IPsec di Microsoft, in uso nella nostra rete aziendale, è completamente conforme agli standard e sarà in grado di comunicare con tutte le altre implementazioni IPsec conformi, incluse quelle che supportano la conversione degli indirizzi di rete.

Qualità

Come abbiamo già affermato, Microsoft si impegna a utilizzare le tecniche, gli standard e le procedure esistenti per la creazione di prodotti software. Abbiamo intrapreso una rigorosa iniziativa di miglioramento del processo di produzione del software, affinché i nostri tecnici comprendano e utilizzino le strategie migliori per la progettazione, lo sviluppo, il testing e il rilascio del software.

Le procedure di implementazione della sicurezza definite lo scorso anno, prima del rilascio di Windows Server 2003, costituiscono un eccellente esempio di successo per portare vantaggi ai clienti. Il numero di bollettini sulla sicurezza “critici” o “importanti” emesso per Windows Server 2003, paragonato a Windows 2000 Server, è sceso da 40 a 9 nei primi 320 giorni di presenza di ciascun prodotto sul mercato. Analogamente, per SQL 2000 sono stati emessi 3 bollettini nei 15 mesi successivi al rilascio della Service Pack 3 (contro i 13 bollettini dei 15 mesi precedenti al rilascio). Con Exchange 2000 SP3 è stato emesso un solo bollettino nei 21 mesi successivi al rilascio (rispetto ai 7 dei 21 mesi precedenti).

Abbiamo ottenuto ottimi risultati tramite lo sviluppo di nuovi strumenti interni che verificano automaticamente il codice, ricercano errori comuni e testano il software in modo più approfondito prima che questo venga rilasciato. Ad esempio, utilizziamo strumenti di verifica del codice che cercano automaticamente classi di errore che possano creare problemi di protezione o interruzioni del programma. Desideriamo mettere queste tecniche avanzate a disposizione di altri sviluppatori di software attraverso training e strumenti adeguati.

Formazione dei clienti e partnership

Le migliori tecnologie del mondo sono inefficaci se non si sa come usarle o non se ne conosce l’esistenza. Con centinaia di milioni di utenti di computer in tutto il mondo e diversi livelli di conoscenza dei sistemi di protezione, questa è una sfida importante e Microsoft sta investendo in modo significativo per aiutare i clienti a comprendere come rendere più sicuri i loro ambienti IT.

Il nostro obiettivo è quello di raggiungere 500.000 clienti aziendali nel mondo entro la fine di quest’anno, per poter fornire loro informazioni su come ottimizzare la protezione dei sistemi e delle reti. Stiamo definendo partnership con altri leader del settore per aiutare i clienti a ottimizzare le soluzioni per la sicurezza e la gestione degli aggiornamenti. Organizziamo inoltre seminari e distribuiamo pubblicazioni per gli sviluppatori affinché realizzino Web Services e applicazioni sicure.

A partire da aprile, Microsoft organizzerà in varie città italiane 10 incontri denominati Security Summit, con l’intento di offrire ai professionisti IT e agli sviluppatori esperti un training di elevato livello tecnico sulla sicurezza. Questo training gratuito si aggiunge alle diverse opportunità che Microsoft sta offrendo affinché i clienti siano in grado di proteggere i computer e le reti, tra cui Webcast, momenti di formazione autodidatta e laboratori con esercitazioni. Abbiamo anche istituito corsi di formazione sul tema rivolti ai clienti di tutto il mondo; ulteriori informazioni sono disponibili presso le filiali Microsoft.

Abbiamo inoltre creato un Security Guidance Center per gli sviluppatori e i professionisti IT all’indirizzo microsoft.com/security/guidance (in lingua italiana su www.microsoft.com/italy/sicurezza). Su questo sito i clienti possono trovare consulenza di alto livello tecnico, strumenti, training e aggiornamenti che consentono loro di pianificare e gestire strategie di protezione più efficaci. Queste informazioni gratuite includono checklist che permettono l’esecuzione di processi e verifiche relativi alla sicurezza, istruzioni dettagliate per una serie di attività di protezione e assistenza specifica in base alla tecnologia e al prodotto per favorire la protezione di piattaforme, reti, desktop e dati.

Per i consumatori stiamo organizzando una campagna di formazione mondiale, insieme a produttori di computer, retailer, ISP e altri partner, al fine di creare una più ampia consapevolezza sulle strategie migliori per mantenere il PC sicuro e protetto. A questo proposito, va posta particolare attenzione su tre aspetti importanti: l’installazione di software antivirus, l’utilizzo di un firewall Internet e il ricorso a funzionalità di aggiornamento automatico di Windows per scaricare automaticamente gli ultimi aggiornamenti Microsoft.

Abbiamo unito le nostre forze con società quali Computer Associates, Network Associates, Symantec, Trend Micro, F-Secure, ISS (BlackICE), Tiny Software e Zone Labs per garantire offerte speciali su software antivirus e firewall personali di terze parti.

Abbiamo contribuito alla formazione della Virus Information Alliance, che include 10 importanti fornitori di antivirus per aiutare gli utenti di Internet a trovare informazioni sui virus più recenti che minacciano la tecnologia Microsoft.

A febbraio è stato annunciato che la Global Infrastructure Alliance for Internet Safety (GIAIS) ha rafforzato la collaborazione tra Microsoft e i maggiori Internet Service Provider in merito ai problemi di protezione. I membri della GIAIS svolgevano già un ruolo importante collaborando con Microsoft all’identificazione delle firme dei virus nel caso di MyDoom e allo sviluppo di tattiche per porre rimedio e garantire la sicurezza dei consumatori.

Gli esperti di sicurezza Microsoft stanno partecipando a iniziative sponsorizzate dal Department of Homeland Security and Congress degli Stati Uniti, il cui scopo è di rafforzare l’infrastruttura critica della nazione, che vanno dalle procedure tecniche consigliate nello sviluppo software alla gestione efficace delle patch, fino alla creazione di un ecosistema aziendale necessario a supportare le azioni di protezione.

Microsoft si sta impegnando affinché la legge venga osservata su base mondiale per dissuadere i pirati informatici da azioni di sabotaggio del software. Lo scorso novembre Microsoft ha promosso l’Anti-Virus Rewards Program, offrendo ricompense in denaro per informazioni fornite alla FBI o all’Interpol che portino all’arresto e alla condanna delle persone responsabili della diffusione dei virus e dei worm.

Il futuro

La sicurezza è una sfida così enorme e importante che nessuno del nostro settore ha mai affrontato. Non si tratta semplicemente di dover sistemare alcune funzionalità più vulnerabili e proseguire. La riduzione dell’azione di virus e worm a un livello accettabile richiede una nuova concezione della qualità del software, un continuo miglioramento degli strumenti e delle procedure e investimenti crescenti nelle nuove tecnologie di protezione progettate per bloccare codice di software dannoso o distruttivo prima che possa provocare seri danni. Informazioni dettagliate su come aumentare la sicurezza sono disponibili all’indirizzo www.microsoft.com/security (in lingua italiana su www.microsoft.com/italy/sicurezza ) .

La tecnologia ha compiuto enormi passi negli ultimi vent’anni e non è accettabile che alcuni criminali impediscano a tutti noi di assaporarne i suoi sorprendenti benefici.

Bill Gates

Leggi altri articoli