Sembrano non finire mai i problemi per Internet Explorer, il browser di casa Microsoft da mesi al centro di polemiche roventi per le sue falle di sicurezza. Dal phishing allo spoofing, dall’installazione di programmi nocivi alla modifica dei comportamenti del browser: negli ultimi giorni sono troppe e troppo importanti le vulnerabilità alla mercè di pirati informatici.
I problemi patiti da Explorer stanno insinuando dubbi sulla reale solidità del browser, facendo emergere le voci di chi da tempo lo addita come un vero e proprio pericolo per la navigazione dell’utente. Sono oramai molti gli avvisi di sicurezza che invitano esplicitamente l’utente a cambiare browser, lasciando il prodotto Microsoft per i meno esposti Mozilla, Opera o Firefox. Gli stessi “Advisories” di Secunia, una delle firme più autorevoli in tema di sicurezza informatica, da tempo consigliano l’uso di un altro Browser come soluzione per evitare problemi. Tra i siti d’informazione, il blasonato BusinessWeek Online ha pubblicato martedì una prova di browser alternativi a Explorer.
Il consiglio “Use another browser” è diventato un passa-parola che non giunge più solo da qualche fanatico dell’open source o da avversari storici di Microsoft, ma si fa strada anche in ambienti ufficiali. A giugno lo stesso US-Cert, il Computer emergency readiness team (Cert) che fa capo al Dipartimento per la sicurezza interna del governo degli Stati Uniti, ha pubblicato una nota in cui veniva spiegato a chiare lettere che «ci sono molte e rilevanti vulnerabilità legate alle tecnologie di Internet Explorer […] È possibile ridurre l’esposizione a queste vulnerabilità usando un altro browser, soprattutto quando si naviga su siti poco affidabili».
Il Cert fa riferimento esplicito a quattro diverse proprietà di Internet Explorer che renderebbero il browser di Windows meno sicuro di altri: il modello di sicurezza a “zone”, il supporto al DHTML, l’invocazione dei MIME type per la selezione del contenuto da processare e i plug-in ActiveX. Sono i talloni d’Achille del browser di Redmond, che sempre più spesso balzano agli onori delle cronache per la loro ricaduta sui navigatori di tutto il mondo.
Che sia un problema di vastissima portata lo dicono anche i soli numeri. Explorer è il browser utilizzato dal 95 per cento dei computer di tutto il mondo, una falla scoperta su Explorer rischia di diffondersi come un’epidemia su milioni di computer: dalla Malaysia all’Alaska. Anche i pirati informatici sanno che il monopolio di Microsoft può portare ad un esplosione delle falle, ed è lì che loro puntano tutto.
La scoperta ad inizio giugno di due vulnerabilità di Explorer sino ad allora poco conosciute, ha creato allarme e apprensione nei navigatori di mezzo mondo e negli amministratori di rete. Siti Web considerati sicuri sono diventati casse di risonanza di un trojan che rubava dati di carta di credito e password.
[Aggiornamento: Il 2 luglio Microsoft ha rilasciato un aggiornamento in grado di risolvere il problema.].
Da venerdì scorso, ma la notizia è trapelata solo ieri, vi è un altro allarme in corso: alcuni navigatori hanno riscontrato la diffusione di un eseguibile, tecnicamente un Browser Helper Object, che intercetta le comunicazioni di password e dati personali a siti Web protetti da connessioni criptate e li invia, prima che siano criptate, ad un sito Internet.
Se i problemi di sicurezza che sinora hanno creato maggiori grattacapi a Microsoft, come Blaster la scorsa estate e Sasser lo scorso Maggio, provocavano solamente un aumento del traffico della rete e danni limitati ai computer degli utenti, le ultime tecniche di pirati ben più spregiudicati puntano direttamente alle password, ai numeri di carta di credito, ai conti bancari e a tutto ciò che può portare un guadagno diretto.
Sono cambiati anche i metodi di propagazione. Se prima infatti maggiore era la riuscita dell’attacco quanto maggiore era il numero di vittime colpite, oggi minori sono le vittime maggiore è l’effetto: il difficile sta nel non farsi scoprire fintanto che non si sono messi da parte un bel numero di dati personali. Le nuove infezioni sono silenziose, e l’utente potrebbe rimanere anche settimane in balia dei virus senza che nessuno se ne accorga.
La soluzione? «Use another browser», usate un altro browser. Ad ottobre dello scorso anno, uno studio della Computer & Communications Industry Association (CCIA), un’associazione di cui fanno parte nomi come AOL, Kodak, Casio, Sun Microsystems, Oracle, Yahoo! da tempo impegnata a divulgare i pericoli del monopolio di Redmond, rilasciò un lungo rapporto intitolato “CyberInsecurity: the cost of monopoly” che aveva per sottotitolo “Come il predominio dei prodotti Microsoft crea i rischi alla sicurezza”. In quel documento veniva criticata la complessità dei software Microsoft: le decine di nuove funzioni hanno creato «inaccettabili livelli di complessità nei suoi software, in diretta contraddizione con i basilari principi di sicurezza informatica».
Browser come Opera e Firefox, ad esempio, cercano di rendere il tutto il più leggero possibile, secondo il vecchio principio del “less is more” (meno è di più). È una precisa strategia: «il nostro codice è minore se paragonato ad altri browser. E circoscrivendo con prontezza i problemi che emergono otteniamo un browser più sicuro», ha dichiarato a Cnet il responsabile tecnologico di Opera Software.
Come effetto della complessità di funzioni e della vasta diffusione dei software Microsoft vi è anche il ritardo nella distribuzione delle correzioni. Il processo di sviluppo è più lento: «Microsoft deve mettere a punto una patch – scrive un utente della mailing list BugTraq –, sottoporla alla valutazione del reparto Qualità, verificare che non interferisca con altri componenti, verificare che non comprometta l’usabilità del software e dopo rilasciarla al pubblico» Ecco forse il motivo per il quale ci sono patch, come quella sfruttata nei recenti attacchi al browser, che impiegano oltre dieci mesi per ottenere una risposta.
Il Service Pack 2 per Windows XP dovrebbe risolvere, secondo le previsioni, un gran numero di problemi di Explorer. Tuttavia non sembra possa intaccare la vera spina nel fianco del browser: la sua integrazione con il sistema operativo, la sua irriducibile complessità cresciuta negli anni per soddisfare da un lato l’integrazione con le varie parti di Windows dall’altro il legame dell’utente con un unico prodotto.
Due anni e mezzo fa, in una lettera ai propri dipendenti, Bill Gates scrisse che «d’ora in avanti, tra aggiungere nuove funzioni o risolvere questioni di sicurezza, dobbiamo scegliere la sicurezza»; da allora i problemi anziché diminuire sono aumentati e diventati ben più pericolosi. C’è qualcuno che suggerisce una svolta: la fine di Explorer, la sua uscita dall’arena dei browser. Windows dovrebbe essere distribuito utilizzando i software open source disponibili gratuitamente per tutti e la stessa fine dovrebbe fare anche Outlook Express, che condivide con il browser la stessa lunga serie di vulnerabilità pericolose. Uno scenario sempre più possibile.