Come Microsoft ha “tappato i buchi” di Windows Server 2003

Insieme a Gordon Mangione, responsabile tecnico della società, abbiamo cercato di capire, in termini di sicurezza, quali siano effettivamente le garanzie che il nuovo Os server dovrebbe dare ai sistemi informativi. L’utilizzo delle patch non si ferma. Anzi, raddoppia.

"Se abbiamo imparato qualcosa dai malicious attack che ci hanno colpito negli ultimi anni è che la sicurezza è senza dubbio un tema in continua evoluzione, sul quale dobbiamo costantemente investire il massimo delle risorse, in termini economici e di ricerca - ha esordito in quest’intervista Gordon Mangione, vice president del Sql Server Team di Microsoft -. Non è sufficiente la revisione del codice, non si tratta solo di rendere sicuri i prodotti, ma bisogna aiutare i clienti nello sviluppo e nella gestione dei sistemi".


Una delle caratteristiche che più incuriosisce del nuovo Windows server è il concetto di "features turned off by default". Perché avete riscontrato la necessità di disattivare servizi, come ad esempio Iis 6.0 o il networking?


"

Ma chi avesse necessità di utilizzare il 100% delle risorse di Windows Server 2003, come chi volesse installarlo sulle proprie macchine di produzione o pubblicazione, vedrebbe aumentare il proprio rischio di vulnerabilità?


"La questione non è tanto di avere tutte le funzionalità attive o meno, si tratta piuttosto di essere coscienti dei servizi che stanno girando sulle proprie macchine. Mi spiego meglio: se per fruire di una funzione di Windows 2003 all’interno dell’infrastruttura It, ci si trova a doverla attivare, allora si potranno anche prendere tutte le precauzioni del caso settando correttamente i firewall, o qualsiasi altro dispositivo di sicurezza di cui si disponga, e soprattutto si sarà coscienti dell’attività del servizio, che potrà essere monitorato adeguatamente. Non si tratta, quindi, di una diretta proporzionalità tra feature attivate e aumento del rischio, ma più semplicemente di ridurre la superficie esposta agli attacchi, aumentando la consapevolezza dei clienti di ciò che effettivamente stanno utilizzando".

La release di Windows Server 2003 è recente, tuttavia, sul sito di Windows Update abbiamo già trovato una quarantina di security patch. La maggior parte riguarda problemi di scarsa importanza, alcune però interessano questioni piuttosto serie, come ad esempio il Blaster Worm, il buffer overrun nel convertitore Html, o le note vulnerabilità di Explorer, che, se sfruttate, permetterebbero a un hacker di eseguire codice sulle macchine. Cosa devono aspettarsi i clienti a riguardo? La frequenza di rilascio delle security patch sarà frenata dalla nuova architettura di Windows 2003? E se così non fosse, in che maniera pensate di facilitare il deployment delle patch ai clienti enterprise?


"Non credo che assisteremo al decremento del rilascio di security patch, anzi credo piuttosto che vedremo aumentarne considerevolmente il numero. Proprio per questo motivo abbiamo fornito alle corporation strumenti che consentano loro di scaricare in maniera proattiva gli upgrade, e di propagarli agevolmente a tutti i desktop e le workstation. Al momento stiamo investendo ingenti risorse nel trasformare quello che oggi è rappresentato da Windows Update, in Microsoft Update, estendendo questo tipo di servizio a tutti i prodotti e fornendo una risorsa per gestire le patch e propagarle alle proprie macchine".

Qual è la maggiore causa degli exploit e in che maniera pensate di poter ridurne il numero?


"Stiamo lavorando su due fronti, in prima battuta vogliamo fornire ai clienti un buon training e i tool per utilizzare al meglio i prodotti, e dall’altro lato stiamo cercando un sistema sicuro per comunicare ogni nuova vulnerabilità a chi utilizzi il nostro software. Finora quello che è avvenuto nella maggior parte dei casi è stato che noi annunciavamo di aver trovato nuove vulnerability e di avere rilasciato i fix, e immediatamente la comunità hacker cominciava a lavorarci sopra. Oggi abbiamo cominciato a sperimentare soluzioni come videoconferenze e webcast e stiamo lavorando per capire quale sia il sistema migliore per ridurre questo ciclo".


Una delle caratteristiche del nuovo Iis 6.0 contenuto in Ws 2003 è la possibilità per i processi che utilizzano Web service, di operare in modalità protetta. Vuol dire che pensate di iniziare a vedere l’utilizzo dei Web service al di fuori dei firewall aziendali?


"Come hanno confermato anche incontri con alcuni clienti italiani, l’integrazione è un problema. Da quando il Web ha raggiunto i clienti finali e le organizzazioni si sono rese conto di quante informazioni questo strumento permettesse loro di raccogliere, abbiamo assistito a una crescita esponenziale di database e sistemi Erp. I Web Service sono la via più semplice e cost effective per integrare tutte queste informazioni. Utilizzando questa tecnologia possiamo fornire alle organizzazioni data wharehouse in grado di indirizzare agli end user tutte le informazioni contenute nei database di cui necessitano, e senza dover necessariamente forzare le loro infrastrutture It. Per quanto riguarda i nostri prodotti, l’accoppiata Web Service e Sql 2000 viene utilizzata prevalentemente come una soluzione per scambiare informazioni all’interno delle organizzazioni, come, ad esempio, per la costruzioni di Web page attraverso cui interrogare i database dietro i firewall. Lo studio di protocolli sicuri, di tecnologie in grado di garantire delegazione e federazione della sicurezza, devono continuare a evolversi per poter garantirci quella interbusiness communication che tutti ci aspettiamo. Per il momento, però, il prossimo futuro della comunicazione B2B e B2C ruoterà sicuramente intorno alle Public key, e secondo noi, Kerberos e l’infrastruttura Pk, contenuti nel nuovo Windows Server 2003, sono ottimi esempi di ciò che abbiamo fatto per iniziare a fornire questo tipo di sicurezza, fermo restando che la sicurezza è e sarà un tema sempre in continuo sviluppo".

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here