Microsoft: Windows, WMF e storie di spionaggio mondiale
In una società che si sta battendo - in alcuni casi giustamente in altri cadendo nel ridicolo - per il diritto alla privacy, tutto quello che può servire a delineare una persona e le proprie informazioni personali è caduto "vittima" di una dura virata a causa delle nuove leggi. Ovunque ci sia la possibilità di recuperare informazioni personali c'è la corsa per poter tutelare l'individuo da eventuali possibili fughe di informazioni.
Ed è ovvio che in una società oramai più virtuale che reale il cybermondo dei computer è stato uno dei primi a subirne le prime conseguenze. In un periodo dove molto, troppo in alcuni casi, si vuole tutelare la propria individualità, dove un professore universitario deve stare attento a pubblicare i voti di un esame con nome e cognome degli studenti pena il rischio di denuncia, di allarmismi ne nascono tanti.
Quello che però in questi giorni sta girando nel mondo di Internet sta alimentando in maniera spaventosa le fantasie di chi sente che la privacy non esista più e che tutti siamo controllati e schedati nei database dei paesi più potenti al mondo.Alzi la mano chi non ha mai avuto il dubbio, sull'onda dei film americani di spionaggio, che Microsoft Windows, il sistema operativo più utilizzato al mondo, non avesse backdoor inserite di nascosto per permettere ai servizi segreti di entrare nelle vite di chiunque. Bene, quello che Steve Gibson, esperto di sicurezza informatica, dichiara di aver scoperto in questi giorni è qualcosa che tocca proprio questo argomento.
Gibson, nel suo podcast con Leo Laporte, ha dichiarato che, nel cercare di scrivere una patch per la falla WMF per i sistemi operativi più vecchi, quindi non aggiornati da Microsoft, ha fatto una scoperta interessante. Per capire meglio di cosa stiamo parlando, cerchiamo prima di spiegare in che cosa consiste in modo un po' più tecnico la famosa vulnerabilità WMF che in questi giorni ha creato parecchio scompiglio. Leggendo le news precedenti è stato scritto che la procedura incriminata era Escape/SETABORTPROC. Ma a cosa serve e che cos'è?
Quando un utente esegue la stampa di un documento, l'applicazione crea un Printer Device Context, una sorta di "struttura" che contiene tutto quello che si vuole stampare. Questo processo viene eseguito per passare i dati da gestire dall'applicazione al sistema operativo Windows. Ma che succede se l'utente decide di annullare la stampa dopo che il processo è stato già passato in gestione a Windows? Ecco che entra quindi in gioco la funzione SETABORTPROC, una sorta di callback, un collegamento per poter tornare indietro al programma.
La vulnerabilità scatta quando Windows incontra, nel processare un file WMF, la funzione Escape che chiama la procedura SETABORTPROC. In questo caso avviene il bug e la possibilità di eseguire codice. Bisogna premettere che un file WMF è composto da una serie di records e che ogni record può avere una lunghezza minima di 6 bytes. La scoperta che Gibson ha dichiarato di aver fatto è stata quella che l'esecuzione di codice avviene solo ed esclusivamente se si inserisce come lunghezza del record 1 byte, una sorta di "chiave magica".
Ecco che Gibson punta il dito contro Microsoft:
"Questo non è un bug o un errore di programmazione, è una backdoor volutamente inserita da Microsoft, non so da chi ma è possibile scoprire quando" dichiara l'esperto che, nell'intervista, si chiede anche perché sia stata lasciata la procedura SETABORTPROC in un contesto diverso da quello di stampa, dove teoricamente non servirebbe a niente. Gibson termina la propria analisi dichiarando che probabilmente questa backdoor, scoperta casualmente lo scorso dicembre, sia stata inserita volutamente da Windows 2000 in poi. Accuse pesanti insomma, dalle quali Microsoft si è prontamente difesa per mano di Stephen Toulouse.
"
Non è vero che la vulnerabilità può essere sfruttata solo con la falsa dichiarazione della lunghezza del record, qualunque lunghezza errata causa l'esecuzione di codice, sembra ci sia un po' di confusione su questo punto", ha dichiarato Toulouse. "
Quando si è deciso che i metafile avrebbero avuto accesso a tutte le funzionalità GDI è stata introdotta la vulnerabilità. Inoltre non è vero che la vulnerabilità può essere sfruttata solo dichiarando un'errata lunghezza del record, se così è stato è perché il record relativo alla procedura SETABORTPROC è l'ultimo nel metafile" ha poi aggiunto Stephen.
Infine Toulouse ha spiegato il perché non sia stata rilasciata una patch per i sistemi operativi più datati: "solamente perché la vulnerabilità non è sfruttabile così facilmente, poichè quando il contesto non è quello di stampa windows 9x non processerà mai la procedura SETABORTPROC". Hardware Upgrade ha avuto l'occasione di chiedere un parere a Costin Raiu, direttore dei centri di ricerca Kaspersky Lab in Romania.
"Penso che le dichiarazioni di Steve siano incorrette e che la vulnerabilità WMF in Windows sia solamente un bug. Solamente che spesso i bug possono mostrarsi sotto differenti aspetti. Per esempio, la vulnerabilità di Sendmail sfruttata dal worm Morris 14 anni fa altro non era che una funzionalità studiata male che ha permesso al worm di replicarsi. Ovviamente l'intenzione dell'autore non era quella, ma di errori ne capitano così tanti. Di bug ne capitano tanti e a volte sembra che possano prendere deliberate forme di backdoor anche se in realtà non lo sono. Con centinaia di società che studiano Windows alla ricerca di bug è impensabile che Microsoft possa aver inserito una backdoor sapendo che potrebbe essere scoperta da qualche ricercatore. Inoltre se lavorassi per Microsoft e volessi inserire una backdoor sicuramente la nasconderei in qualche posto migliore, per esempio nel kernel, avendo poi modo di poterla sfruttare da remoto per mezzo di pacchetti di rete segretamente modificati. Insomma, come ho detto, è solamente un bug che si può mostrare sotto differenti aspetti. E i programmatori possono fare degli sbagli. Dopo tutto, siamo solo umani :-)"
Se per gli amanti delle storie di spionaggio all'americana questa può apparire come un'altra conferma di un "1984" di Orwell, possiamo tranquillamente dire che forse troppo allarmismo non giustificato non fa altro che causare ulteriori danni alla società .
Insomma, possiamo dormire sonni tranquilli, almeno sotto questo punto di vista.
Marco Giuliani
hwupgrade.it
