Il prossimo 8 aprile, Microsoft cesserà di supportare Windows XP. Com’è noto, la fine del “supporto esteso” per Windows XP, porterà con sé una prima ed importantissima implicazione: Microsoft non rilascerà più alcun aggiornamento, neppure le patch per risolvere i problemi di sicurezza più gravi.
Chi continuerà ad utilizzare sistemi Windows XP dopo l’8 aprile 2014, sarà vulnerabile a tutti quegli attacchi che dovessero sfruttare lacune di sicurezza rimaste irrisolte.
Viste le quote di mercato che ancora vanta Windows XP (a fine novembre il sistema operativo più utilizzato, secondo NetApplications era Windows 7 con il 46,6%, seguito proprio da Windows XP con il 31,2%; Windows 8 terzo con il 6,7%), sono molti gli analisti a ritenere che la fine del “supporto extended” possa rappresentare un grave rischio.
È lo stesso Tim Rains, direttore del gruppo Trustworthy Computing di Microsoft, a lanciare un nuovo messaggio d’allerta: “il mese successivo al ritiro di Windows XP, in occasione del primo “patch day”, criminali informatici di tutto il mondo inizieranno ad effettuare il reverse engineering degli aggiornamenti rilasciati per verificare se le vulnerabilità corrette nei sistemi operativi più recenti siano presenti anche in Windows XP“.
Cosa significa? Che l’8 aprile 2014 Microsoft dovrebbe rilasciare gli ultimi aggiornamenti di sicurezza per Windows XP. A distanza di circa un mese, durante il “patch day” di maggio, il colosso di Redmond rilascerà aggiornamenti, ad esempio, per Windows 8.x, Windows 7 e Windows Vista, ossia per tutti i sistemi ancora supportati ma non per Windows XP. Gli aggressori potrebbero quindi studiare le vulnerabilità risolte e controllare se le stesse siano presenti nel vecchio Windows XP.
In altre parole, i malware writers avranno a disposizione un sistema operativo – Windows XP – che soffrirà costantemente di vulnerabilità “zero-day”, destinate a restare irrisolte.
C’è anche un ulteriore aspetto, secondo noi, da tenere presente: Windows Server 2003, il sistema operativo per macchine server che è stato fatto derivare dal kernel di Windows XP, sarà supportato fino a metà luglio 2015. Ciò significa che se da un lato Microsoft continuerà a rilasciare aggiornamenti per Windows Server 2003, è altamente probabile che le vulnerabilità via a via sanate in questo sistema siano egualmente presenti in Windows XP.
Ciò che preoccupa, secondo alcuni esperti, è che non c’è ancora molta consapevolezza del problema fra gli utenti. Lasciare macchine Windows XP libere di collegarsi alla rete, dopo l’8 aprile prossimo, può significare aprire le porte ad una vasta schiera di attacchi. Si parla di rischi concreti che in ambito aziendale potrebbero avere come conseguenza la sottrazione di dati sensibili, la distruzione di informazioni importanti ed ingenti perdite economiche.
Oltreoceano, le autorità statunitensi hanno ad esempio già avvisato gli istituti bancari: in caso di perdite di dati, ad esempio le informazioni relative alle carte di credito della clientela, dovute alla presenza di sistemi Windows XP nell’infrastruttura aziendale, le banche saranno chiamate a risponderne in sede di giudizio.
In Italia, dove l’attenzione è al momento concentrata su decine di altri problemi, non ci risulta siano state assunte misure similari. L’ufficio del Garante Privacy dispone comunque dei poteri per imporre delle linee guida a livello nazionale.
Su un piatto della bilancia c’è Microsoft che ha dichiarato di non essere più disposta a supportare un sistema operativo ormai vecchio di 12 anni (un’era geologica se si parla di informatica); sull’altro piatto ci sono molti professionisti ed imprese, mal disposti ad affrontare costi per l’effettuazione di un aggiornamento che viene percepito non ancora indispensabile. “Eppure Windows XP funziona bene; il sistema operativo lavora anche su personal computer dotati di una configurazione hardware ridotta; anche gli applicativi legacy sono pienamente compatibili…“, sono alcuni tra i commenti più gettonati.
Coloro che non potessero fare a meno di macchine Windows XP dovrebbero isolarle il più possibile all’interno dell’infrastruttura aziendale e comunque disconnetterle completamente dalla rete Internet. Nel caso di applicazioni legacy, una delle soluzioni migliori consiste nell’affidarsi a soluzioni per la virtualizzazione dell’intero sistema operativo eseguendo Windows XP all’interno di un “recinto” impenetrabile dall’esterno.
Certo è che un fastidioso problema legato alle installazioni di Windows XP SP3 sta causando non pochi problemi anche adesso, alcuni mesi prima del “pensionamento” del sistema. Migliaia di utenti stanno infatti riscontrando l’impossibilità di applicare gli aggiornamenti veicolati attraverso Windows Update. Sintomo? CPU che schizza al 100% con il processo SVCHOST.exe che “affossa” il sistema e lo rende praticamente inutilizzabile. La soluzione? Nel nostro articolo Windows Update, SVCHOST e CPU al 100% su Windows XP SP3.