Windows Vista Opzioni

[Flag]

ciumpia! hai ragione O.O

ho fatto l'ordine or ora per l'home premium per 19.90€

cmq non penso di installarlo subito, insomma mi funziona tutto alla perfezzione perchè cavolo dovrei metterlo?!? tantopiù che il programma Advisor (quello che verifica se il tuo pc è pronto per Vista) mi dice si che posso metterlo ma non mi riconosce i componenti intel che ho (IMG:http://www.ferraraforum.it/style_emoticons/default/anne-sophie.gif)

[Senbee Norimaki]

ATTENZIONE!!!!!

Come ben descritto in questo articolo, l'unica funzione per cui Vista valeva la pena di essere acquistato, cioè il non far girare l'utente da amministratore (funzione che elimina la possibilità di contrarre virus e di dover riformattare sempre, già presente su tutti gli altri sistemi operativi dal 1984), si è rivelata una bufala colossale!!!

Ecco l'articolo:
http://blogs.zdnet.com/security/?p=29

--------------------------------------------------

February 13th, 2007
Hacker, Microsoft duke it out over Vista design flaw
Posted by Ryan Naraine (*)

Joanna Rutkowska has always been a big supporter of the Windows Vista security model. Until she stumbled upon a "very severe hole" in the design of UAC (User Account Control) and found out — from Microsoft officials — that the default no-admin setting isn't even a security mechanism anymore.

Rutkowska, a hacker with a track record of defeating Vista's security mechanisms, believes UAC has a major flaw in the way it automatically assumes that all setup programs (application installers) should be run with administrator privileges.

"[When] you try to run such a program, you get a UAC prompt and you have only two choices: either to agree to run this application as administrator or to disallow running it at all. That means that if you downloaded some freeware Tetris game, you will have to run its installer as administrator, giving it not only full access to all your file system and registry, but also allowing it to load kernel drivers! Why should a Tetris installer be allowed to load kernel drivers?," Rutkowska asked in a post on her Invisible Things blog.

That's because Vista uses a compatibility database and several heuristics to recognize installer executables and, every time the OS detects that an executable is a setup program, "it will only allow running it as administrator."

This, in Rutkowska's mind, is a "very severe hole in the design of UAC."

"After all, I would like to be offered a choice whether to fully trust given installer executable (and run it as full administrator) or just allow it to add a folder in C:Program Files and some keys under HKLMSoftware and do nothing more. I could do that under XP, but apparently I can’t under Vista, which is a bit disturbing," she added.

A few days after Rutkowska flagged the UAC shortcoming, Microsoft's Mark Russinovich wrote a detailed technical explanation of the way the mechanism works. One thing that stood out in Russinovich's explanation is an admission of sorts that the default configuration of UAC puts the user at risk of a sophisticated code execution attack.

Russinovich, a technical fellow at Redmond, writes:

As you experiment you’ll find that your actions are limited, but there are some design boundaries that you should be aware of. First, with the exception of processes and threads, the wall doesn’t block reads. That means that your low-IL command prompt or Protected Mode IE can read objects that your account (the standard-user version if you’re a member of the administrator’s group) can.

This potentially includes a user’s documents and registry keys. Even the ability of a process at low IL to manipulate objects of a higher IL isn’t necessarily prevented. Since processes running at different integrities are sharing the same desktop they share the same “session”. Each user logon results in a new session in which the processes of the user execute. The session also defines a local namespace through which the user’s processes can communicate via shared objects like synchronization objects and shared memory.

That means that a process with a low IL could create a shared memory object (called a section or memory-mapped file) that it knows a higher IL process will open, and store data in the memory that causes the elevated process to execute arbitrary code if the elevated process doesn’t properly validate the data.

That kind of escape, called a squatting attack, is sophisticated and requires the user to execute processes in a specific order and requires knowledge of the internal operation of an application that is susceptible to manipulation through shared objects.

Russinovich pegged it as a tradeoff between application compatibility and ease of use, explaining the weakness as a "design choice."

Because elevations and ILs don’t define a security boundary, potential avenues of attack , regardless of ease or scope, are not security bugs. So if you aren’t guaranteed that your elevated processes aren’t susceptible to compromise by those running at a lower IL, why did Windows Vista go to the trouble of introducing elevations and ILs? To get us to a world where everyone runs as standard user by default and all software is written with that assumption.

That explanation isn't sitting well with Rutkowska. In an e-mail interview, the Polish malware researcher said she was "pissed off" by what she perceived as Russinovich's flippant attitude to the potential risk.

"It seems like Microsoft realized that implementing UAC would be hard, so they decided not to call it a security mechanism anymore and that 'potential avenues of attack, regardless of ease or scope, are not security bugs'," she said, quoting directly from Russinovich's essay.

"I don't think it's fair after all this Vista security campaign we observed in 2006, where Microsoft was boasting about this new security model in Vista. This is not a proper way to solve security problems. Microsoft, instead of trying to diminish the problem, should work on the solutions (even if they expected to see a dozen of new attacks against UAC)," she added.

Rutkowska also took issue with this line from Russinovich's argument:

"[H]aving your elevated AAM processes run in the same account as your other processes gives you the convenience of allowing your elevated processes access to your account's code and data, but at the same time allows your non-elevated processes to modify that same code and data to potentially cause an elevated process to load arbitrary code…"

"This is not valid," Rutkowska declared. "If we followed this reasoning, then we would not be able to talk about security in our email clients nor web browsers, because they all also access data and code which are not trusted."

Her final thought: "I believe that the Vista security model is a good thing and that users can benefit from it, but Microsoft must change their attitude and start treating them as security mechanisms."

[UPDATE: February 13, 2007] Rutkowska wrote in to clarify a few things that appear confusing in the article above:

There are two different things, which should be distinguished:

1. The fact that UAC *design* assumes that every setup executable should be run elevated.

2. The fact that UAC *implementation* contains bugs, the one noted in the original blog entry that allows a low integrity level process to send WM_KEYDOWN messages to a command prompt window running at high integrity level.

I was “pissed off” not because of #1, I was “pissed off” because Microsoft employee — Mark Russinovich — declared that all *implementation* bugs in UAC are not to be considered as security bugs (see fact #2).

True, I also don’t like the fact that UAC forces users to run every setup program with elevated privileges (fact #1), but, I can understand such a design decision (as being a compromise between usability and security) and this was not the reason why I wrote my follow up titled “Vista Security Model - A Big Joke”.

-----
* Ryan Naraine is a journalist specializing in Internet and computer security issues.

Messaggio modificato da Senbee Norimaki il 16 Feb 2007 - 16:38

[axettone]

Io non vorrei passare per il bastian contrario, ma questo articolo non ha nessun valore.

A parte il fatto che la famiglia NT supporta la separazione sicura degli utenti dagli esordi (cioé da quando Microsoft ha pensato di costruire un sistema operativo business / server) questo "flaw" in realtà non esiste. Qui si tratta di avvisare l'utente che il programma richiede i diritti di amministratore: e se l'utente è amministratore può darli, proprio come avviene per esempio in linux.

[Senbee Norimaki]

No, in Linux e in XP tutti i setup che non richiedono diritti di amministratore (scrivere nel registro e in C:/Windows per Win, scrivere in root per Linux) funzionano senza chiedere nulla.
In Vista non si può.

In sostanza: in 2000/NT/XP il sistema funzionerebbe bene ma di default gira tutto da admin e così gli utonti (il 90%) si becca i virus e deve formattare ogni mese, mentre in Vista di default non sei admin ma fai partire TUTTI i setup da admin, anche quelli che potrebbero essere tranquillamente installati da user.

Il connubio perfetto, da sempre presente sugli altri sistemi operativi (vai da admin solo se il setup lo richiede + non sei admin di default) continua a non essere presente in alcun sistema Microsoft.

[axettone]

E invece Vista ha una forma di protezione ben più sofisticata. Se vai nella Local Security Policy puoi modificare le opzioni dell'UAC e il gioco è fatto. Linux, che da quando utilizzo windows seriamente mi sembra sempre più un bel giocattolino ma poco adatto ad ambienti di produzione (Unix non lo so), queste cose se le scorda. E per la cronaca, la percentuale del 90% di utonti è puramente immaginaria. Di computer formattati ogni mese onestamente non ne ho mai visti. Se saliamo a 6 mesi allora direi che una percentuale realistica è il 5% dell'installato, prevalentemente concentrato nel segmento home-15enni.
(IMG:http://img523.imageshack.us/img523/5716/ssap0.th.jpg)

Messaggio modificato da axettone il 16 Feb 2007 - 20:56

[Senbee Norimaki]

Si parlava del DEFAULT.
Linux lo puoi straconfigurare, non è certo lì il problema. Il fatto è che Linux quando te lo danno va già da user, XP e 2000 no, creando i noti casini nella rete. Come da articolo citato, i gestori di rete sono incazzatissimi con la politica M$ "dai all'ignorante un PC con diritti da admin sennò diventa scemo" perché questo ha creato una quantità impressionante di PC zombies che sta abbattendo la rete. Per ovviare a questo famoso problema, M$ rilascia di default la protezione UAC, che in realtà non risolve il problema perché installa TUTTO da admin, anche ciò che non ne ha bisogno.
Poi IO so configurare UAC e TU lo sai fare, come quando usavo Win giravo sempre da user, ma questo NON è il problema, perché chi sa fare a maggior ragione da Linux ci tira fuori anche il mondo.

Che Linux sia un giocattolino, è la stronzata informatica più allucinante che ho letto nella mia vita. L'affermazione non richiede nemmeno commenti. (IMG:http://www.ferraraforum.it/style_emoticons/default/icon_mrgreen.gif) (IMG:http://www.ferraraforum.it/style_emoticons/default/sisi.gif)

[axettone]

Ma forse hai perso di vista il problema: qui si parla di installer che richiedono l'elevation, bene. Allora per la maggior parte degli utenti (cioé quelli che non sanno che cosa l'UAC) si tratta di adobe reader, office, giochi, firefox, antivirus, utility.. o comunque la maggior parte di installabili che di sicuro non fanno casino nel sistema. Gli installer pericolosi dove li trovi? Sui siti porno? Già lì anche IE6 (il che è tutto dire) ti avvisa della pericolosità, per cui a quel punto è l'utente che ha la responsabilità. Se l'utente è così idiota da lanciare virus.exe allora anche in linux andrebbe nella GUI come root.
Linux è un giocattolino non certo in termini di architettura, ma in termini di funzionalità server enterprise.

[sayian]

Beh però scusa non riesco a capire dove sta la difficoltà di mettere un sistema che chieda un'elevation per qualsiasi operazione di installazione... dal software più comune al codice virale, perché il sistema operativo non dovrebbe chiedere un'autorizzazione specifica all'utente prima di eseguirlo? Credo che sarebbe la cosa più sicura alla fine...

[axettone]

Uhm...scusami ma credo di non aver capito bene che cosa intendi di preciso!

[sayian]

Allora, siccome ho un po' di confusione in testa e non ho ancora provato né visto Windows Vista, ti faccio una domanda semplice: quando devi installare un qualsiasi software o svolgere una qualsiasi operazione, Vista ti chiede di inserire la password di amministratore oppure no? Oppure devi essere già loggato come amministratore?

[axettone]

Dipende... Quando ti logghi tu hai comunque un "token" che non ti consente di svolgere attività amministrative. Se sei l'amministratore e l'azione che compi richiede l'elevation lo schermo ti diventa grigio e ti viene richiesto se vuoi concedere tale diritto; se la risposta è affermativa ti viene consegnato un secondo token che ti consente, per la durata del programma, di compiere task amministrativi. Se sei uno user normale devi comunque fare il classico run as per avere i diritti amministrativi. La differenza rispetto a prima è che anche l'administrator viene avvisato prima che i programmi agiscano in modo critico per il sistema, e dato che la maggior parte degli utenti vorrà essere administrator la cosa sarà parecchio utile perché in caso di software maliziosi l'utente si insospettirà nel vedere che il computer ti chiede dal nulla una elevation.

[sayian]

Ok, sì mi sembra che effettivamente un vantaggio ci sia. Il problema è che se ti chiede un messaggio dove c'è tipo "yes / no" buona parte della gente dice sì a casaccio senza prima pensare a cosa sta dando il consenso. L'idea è buona, però ancora non è una costrizione così forte da salvaguardare gli utenti più incapaci, per questo pensavo che chiedesse magari di riconfermare la password o qualcosa del genere. Insomma quello che voglio dire è che se si tratta solo di premere un bottone una finestra che ti compare all'improvviso, so per certo che la maggior parte degli utonti non la legge nemmeno, preme yes e se ne sbatte di quali conseguenze può avere. Se invece ti avesse chiesto di ridigitare la password, il fatto di perdere più tempo per tale operazione magari farebbe sì che l'utonto si insospettisca e magari legga prima di procedere.

Sicuramente a me farà comoda cmq questa funzionalità.

[Fonfi]

La password non viene richiesta solo se si sta usando il pc con i privilegi di amministratore; considerando che gia questo è sbagliato, se poi uno clicka a random senza leggere e nemmeno insospettirsi nel caso appaia dal nulla una richiesta di installazione (o un eseguibile in generale), beh, allora può fare a meno di usare il pc...

[axettone]

Più che altro nel 99,9% dei casi questo accade o quando si tenta di modificare qualche impostazione di sistema (ad esempio installare nuovi driver) oppure quando si installa un programma, e già qui anche nella testa degli utonti si crea l'associazione mentale tra l'annerimento dello schermo e la richiesta di diritti amministrativi. Se tu sei lì che navighi e ti salta fuori una cosa del genere un minimo di sospetto ti viene sicuramente. Comunque è chiaro che l'idiozia non la si può mai del tutto arginare.

[tancredi]

Sembra che qualcuno abbia già trovato una bella grande Svista.
Leggete un pò quetso link.

http://blogs.sysadmin.it/luigimarconi/archive/2007/01.aspx

Windows Vista a 99€ contro i 360 della versione full.
non male dire.
Certo che rimangono i troppi problemi di questo (poco) innovativo O.S.

[bzbiz]

Ohi ragazit, ma se il SO ti chiede "Sto per fare una roba da Admin, vado avanti?" e il tizio risponde di SI saranno poi cassi suoi o no? Meglio se gli si sputtana tutto, a da prendergli fuoco il PC con un Virus, così spende soldi a metterlo a posto e ci pensa 2 volte dopo...!

Non si può pretendere di avere un SO operativo a prova di idiota, perchè poi solo un idiota vorrà usarlo...

Secondo me hanno già fatto un bel passo avanti così...

[Senbee Norimaki]

Ma è questo il punto! Quella mentalità non è nociva SOLO nei confronti dell'idiota! E' nociva nei confronti di tutti perché adesso la comunità internazionale ha detto che una percentuale enorme di PC nel mondo è piena di malware, sono dei PC zombies che stanno mettendo a dura prova la rete! E tutto perché i Win girano soprattutto da admin!

[sayian]

Io dico la mia: se il sistema operativo rompesse un po' più le scatole all'utente prima di garantirgli la possibilità di fare una certa cosa, come ad esempio fargli riscrivere la password o qualcosa di simile, penso che le cose andrebbero meglio e il pc prenderebbe codice virale con più difficoltà. E non deve per forza essere un sistema a prova di idiota, non ci vedo niente di male se il SO ti chiede la password una volta di più, però intanto sei costretto a fermarti un attimo e a pensare a ciò che stai facendo. Purtroppo conosco un sacco di persone che non le leggono a prescindere certe finestre, lo so che è una cosa idiota però chi progetta SO su scala mondiale dovrebbe salvaguardare anche questo tipo di utente secondo me, e non gli costerebbe nulla fare una cosa del genere.

[bzbiz]

Ok, è nociva per tutti, allora tu saresti contento se da domani, per salvare "la rete dai virus" (versione moderna della frase populista "salviamo i bambini dalla perdizione") trasformassero TUTTI i PC in circolazione in Xbox360 ?

Perchè rispondi a questa domanda: Posso io, legittimo proprietario di un sistema Linux, loggarmi come Root? Se la risposta è si, allora in mano ad un esercito di idioti linux diventerebbe come Windows, l'unico modo per rendere innoquo un idiota e togliere TUTTE le possibilità di agire come Admin, ma a chi lasciamo decidere chi è idiota e chi meno alla MS? Alle Major? A quelli della FSF?

Fare educazione agli utenti! Questo è il punto, tutto il resto sono chiacchere da bar...

Perchè è al grido di "salvemo tuti dai virusss"TM che stanno introducendo DRM, TC e Palladium e "cazzi e slazzi"TM...

Ripeto io te lo chiedo 2 volte, se tu insisti, basta...

Ah e quoto il Sayian... (IMG:http://www.ferraraforum.it/style_emoticons/default/sisi.gif)

Messaggio modificato da bzbiz il 19 Feb 2007 - 18:27

[Fede_]

Perchè è al grido di "salvemo tuti dai virusss"TM che stanno introducendo DRM, TC e Palladium e "cazzi e slazzi"TM...

utente dell'ANNO!
(IMG:http://www.ferraraforum.it/style_emoticons/default/23.gif) (IMG:http://www.ferraraforum.it/style_emoticons/default/23.gif) (IMG:http://www.ferraraforum.it/style_emoticons/default/23.gif) (IMG:http://www.ferraraforum.it/style_emoticons/default/rofl.gif) (IMG:http://www.ferraraforum.it/style_emoticons/default/rofl.gif) (IMG:http://www.ferraraforum.it/style_emoticons/default/rofl.gif)

[Fonfi]

Quoto in pieno Bzbiz! (IMG:http://www.ferraraforum.it/style_emoticons/default/b-rabbit.gif)

[sayian]

(IMG:http://www.ferraraforum.it/style_emoticons/default/sisi.gif) (IMG:http://www.ferraraforum.it/style_emoticons/default/sisi.gif) (IMG:http://www.ferraraforum.it/style_emoticons/default/sisi.gif)

[Senbee Norimaki]

Perchè rispondi a questa domanda: Posso io, legittimo proprietario di un sistema Linux, loggarmi come Root? Se la risposta è si, allora in mano ad un esercito di idioti linux diventerebbe come Windows, l'unico modo per rendere innoquo un idiota e togliere TUTTE le possibilità di agire come Admin, ma a chi lasciamo decidere chi è idiota e chi meno alla MS? Alle Major? A quelli della FSF?

Fare educazione agli utenti! Questo è il punto, tutto il resto sono chiacchere da bar...

Certo, l'educazione degli utenti parte dal non produrre sistemi operativi che DI DEFAULT ti fanno partire da root, capite?

(a parte che per esempio in Ubuntu non si può proprio loggarsi da root, al massimo fai un SUDO ma devi comunque mettere la password)

[Fonfi]

Il broblema è che la gente NON VUOLE NON PARTIRE DA ROOT!
Tutto vogliono avere tutto a disposizione con un solo click; prova a dire che devono aprire la shell e scrivere SUDO poi il nome dell'eseguibile...
Tutti ti risponderanno che è troppo sbattimento!

[axettone]

Esatto! Molta gente vede il computer come uno strumento (a volte maldigerito) che deve essere solo semplicissimo da usare. Un windows configurato al meglio (cioé un po' oltre il semplice setup) può rispondere benissimo a queste esigenze senza compromessi per la sicurezza e per Vista il discorso è più vero che mail. Le aziende del resto stipulano contratti di assistenza che se sono validi, comprendono anche una messa in opera migliore possibile e che cioé dia i giusti diritti a chi ne ha bisogno e li neghi a chi può fare dei danni.
E poi suvvia, questo catastrofismo sulla rete non è credibile. L'ultimo gigaworm risale se non sbaglio al 2004 (e da allora windows ha compiuto notevoli passi avanti dal punto di vista delle sicurezza, anche perché MS, in ritardo è vero, ha deciso di investire seriamente nel settore...una coincidenza?) e da allora il problema serio è lo spam, che però dipende dalle politiche poco accorte di alcuni ISP (vedi tele2) più che dai so.
Dimenticavo: http://www.microsoft.com/whdc/system/vista/kernel-en.mspx
(giusto per uscire dalla banalità del "ooh Vista ciuccia un sacco di ram!")

Messaggio modificato da axettone il 20 Feb 2007 - 09:09