L’affermazione provocatoria di un manager Microsoft scatena le reazioni. Subito la rettifica
Jim Allchin, co-presidente uscente della divisione Platform & Services
di Microsoft, si è scusato pubblicamente attraverso il suo blog per la
confusione ingeneratasi in seguito alle dichiarazione da lui rilasciate durante
la settimana scorsa ad alcuni giornalisti. L’ennesima polemica è nata
infatti in seguito ad un’osservazione resa da Allchin riguardo Windows Vista:
"ho così tanta fiducia nelle funzionalità di sicurezza
integrate nel nuovo sistema operativo che sul personal computer di mio figlio
non ritengo ci sia bisogno di alcun software antivirus".
Allchin aveva citato il proprio figlio di sette anni come esempio per spiegare
come la nuova funzionalità "Parental control" inclusa in Vista
possa rivelarsi di per sé già più che sufficiente per bloccare
tempestivamente comportamenti dell’utente potenzialmente rischiosi (download
di programmi nocivi, collegamenti con siti web "maligni",…). Il
livello di sicurezza di Windows Vista, secondo l’ex-responsabile Microsoft,
si porrebbe quindi molti gradini più in alto rispetto a quello che contraddistingue
Windows XP SP2.
Allchin ha citato anche gli sforzi che si sono compiuti per combattere attacchi
oggi molto diffusi (buffer overflow). Molti codici maligni, ampiamente diffusi
in Rete, sfruttano URL esageratamente lunghi o contenenti caratteri non standard
per mandare in crisi il browser. La completa riscrittura di alcune porzioni
di codice di Internet Explorer dovrebbe quindi ridurre la superficie d’attacco
sulla quale possono eventualmente far forza aggressori remoti: il team di sviluppo
di Microsoft ha infatti definito un’unica funzione per la gestione degli indirizzi
Internet (URL).
Nel mirino anche gli attacchi “cross-domain scripting” attraverso
i quali il codice maligno inserito di una pagina web può essere in grado
di modificare i dati presenti in un’altra finestra del browser e, nei casi peggiori,
trasmettere ad aggressori remoti i dati personali inseriti dall’utente (ad esempio,
i dati di login ad un servizio di online banking).
Alcuni analisti hanno però subito criticato le parole di Allchin rimarcando
come nel 2001 egli avesse dichiarato una sostanziale invulnerabilità
di Windows XP agli attacchi di tipo buffer overflow, cosa che invece è
stata successivamente smentita. Altri hanno sospettato di un tentativo per mettere
i bastoni tra le ruote ai produttori di software antivirus che avevano criticato
duramente la tecnologia Patchguard.
Allchin ha successivamente puntualizzato di aver fatto soltanto un esempio
parlando di suo figlio e che l’adozione di una soluzione antivirus va valutata
in base allo scenario in cui viene utilizzato Vista.
