Quando un sistema va in crash la reportistica di dettaglio che spiega il motivo dell’errore aiuta a capire, e in molti casi a gestire, il problema.
Per questo motivo molti fornitori di software includono nelle loro applicazioni la capacità di raccogliere e ricevere i dati relativi all’arresto del programma, quando questo smette di funzionare. Eppure questo servizio può rivelarsi un boomerang per la sicurezza.
Vantaggi e rischi dei crash report
Quanti utenti di Windows ricordano la segnalazione degli errori che il sistema operativo faceva partire quando un’applicazione entrava in stallo si trasformava spesso in una schermata blu che lasciava intendere ci fossero poche speranze di vita per il PC?
Oggi le cose sono un po’ cambiate: la maggior parte delle applicazioni quando va in blocco lascia una certa autonomia al sistema operativo che in genere riesce ad abortire il programma e a riavviarsi, senza abbandonare l’utente che in genere può continuare a lavorare (anche se con un senso di insicurezza più o meno latente).
Il crash report che si genera in automatico e che spiega i motivi tecnici dell’anomalia e del blocco dell’applicazione sono però utilizzati dai cracker per progettare attacchi più o meno mirati.
Queste segnalazioni di errore, infatti, viaggiando sul Web, possono aprire delle falle alla sicurezza aziendale. Al punto da spingere i responsabili IT a interrogarsi se sia il caso di procedere con l’implementazione di policy di gruppo mirate.
Non è solo un problema di Windows
Secondo gli esperti del Websense Security Labs, molte applicazioni, di cui anche quelle di Microsoft, trasmettono i dati del rapporto di crash in chiaro e senza utilizzare alcun tipo di cifratura per informazioni anche molto sensibili come, ad esempio, la marca e il modello della macchina coinvolta, la versione del BIOS, l’ID e, in generale, l’inventario delle applicazioni installate.
Indubbiamente si tratta di dati che potenzialmente potrebbero essere utilizzati dagli hacker per profilare i dispositivi degli utenti e così trovare nuove vulnerabilità di Windows così come di altri sistemi operativi.
I crash report sono una pratica diffusa tra i vendor perché vengono utilizzati per risolvere i bug e le incongruenze dei programmi in modo da ottimizzare le release successive.
Le informazioni acquisite al momento del crash, insieme con informazioni sull’ambiente operativo, possono essere utilizzate dal personale del supporto tecnico per diagnosticare i vari errori del programma e intervenire a livello di sviluppo in modo mirato. Le segnalazione di errore di Windows o WER (Windows Error Reporting) utilizzano un’applicazione di debugger chiamata Dr. Watson, utilizzata da circa il 80% di tutti i PC collegati in rete.
Quei Big Data che viaggiano on line
Uno studio pubblicato sul giornale tedesco Der Spiegel su un team di hacker esperti dell’Agenzia per la Sicurezza Nazionale, chiamati unità TAO (Tailored Access Operations), utilizzerebbe uno spy tool chiamato XKeyscore per intercettare dal traffico Internet tutti i dati di crash di Windows. XKS è un ex sistema informatico segreto dell’NSA usato per la ricerca e l’analisi di dati internet sulle nazioni straniere di tutto il mondo, ma è anche vero che tutti gli hacker che conoscono questo strumento e potrebbero potenzialmente farne uso senza problemi e per scopi malevoli.
I rapporti di segnalazione degli errori, infatti, sono un tema che coinvolge migliaia di computer distribuiti in tutto il mondo, il che giustificherebbe appieno l’interesse degli hacker. La vulnerabilità dei PC legati ai crash report non è dunque una chimera.
Cosa dovrebbero fare i vendor (e le aziende)
Certo le segnalazioni di errore svolgono un ruolo importante per i fornitori, che utilizzano questi report di vulnerabilità per migliorare la stabilità e la sicurezza dei loro prodotti, ma non per questo devono mettere i sistemi degli utenti a rischio o in difficoltà.
Il consiglio degli esperti è che le aziende dovrebbero disattivare la segnalazione automatica degli incidenti, impostando delle Policy di gruppo.
Inoltre i provider, non applicando la crittografia alla reportistica di crash mettono a rischio i computer. La vulnerabilità risiede nella messa in pubblico di informazioni sensibili che non riguardano solo i propriteari del PC ma anche i fornitori di servizi Internet e gli sviluppatori di applicazioni.
Senza contare il fatto che anche nel caso i dati vengano crittografati prima della trasmissione, il crash report consuma banda preziosa e rallenta il riavvio dell’applicazione.
In conclusione, la condivisione delle informazioni per migliorare Internet e le applicazioni utilizzate è importante. A patto che questo non si trasformi in una vulnerabilità alla sicurezza della rete aziendale e, in generale, degli utenti.