Secunia, società danese da anni attiva nel campo della sicurezza informatica ha rilasciato Personal Software Inspector (PSI) 2.0, nuova versione del software capace di rilevare tutte le applicazioni installate sul sistema Windows (compresi add-on e plugin per il browser) indicando la disponibilità di eventuali aggiornamenti e proponendo le istruzioni per adottare le versioni più recenti. PSI 2.0 è ben lungi dall’essere un “esercizio di stile” o comunque un’applicazione rivolta alla cerchia degli utenti che vogliono essere sempre “alla moda” installando l’ultima versione di un programma. Quando si parla di aggiornamenti per le varie applicazioni la “moda” c’entra ben poco: nuove problematiche di sicurezza vengono infatti scoperte, con una frequenza pressoché giornaliera, nelle varie applicazioni, siano esse complessi software commerciali oppure noti programmi opensource. E’ quindi importante comprendere l’importanza che riveste la tempestiva applicazione delle patch di sicurezza rese disponibili dai produttori software.
Una volta confermata l’esistenza di una falla di sicurezza, i produttori di ciascuna applicazione si adoperano per risolverla rilasciando una versione aggiornata del programma. Collegandosi ad Internet da un sistema che “monta” versioni obsolete, ad esempio, di software quali Adobe Reader, Flash Player, Java, QuickTime, Firefox, Skype e così via si corrono non pochi rischi: gli aggressori sono soliti preparare pagine web o sferrare attacchi che fanno leva su vulnerabilità note presenti nelle versioni più vecchie dei software più famosi ed utilizzati.
Mantenere il sistema operativo e le applicazioni installate costantemente aggiornate è quindi la chiave di volta per evitare la stragrande maggioranza degli attacchi informatici. Tra i software presenti sul personal computer, quelli che debbono essere maggiormente oggetto d’attenzione sono tutti i programmi che vengono utilizzati per scambiare informazioni in Rete (si pensi al browser Internet, al client di posta elettronica, al software per l’invio e la ricezione di messaggi istantanei e così via).
Come noto, uno degli scenari di attacco più comuni consiste nel visitare una pagina web che contiene del codice “maligno”, opportunamente inserito dall’aggressore, per eseguire automaticamente – sul sistema dell’utente – delle operazioni dannose, capaci di minare alla sicurezza del sistema e di rappresentare una grave minaccia per l’integrità e la riservatezza dei dati conservati sul personal computer. Attacchi di questo genere sono solitamente conseguenza dell’utilizzo di browser web non aggiornati che presentano una o più vulnerabilità di sicurezza critiche, spesso già ampiamente note oppure derivano dall’impiego di plugin per il browser non aggiornati all’ultima versione (si pensi a Flash Player, al plugin di Adobe Reader, a quello di QuickTime e così via).
In altri casi, gli aggressori cercano di indurre l’utente – utilizzando svariati espedienti – a scaricare ed aprire uno specifico file sul personal computer. L’apertura di file PDF, documenti Word, Excel o PowerPoint, file musicali o video impiegando versioni obsolete di un programma può esporre a gravi rischi: anche in questo caso, sfruttando le lacune insite in alcuni software, un aggressore può aver gioco facile e riuscire ad eseguire il suo codice dannoso.
Bersagliatissimi anche gli utenti che fanno uso di versioni di Java Runtime Environment (JRE) ormai superate e quindi insicure. Microsoft stessa ha lanciato l’allarme circa un’ondata di attacchi sferrati nei confronti di Java mediante la pubblicazione sul web di applet nocive (ved. questo articolo).
Se la funzionalità “Aggiornamenti automatici” così come il servizio “Windows Update” si occupano di controllare la disponibilità degli aggiornamenti per il sistema operativo e le applicazioni sviluppate da Microsoft, l’utente non dispone oggi di uno strumento unico per la gestione delle patch relative a tutte le varie applicazioni installate, comprese quelle realizzate da produttori diversi da Microsoft.
Secondo Secunia, per mantenere sempre aggiornati all’ultima versione tutti i software installati sul proprio personal computer, l’utente normale dovrebbe imparare a gestire ben 22 differenti meccanismi di update. La stessa Secunia ha più volte ricordato come una soluzione “standardizzata” a livello Windows possa davvero porre rimedio alla situazione. Già in Windows 7 avremmo auspicato di vedere una funzionalità che consentisse agli utenti di essere informati non solo sulla necessità di applicare degli aggiornamenti per Windows e le altre applicazioni Microsoft ma anche per i software sviluppati da terzi. A Redmond si potrebbe pensare ad inserire nel sistema operativo una funzionalità simile a quella adottata nel caso dei software antivirus ed antimalware: già a partire dal Service Pack 2 di Windows XP, infatti, Windows è capace di rilevare la mancanza di un pacchetto antivirus installato sul sistema e di mettere in allerta l’utente nel caso in cui questo dovesse risultare disabilitato oppure non aggiornato.
Il problema riguarda essenzialmente gli utenti di Windows: tutte le distribuzioni Linux consentono infatti di mantenere automaticamente aggiornato l’intero “parco software” installato sul sistema. Software “proprietari” come Adobe Reader o Flash Player possono essere aggiornati attraverso l’impiego di appositi “repositories“.
La ricetta proposta da Secunia consiste nell’utilizzare PSI 2.0, un software che offre un’unica interfaccia attraverso la quale il singolo utente può verificare lo stato di ciascun programma e determinare se siano o meno disponibili degli aggiornamenti di sicurezza.
PSI si incarica infatti di verificare lo stato del sistema e delle applicazioni installate segnalando la presenza di versioni obsolete e quindi non più adeguate.
La novità più importante inserita in PSI 2.0 è senza dubbio l'”inedito” meccanismo di aggiornamento automatico. A partire dalla seconda versione, infatti, il software di Secunia è in grado di scaricare ed installare in modo automatico gli aggiornamenti per le applicazioni rilevate sul sistema Windows. Sebbene l’archivio delle applicazioni integrato in PSI sia molto vasto, nel caso in cui un programma non dovesse essere correttamente rilevato, Secunia mette a disposizione uno strumento per segnalare il problema e contribuire al miglioramento dell’utilità.
Già immediatamente dopo aver avviato l’installazione del programma, una volta accettate le condizioni del contratto di licenza d’uso, PSI 2.0 chiede all’utente se sia interessato ad installare in modo automatico gli aggiornamenti disponibili per le varie applicazioni installate sul suo sistema.
Attivando la casella Enable Auto-Updates, PSI 2.0 aggiornerà i programmi rilevati sul personal computer in uso senza alcun intervento manuale da parte dell’utente. Qualora si preferisse evitare tale comportamento, è possibile spuntare la casella Require user-interaction before each Auto-Update. Così facendo, PSI richiederà sempre, in occasione di qualunque aggiornamento, l’esplicita autorizzazione dell’utente prima di procedere.
La finestra successivamente esposta durante la procedura d’installazione di PSI 2.0 (“Tray Icon Configuration“), richiede all’utente se desideri o meno ricevere informazioni dettagliate circa le applicazioni a proposito delle quali vi sono delle novità, ad esemio l’aggiunta o la rimozione di un programma dall’elenco dei software monitorati.
Spuntando la casella Show full change information in tray icon notifications, PSI mostrerà informazioni molto dettagliate nell’area della traybar di Windows.
Terminata la procedura d’installazione si potrà acconsentire all’avvio del programma che, dapprima, verificherà la disponibilità della connessione Internet quindi scaricherà alcune informazioni necessarie al suo funzionamento.
PSI 2.0 effettuerà quindi, sempre in modo automatico, una scansione del contenuto dei dischi fissi in modo tale da verificare quali applicazioni sono state installate sul sistema. Al termine della fase di scansione, è possibile esaminare le conclusioni della stessa cliccando sul link Scan results.
In questo caso, com’è possibile verificare nell’immagine, PSI 2.0 ha rilevato 12 programmi non aggiornati e 2 applicazioni che sono state discontinuate dai rispettivi produttori (“end-of-life programs“). Questi ultimi sono software che non sono più supportati e per i quali Secunia suggerisce la rimozione completa (o la migrazione verso versioni più aggiornate).
Il “Secunia System Score” è un punteggio che PSI assegna al sistema e che indica quale livello di sicurezza offre, complessivamente, il personal computer in uso.
Nel nostro caso, abbiamo installato ed eseguito PSI 2.0 su una macchina virtuale Windows XP SP3 che utilizziamo per scopi di test e che abbiamo volutamente lasciato parzialmente non aggiornata.
La seconda novità di PSI 2.0 è l’interfaccia utente completamente ridisegnata rispetto alle precedenti release del software. Nella schermata principale del programma di Secunia sono infatti concentrate solamente le informazioni più importanti (dati statistici, comparazione del livello di sicurezza del proprio personal computer con quello garantito dagli utenti che risiedono nella stessa regione geografica, evoluzione dello stato di sicurezza del sistema).
Cliccando sulla voce Scan results, situata nella colonna di sinistra, si possono esaminare i risultati della scansione operata da PSI 2.0.
Per ciascun programma, PSI indica il livello di pericolosità della versione in uso (“Threat rating“), il numero della versione rilevata e l’operazione da compiere (di solito l’installazione di una release aggiornata).
Nell’immagine, si può notare come PSI abbia notato la mancanza di patch Microsoft relative al framework .Net, ad Internet Explorer, a Media Player, Movie Maker, Outlook Express ed al sistema operativo stesso. Inoltre, è stata rilevata la presenza di vecchie versioni di Google Chrome, di Flash Player, di Firefox, Thunderbird, del client di messaggistica istantanea Pidgin, di VLC e di Java.
Per le applicazioni ove è indicato, nella colonna Install solution, “The Secunia Auto-Update agent“, significa che PSI 2.0 provvederà automaticamente all’aggiornamento prelevando automaticamente i file corretti e proponendone l’installazione.
Nel nostro caso, dopo un riavvio del sistema operativo, PSI 2.0 ha immediatamente proposto l’installazione degli aggiornamenti (ved. indicazioni “Approve update“):
Il link Approve update appare solamente nel caso in cui, durante l’installazione, si sia spuntata la casella Require user-interaction before each Auto-Update. Diversamente, lasciando attivata la casella Enable Auto-Updates, gli aggiornamenti vengono applicati in modo del tutto automatico.
Durante l’utilizzo di PSI 2.0 abbiamo rilevato comunque un problema: nel caso di applicazioni come Firefox e Thunderbird, la funzionalità “Auto-Update” del software di Secunia ha provveduto sì ad installare automaticamente le versioni più aggiornate ma localizzate tuttavia in inglese (sul sistema erano presenti, invece, versioni più datate, ma in italiano, dei medesimi software). Una ragione in più per attivare la casella Require user-interaction before each Auto-Update al momento dell’installazione (abbiamo comunque segnalato a Secunia quanto rilevato durante l’uso del programma).
Il comportamento di PSI 2.0 è modificabile accedendo alla finestra Configuration quindi attivando la casella Prompt before running automatic program updates.
Per disattivare completamente la funzionalità di aggiornamento automatico, è necessario togliere il segno di spunta dall’opzione Enable automatic updates. Disabilitando tale casella, PSI 2.0 funzionerà in modo identico alla versione precedente: il programma di Secunia informerà l’utente circa le applicazioni non aggiornate (quindi potenzialmente pericolose) ma si dovrà procedere all’installazione manuale di patch e versioni più recenti.