E' stata resa nota la classifica che identifica le vulnerabilità di Windows più diffuse e pericolose, sviluppata da SANS in collaborazione con il National Infrastructure Protection Center dell’FBI. La classifica è divisa in due gruppi: il primo identifica i problemi di Windows mentre il secondo quelli relativi a Linux/UNIX. Le vulnerabilità elencate sono quelle per le quali è stato osservato uno sfruttamento regolare, il che farebbe supporre che si tratti delle vulnerabilità più semplici da attaccare perché meno coperte da patch. Il rapporto è interessante e significativo per esperti di sicurezza e non solo, perché costituisce una miniera di informazioni per determinare il proprio livello di rischio e trovare suggerimenti per riparare le falle del sistema operativo utilizzato. Quello che segue è un riassunto delle 10 segnalazioni più importanti, utile come punto di partenza per capire cosa proteggere e cosa fare perché sia protetto.
Server Web: la minaccia principale riguarda i server Web privi di patch o male installati, tra cui Apache, IIS, e SunOne. Le installazioni di default di gran parte dei server Web privi di aggiornamenti periodici che servono a riparare le falle scoperte di volta in volta, sono decisamente poco sicuri. E' bene ricordare che il software per server include spesso applicazioni dimostrative come, ad esempio, di siti Web non sicuri. Queste, non dovrebbero mai essere lasciate su un server di produzione. Ma la pericolosità va considerata anche se non si utilizza un server Web, perché il software relativo a quest’ultimo potrebbe comunque essere attivato di default. Ciò succede, per esempio, con Windows 2000 che installa di default una versione di IIS 5.0 veramente poco sicura; Servizio Workstation: è la seconda vulnerabilità più sfruttata dagli hacker. Questa, infatti, elabora le richieste di accesso a file e stampanti ma è esposta ad attacchi di tipo stack smashing su Windows 2000, Windows XP nelle versioni senza Service Pack 1 e Windows XP a 64 bit. Le patch fornite in MS03-049 per Windows 2000 e in MS03-043 per Windows XP risolvono questi problemi di sicurezza mentre Windows XP con installato il Service Pack 2 viene ritenuto completamente protetto; Servizi di Accesso Remoto: virus come Klez, Sircam e Nimda hanno sfruttato e ancora usano i servizi di accesso remoto a Windows per diffondersi rapidamente. Tutte le versioni di Windows sono vulnerabili ad attacchi di tipo "remote procedure call" (RPC) tranne Windows XP con Service Pack 2 che ha modificato il funzionamento degli RPC rendendolo più sicuro; Microsoft SQL Server: la quarta minaccia comprende diverse vulnerabilità presenti in Microsoft SQL Server, sfruttate ampiamente da Slammer ed altri worm. SQL Server è richiesto da numerose applicazioni e tool di programmazione come Visual Studio.NET, Access 2002 e Office XP che installano tutti una qualche versione vulnerabile del motore desktop di MSDE. La stessa, costituisce sostanzialmente la versione “lite” di SQL Sever. Per esempio, è necessario installare SQL Server su un Tablet PC, solo per utilizzare il sistema di navigazione GPS Delorme; Password e autenticazione: è la quinta minaccia. Le applicazioni Open Source, in particolare, spesso raccolgono le password ricorrendo a un algoritmo hashing, debole o conosciuto. Windows NT, Windows 2000 e Windows XP raccolgono, per esempio, le password usando LANMAN (hash LM) che permette di usare solo password brevi, pertanto molto semplici da violare. Windows Server 2003 non installa l’hash LM di default ma un sistema operativo legacy presente in rete potrebbe richiederlo. Microsoft ha indicato più volte come affrontare questa minaccia, indicando anche come disattivare l’autenticazione LM o aggirare i problemi di compatibilità. Se l’hash LM è operativo, anche la password più forte sarà troncata o comunque indebolita dallo stesso tool di crittografia; Internet Explorer: è alla sesta posizione della classifica delle minacce Windows più diffuse. Molte delle vulnerabilità indicate da SANS riguardano anche alcune versioni di Opera, Mozilla, Firefox e Navigator per cui il passaggio a un browser alternativo potrà ridurre ma non eliminare il problema. Per Internet Explorer sono state segnalate 153 vulnerabilità da aprile 2001, tanto che viene ancora considerato il browser di gran lunga meno sicuro. Le vulnerabilità di Internet Explorer segnalate nel 2004 sono 15 ma anche Mozilla ne ha registrate 7 mentre Navigator 2 e Opera 8. La protezione migliore resta quella di non entrare in Internet con una connessione ad alti privilegi e, soprattutto, con quelli di "Administrator". Inoltre, è meglio disattivare ActiveX non appena possibile. Windows XP Service Pack 2 ha migliorato i controlli di sicurezza di ActiveX; Reti peer-to-peer (P2P): l’uso di queste reti è molto diffuso e questo espone i sistemi a numerose minacce. Il P2P è indicato al settimo posto della classifica di pericolosità. La protezione migliore e forse l’unica davvero efficace è quella di non usare alcun software P2P su una rete aziendale. Considerato che questo accorgimento potrebbe essere difficile da far rispettare conviene usare un buon firewall per bloccare le porte usate a questo scopo, come TCP 8888, TCP 8875 e TCP 6699 per Napster; TCP 4661, TCP 4662 e UDP 4665 per eDonkey; TCP/UDP 6345, 6346, 6347 e 6348 per Gnutella. KaZaa utilizza la porta TCP 80 che non può essere bloccata così facilmente. Per ulteriori informazioni sul P2P è possibile usare questo link che rimanda ad una specifica pagina sull'argomento; Local Security Authority Subsystem Service (LSASS): in ottava posizione si trova la vulnerabilità al buffer overrun del LSASS, utilizzata per le autenticazioni e l’Active Directory. I worm Sasser e Korgo l'hanno sfruttata e risulta presente nei sistemi Windows 2000, Windows XP, Windows XP 64 bit e Windows Server 2003; Outlook Express: Outlook e Outlook Express sono in nona posizione e restano, probabilmente, le vulnerabilità dei sistemi domestici che utilizzano il client di posta non correttamente provvisto di patch di sicurezza. Chi non lo usa dovrebbe rimuoverlo da Windows, ricordando che ogni volta che si installa un nuovo service pack occorre aggiornare il sistema, perché Outlook Express potrebbe re-installarsi da solo; Windows Messenger: l'ultima minaccia a Windows è costituita dall’uso crescente dell’instant messaging in ambito aziendale. Nel sistema operativo è stato integrato direttamente Windows Messenger che supporta la rete di MSN Messenger mentre altri sistemi instant messaging come quelli di Yahoo e AOL si diffondono sempre più sui sistemi Windows. Per questo tipo di vulnerabilità non esistono protezioni complete se non quella di controllare attentamente la lista di accesso e aggiornare regolarmente il software utilizzato. (novembre 2004)