Microsoft difende DEP e ASLR

A distanza di poche ore dalla fine della CanSecWest e del temuto contest Pwn2Own, Microsoft è voluta intervenire per porre fine alle critiche che hanno preso di mira le misure di sicurezza adottate dai propri sistemi. Un post sul blog del Windows Team, un intervento difensivo dell’Internet Explorer Team, un modo per chiarire la situazione prima che le specifiche patch intervengano radicalmente ed a livello tecnico sui problemi emersi.

«Proteggere gli utenti Windows è una assoluta priorità per il team di ingegneri di Internet Explorer. Questo perchè lavoriamo duro per assicurarci che il nostro browser abbia a disposizione alcune delle migliori funzioni per la sicurezza e la privacy disponibili ad oggi. Abbiamo speso molto tempo per discutere di alcune delle più visibili funzioni quali SmartScreen Filter, che protegge gli utenti dal malware “socially engineered” e dal phishing, o InPrivate che permette di tenere sotto controllo la condivisione delle proprie informazioni». Ma questo non basta, poichè ad essere messe alla berlina sono state tecnologie differenti quali la Address Space Layout Randomization (ASLR) e la Data Execution Prevention (DEP).

Il caso prende piede in seguito agli exploit con cui al Pwn2Own sono stati affondati Internet Explorer e Firefox. Pete LePage spiega che le tecniche adottate (con specifico riferimento a DEP e ASLR) non sono una misura di difesa assoluta, ma rappresentano piuttosto una forte ostruzione: «queste protezioni sono progettate per rendere significativamente più difficile per un malintenzionato l’exploit ad una vulnerabilità». Microsoft, insomma, considera le proprie tecniche di difesa degli strumenti “a tempo”, ideati non tanto per una difesa senza falle, ma piuttosto per porre un forte ostacolo sulla via degli exploit.

LePage usa una metafora curiosa ricordando tutte le misure di sicurezza che, in caso di incendio, non garantiscono di soffocare le fiamme, ma riescono ad opporre una durata che garantisca la necessaria via di fuga in caso di pericolo. Il concetto è simile: Microsoft intende far arrivare le patch a destinazione prima che gli exploit prendano piede, poichè è in questa fase che il gruppo vede concretizzati i pericoli e realmente bypassate le misure di sicurezza adottate.

«Internet Explorer 8 su Windows 7 aiuta a proteggere gli utenti con tutte queste funzioni di difesa in profondità, e non vi è nulla che occorra fare per abilitarle: sono abilitate di default. È questo uno dei motivi per cui incoraggiamo gli utenti a verificare di avere in uso gli ultimi software ed i più aggiornati». Nessun allarme, quindi: Microsoft considera la sicurezza una membrana di difesa organica, in grado di reagire dinamicamente alle minacce e non certo pensata per respingere sul nascere qualsivoglia attacco esterno. Un approccio pragmatico, quindi, ad un problema che negli anni non ha mai potuto offrire certezze assolute.