Home
Il mese della sicurezza Microsoft? Tutto HTML e niente arrosto

12 Marzo 2002

Il mese della sicurezza Microsoft? Tutto HTML e niente arrosto

di

C'era una cosa molto semplice che Microsoft avrebbe potuto fare, in questo autoproclamato "mese della sicurezza" appena concluso, per dimostrare subito agli utenti che finalmente prende sul serio la loro protezione. Una modifica banale che avrebbe tagliato le gambe a quasi tutti i virus più diffusi. Ma non l'ha fatta, e viene da chiedersi perché

Ha fatto scalpore l’annuncio che Microsoft avrebbe dedicato l’intero mese di febbraio al riesame del proprio software allo scopo di eliminare i suoi ormai noti problemi di sicurezza. I maligni non hanno perso tempo a commentare che la scelta era caduta, guarda caso, proprio sul mese più corto dell’anno, ma lasciamo stare.

Malignità a parte, obiettivamente un solo mese di debug di un assortimento di software così vasto e complesso come quello offerto da Microsoft non può realisticamente produrre risultati rivoluzionari; al massimo genera qualche ritocco qua e là. Di conseguenza, molti addetti ai lavori hanno liquidato l’annuncio come una mossa puramente pubblicitaria. E in effetti dopo un mese di travaglio la montagna non ha partorito neppure un topolino.

Eppure sarebbe bastato così poco per far rimangiare ai critici le loro aspre sentenze. Sarebbe bastata una sola modifica, precisa e mirata, per dimostrare la serietà delle intenzioni di Microsoft: permettere agli utenti di disattivare l’HTML nei messaggi ricevuti con Outlook e Outlook Express. Una modifica apparentemente astrusa, che però ha un impatto enorme e concreto sulla nostra sicurezza. Per capire perché, occorre fare una visitina a un juke-box un po’ particolare.

La Top Ten dei virus più gettonati

Presso il sito della società antivirus Trend Micro c’è una classifica molto insolita: quella dei dieci virus più diffusi, aggiornata in tempo reale. Per ben sei membri di questa sporca decina, l’infezione richiede soltanto che la vittima legga con Outlook o Outlook Express il messaggio contenente il virus. Una situazione a dir poco sgradevole, contro la quale educare l’utente alla prudenza non serve a nulla e gli “aggiornamenti di sicurezza” offerti da Microsoft sono l’equivalente informatico della terapia con le sanguisughe.

Come è possibile un abominio simile? Come può un e-mail, ossia del semplice testo, infettare un computer? Facile: in realtà non si tratta di semplice testo. Oggigiorno la stragrande maggioranza dei messaggi è infatti codificata in un formato, l’HTML, che era stato concepito originariamente per le pagine Web ma è stato adottato anche da molti programmi di posta (non solo quelli di Microsoft) per consentire anche nell’e-mail gli stessi effetti grafici accattivanti offerti dal Web: grassetti, corsivi, tipi di carattere diversi, immagini, sfondi e via dicendo.

Il problema dell’e-mail in HTML è che consente sì di abbellire i propri messaggi, ma comporta l’inserimento di istruzioni nascoste (“inizia qui il grassetto”, “inserisci qui un’immagine”, e via dicendo) nel testo vero e proprio. Fra queste istruzioni si può annidare facilmente anche un virus, che verrà eseguito automaticamente al pari delle altre istruzioni grafiche innocue.

Ritorno al bianco e nero

Basta dunque smettere di usare l’HTML nei messaggi per rendere sostanzialmente innocui sei dei dieci virus più subdoli e pericolosi. Certo significa rinunciare a tanti begli effettini visivi e tornare al testo puro e semplice dei primordi della Rete, ma sembra un prezzo modico da pagare per un simile salto di qualità nelle difese antivirus.

Si potrebbe obiettare che non è necessaria una soluzione così drastica: in fin dei conti ci sono gli antivirus e le tante patch di sicurezza offerte da Microsoft. Purtroppo, però, gli antivirus costano e vanno tenuti costantemente aggiornati, e le patch vanno scaricate e installate metodicamente: tutte cose che, ammettiamolo, non fa mai nessuno.

Anche l’utente più diligente, comunque, è protetto soltanto contro i virus conosciuti e i bachi noti, ma rimane totalmente vulnerabile a quelli non ancora identificati e corretti. Per esempio, la società israeliana Graymagic offre una dimostrazione (innocua) di una falla che consente a una pagina Web o a un e-mail in HTML di eseguire automaticamente qualsiasi programma scelto a piacere fra quelli presenti sul computer della vittima (un bel format c: /autotest /q /u, ad esempio: se non sapete cosa fa, non provatelo). Funziona con Windows 98, Windows NT4, Windows 2000 SP2 e Windows XP, anche se la vittima ha installato tutti gli aggiornamenti di sicurezza e ha disattivato l’Active scripting e l’ActiveX. Scusate se è poco.

Insomma, patch e antivirus sono soltanto macchinosi palliativi. Eliminare l’HTML dalla posta, invece, risolve il problema alla radice. Nessun messaggio di puro testo, per quanto astutamente confezionato, può infettare automaticamente.

In effetti i programmi Microsoft consentono da tempo di disattivare l’HTML, ma soltanto nei messaggi in uscita. Sui messaggi in entrata, che sono quelli che ci possono infettare, l’opzione non c’è. Peccato, perché se Microsoft la introducesse il problema dei virus a esecuzione automatica sarebbe sostanzialmente risolto una volta per tutte. Una modifica che costerebbe poca fatica e sarebbe stata un ottimo risultato tangibile da presentare al termine del mese dedicato alla sicurezza.

E invece no. Microsoft si ostina a non introdurre quest’opzione, che pure è reclamata da tempo da tutti gli esperti di sicurezza. Tutto quello che ha partorito in proposito (e ben prima del tanto reclamizzato “mese della sicurezza”) è un mostruoso accrocchio che funziona soltanto in Outlook 2002.

L’esigenza di togliere l’HTML da Outlook è così sentita che esiste persino un apposito programma aggiuntivo, noHTML, che però ironicamente non è stato realizzato da Microsoft, ma da Russ Cooper, un programmatore di un’altra azienda. Purtroppo funziona soltanto con Outlook 2000 e Outlook 2002, ma non con Outlook 98 o con qualsiasi versione del ben più diffuso Outlook Express, altrimenti potremmo fare a meno di aspettare che Microsoft si decida a vedere la luce e faccia qualcosa di serio in materia di sicurezza degli utenti.

Ma Microsoft da che parte sta?

L’esistenza di queste soluzioni alla buona dimostra che se Microsoft davvero volesse, potrebbe introdurre l’opzione di disattivare l’HTML anche in Outlook Express senza alcun problema. E allora come mai non lo fa? Possibile che sia timorosa del fatto che l’e-mail senza HTML è meno “bella” e che quindi gli utenti fuggirebbero schifati dalla mancanza di effetti speciali e colori ultravivaci? Ha paura che la scelta di fornire meno orpelli ma più sicurezza non venga capita?

Ma se così fosse, non avrebbe introdotto neppure l’opzione di disattivare l’HTML nella posta in uscita. Quindi c’è sotto qualcosa di più consistente. Ammetto che i miei orizzonti mentali sono limitati, ma intravedo un’unica possibile spiegazione: se Microsoft abolisce l’HTML in ricezione, chi ci perde è la ricca e potente lobby dei pubblicitari.

Eh già: senza HTML, l’e-mail pubblicitaria non potrebbe più assillarci con colori sgargianti, immagini lampeggianti e animazioni. Una pacchia per gli utenti, una tragedia per gli spammer.

Mi auguro di sbagliarmi, ma sembra proprio che quando Microsoft deve scegliere tra il bene degli utenti paganti e quello degli inserzionisti pubblicitari, non ha esitazioni a infilarsi fra lenzuola al neon con i secondi e lasciare i primi alla mercé delle intemperie virali della Rete. Finché le cose stanno così, conviene usare noHTML e simili; meglio ancora, conviene abbandonare se possibile Outlook e Internet Explorer. Evitando però di cadere dalla padella nella brace, visto che Netscape è spyware; meglio Opera, senza pretese e senza sorprese.

Forza, Microsoft. Smentisci le mie teorie e fa’ vedere che ci tieni davvero ai tuoi clienti. Pubblica un bel plug-in per disattivare l’HTML in Outlook e la comunità della Rete ti sarà riconoscente.

Altrimenti, alla prossima ondata di virus, come farà invece a non considerarti complice?

L'autore

  • Paolo Attivissimo
    Paolo Attivissimo (non è uno pseudonimo) è nato nel 1963 a York, Inghilterra. Ha vissuto a lungo in Italia e ora oscilla per lavoro fra Italia, Lussemburgo e Inghilterra. E' autore di numerosi bestseller Apogeo e editor del sito www.attivissimo.net.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.