Ci sono volute solo poche settimane dopo il lancio per l'arrivo della prima patch di sicurezza di Vista e, in modo piuttosto preoccupante, dato il giro di "più sicuro Windows OS ever”, si riferiva a una vulnerabilità critica nel Malware Protection Engine, il cuore di Windows Defender e OneCare di Vista applicazioni. Progettato per proteggerti dal malware, conteneva una scappatoia attraverso la quale forze esterne potevano controllare il tuo sistema.
Non sto bussando a Microsoft per il gusto di farlo qui: in realtà mi piace Vista e applaudo gli sforzi che Microsoft ha compiuto per rafforzare la sicurezza nel nuovo sistema operativo. Quello che non mi piace è che dopo tutti quei test, tutti quei ritardi e tutto il clamore del marketing, Vista potrebbe ancora essere lanciato con una vulnerabilità critica che scodinzola contro qualsiasi canaglia che sa dove cercare Esso. Certamente, Windows Defender si sarà aggiornato automaticamente non appena il problema è stato segnalato e il motore è stato corretto, ma non è questo il punto. Il punto è che sono necessari ulteriori test prima che un sistema operativo possa essere dichiarato sufficientemente sicuro per essere utilizzato applicazioni mission-critical, da distribuire in tutta l'azienda, anche per essere considerate il fulcro di una casa operazione di business.
Il mio consiglio a quelle aziende che hanno chiesto informazioni sull'aggiornamento è lo stesso consiglio che ho dato quando XP è arrivato sulla scena (e Windows 2000 e 98 e così via); vale a dire, attendere sei mesi per il rilascio di Fiji Service Pack 1. Almeno per allora, ci saranno stati sei mesi di test nel mondo reale invece di beta controllate, che, con la migliore volontà del mondo, non sono la stessa cosa. A quel punto, i bug iniziali saranno stati scoperti e eliminati. A quel punto, quelle affermazioni di "un livello di sicurezza completamente nuovo" lasceranno un sapore meno amaro in bocca.
Immagino che Microsoft debba provare esattamente quel gusto dopo che la sua applicazione di sicurezza di punta Live OneCare per Vista non ha superato il processo di certificazione Virus Bulletin VB100. Questo test standard del settore è noto per essere duro e richiede che tutti gli exploit vengano scoperti senza falsi positivi lungo il percorso. Solo l'idea che Microsoft presenterebbe OneCare per la certificazione senza essere sicura al 101% che passerebbe lo è piuttosto sorprendente, soprattutto se si considera che non c'è una seconda possibilità a causa di un "nessun nuovo test" politica.
Per aggiungere alla sensazione "non piove ma piove a dirotto" a Redmond, mi arriva la notizia che il client IM di Windows Live Messenger ha servito felicemente nel febbraio 2007, il che è alquanto ironico dato che l'applicazione pubblicizzata si chiamava ErrorSafe. Un piccolo controllo avrebbe rivelato che Symantec valuta questo prodotto come un rischio di livello medio, con l'avvertimento che potrebbe dare esagerato segnalazioni di minacce sul computer durante l'esecuzione e "richiede all'utente di acquistare una versione registrata del software al fine di rimuovere il segnalato minacce". Ecco perché è stato classificato come malware da un certo numero di fornitori di sicurezza e perché non ci sono scuse per gli annunci pubblicati all'interno di un Microsoft applicazione, dove non c'è modo di evitarli (a meno che non si violi l'EULA installando un'utilità di terze parti per rimuovere la pubblicità dal client IM, di corso).
Elaborazione a bassa integrità
Tornando a Vista, Microsoft ha migliorato IE senza fine dal punto di vista della sicurezza (se non dell'esperienza dell'utente) facendolo funzionare in modalità protetta per impostazione predefinita in Vista. Rendere IE un processo a bassa integrità senza il permesso di scrivere ovunque al di fuori della cache del browser, a meno che l'utente non lo dica quindi – rende la vita molto più difficile per il malware, che è confinato in altri luoghi a bassa integrità e non è in grado di fare altrettanto danno. Anche così, quando gli utenti hanno finito di installare componenti aggiuntivi da editori non attendibili (che, francamente, significa la maggior parte di loro in assenza di qualsiasi processo di moderazione o controllo), chissà che tipo di pasticcio sarà il browser In? Uso IE7 come browser preferito a titolo professionale o personale? Diamine, io uso Firefox e continuo a consigliare agli altri di fare lo stesso. È meno buggato, più facile da usare e non attira lo stesso volume di malizia degli hacker che fa IE.
