Google sembra aver deciso: via Windows dai PC dell’azienda, per dar spazio ad altri sistemi operativi, vedi Linux, OS X o il proprio Chrome OS che dovrebbe arrivare presto. La motivazione? Questioni di sicurezza. Una motivazione che sembra affondare le proprie radici nel recente attacco subito da Google in Cina in un’operazione denominata “operazione Aurora“.

Ma cosa successe esattamente durante quell’attacco che in Gennaio portò poi Google ad accusare il governo cinese? Un dipendente Google, ricevuta una falsa e-mail, cliccò su un link presente nel corpo del messaggio. Si aprì la finestra di Internet Explorer 6 e il browser si collegò ad una pagina web contenente del codice nocivo. Un exploit iniettò da remoto un malware all’interno del PC del dipendente di Google. Da qui in poi l’inferno. Grazie al malware installato gli attacker hanno potuto avere accesso al PC e, da lì, iniziare la scalata alla rete Google installando ulteriori malware e analizzando il sistema da remoto per vedere come e dove poter colpire.

Perché operazione Aurora? Perché due dei malware scaricati dall’exploit, e quindi associati all’attacco, contenevano alcune stringhe di debug nel proprio codice, tra cui la path al progetto dove i due malware erano stati compilati. Nella path era presente la parola Aurora, come a voler indicare che quello fosse il nome del progetto. Da qui l’attacco denominato Operazione Aurora.

Ora che si è chiarito un po il panorama di cosa successe quei giorni, si possono fare alcune riflessioni.

L’exploit utilizzato per attaccare il PC del dipendente Google era stato studiato e progettato per attaccare principalmente Internet Explorer 6, sebbene potenzialmente la vulnerabilità fosse presente anche in versioni successive di Internet Explorer. Il codice originale, tuttavia, non era del tutto affidabile e non riusciva ad attaccare le versioni aggiornate del browser di Microsoft.

L’attacco era quindi mirato, specificamente studiato per colpire una vittima di cui probabilmente si conosceva sia quali PC utilizzava, sia come convincerlo ad cliccare su un link in una e-mail.

È stato più volte ribadito che l’utilizzo di Internet Explorer 6 è una seria minaccia alla sicurezza del sistema. Si tratta di un browser che ha sulle proprie spalle 9 anni e una tecnologia assolutamente arretrata e insufficiente per le minacce attuali.

Eppure, ben sapendo tutto ciò, ancora viene registrato un utilizzo di tale browser ad Aprile 2010 intorno all’8.27%, pur avendo Microsoft rilasciato due versioni successive di Internet Explorer.

Un 8,27% su un 84,55% degli utenti mondiali che ad Aprile 2010 utilizzano Windows come sistema operativo è ancora una cifra quanto meno preoccupante – e si sta parlando di statistiche, che sono sicuramente ben lontane e inferiori alla realtà.

Utilizzando alcuni numeri: su 1.802.330.457 persone che, secondo le statistiche, utilizzano Internet al mondo, ci sono 1.523.870.401 persone che utilizzano Windows e, di queste, 126.024.082 persone in media che utilizzano ancora Internet Explorer 6. Stiamo parlando di statistiche, sia chiaro. Ma 126 milioni persone sono effettivamente un bel numero.

Microsoft ha invitato più volte i propri utenti ad aggiornare il browser in questione, rimanendo però inascoltata per varie motivazioni – tra le quali in generale anche aggiornamenti automatici di Windows interrotti per evitare che il crack utilizzato per eludere i controlli di originalità di Windows venga aggirato.

Il PC del dipendente di Google era inadatto a navigare su Internet utilizzando quel browser, era chiaramente a rischio vulnerabilità. Non vi è modo di sapere se l’account con cui lavorava il dipendente Google fosse un account limitato o amministratore locale. In entrambi i casi, tuttavia, i rischi erano concreti, come più volte ho avuto modo di spiegare in questo blog.

Il problema non è Windows, il problema è stata la presenza di una falla in un browser unita ad un attacco di ingegneria sociale, dove l’utente è stato l’anello debole, inconsciamente vittima.

Si può anche passare ad altri sistemi operativi, ma il problema purtroppo rimane. È stato dimostrato più volte, in tutti questi anni al CanSecWest Pwn2Own, come sia facile riuscire a sfruttare le falle presenti in Safari per riuscire ad avere accesso ad un sistema OS X in pochi minuti. Come l’exploit Aurora ha fatto con Internet Explorer 6.

Anche Linux è vulnerabile agli attacchi di ingegneria sociale, e una volta avuto accesso anche come semplice utente è possibile cominciare a registrare dati sensibili, password, digitate da tastiera nel sistema. Avevo scritto un esempio a riguardo in un precedente blog post.

I passi avanti fatti da Microsoft con Windows Vista e Windows 7 nel campo della sicurezza informatica sono stati notevoli, così come la nuova architettura dei nuovi Internet Explorer. I browser attuali, alcuni almeno, implementano tecnologie di sicurezza capaci di arginare eventuali danni causati da exploit. Se sul PC del dipendente Google fosse stato installato Windows 7 e Internet Explorer 8, non ci sarebbe stata probabilmente nessuna operazione Aurora. Perlomeno non nelle modalità viste a Gennaio, modalità che purtropp sono molto più diffuse di quello che si possa credere.

Ironicamente la notizia che Google abbandonderà Windows arriva in contemporanea alla notizia che la società di Mountain View rilascerà il proprio sistema operativo Chrome OS il prossimo autunno. Due notizie che sono in fondo correlate o solo casualità?