1 year ago
164
Se pensate che proteggere un file zip da password possa impedire a Microsoft di leggerne il contenuto alla ricerca di malware (ecco i migliori antivirus), pensateci due volte.
Diversi esperti di sicurezza hanno infatti riportato che i servizi cloud dell'azienda danno infatti una sbirciata anche all'interno di questi archivi, e se l'operazione è motivata dalle migliori intenzioni, per alcuni può essere un problema. Cerchiamo di capirne il motivo.
Storicamente, i malware vengono veicolati nei dispositivi degli utenti attraverso file zip inviati tramite email o contenuti scaricati da Internet, ma da tempo i sistemi di sicurezza di Microsoft hanno imparato a leggerne il contenuto, bloccandoli prima che vengano salvati sul dispositivo.
Allora i malintenzionati hanno scoperto che mettendo una password i sistemi non riuscivano a scannerizzare il contenuto degli archivi. Dando la chiave di accesso alla vittima, questa apriva il file e si infettava inconsapevolmente.
Ed ecco che Microsoft ha alzato il tiro, aggirando la protezione tramite password nei file zip e, in caso di successo, scansionandoli alla ricerca di codice dannoso.
La funzione è nota ad alcune persone dell'ambiente, e per molti di noi potrebbe essere benvenuta. Dopotutto, è un livello di protezione aggiuntivo, anche se a costo della privacy, e anche se potrebbe sollevare il vecchio dilemma tra sicurezza e diritti, questo aprirebbe una discussione che va ben oltre il settore dell'informatica ed esulerebbe dallo scopo di questo articolo. Ma c'è una particolare tipologia di utenti per cui la funzione rappresenta un problema.
Andrew Brandt, un ricercatore di sicurezza che utilizza gli archivi zip per condividere con i colleghi i malware da studiare, ha scoperto che SharePoint contrassegna file zip come infetti, indipendentemente dal fatto che siano protetti da password.
La discussione, avvenuta su Mastodon, si è velocemente accesa, e altri esperti hanno affermato che Microsoft utilizza diversi metodi per scansionare il contenuto dei file zip protetti da password, non solo sui file archiviati in SharePoint ma su tutti i suoi servizi cloud 365.
Un modo è estrarre eventuali password dal corpo di un'email o dal nome del file stesso, mentre un altro è testare il file per vedere se è protetto con una delle password contenute in un elenco.
Per esempio, se inviate qualcosa e digitate un testo del tipo "La password dello ZIP è Soph0s", il sistema troverà la password, la estrarrà e bloccherà il contenuto.
Brandt ha affermato che l'anno scorso OneDrive di Microsoft ha iniziato a eseguire il backup dei file dannosi che aveva archiviato in una delle sue cartelle di Windows dopo aver creato un'eccezione nei suoi strumenti di sicurezza, proprio per consentirne il backup. In seguito ha scoperto che una volta che i file erano stati caricati su OneDrive, erano stati cancellati dal disco rigido del suo laptop e rilevati come malware nel suo account OneDrive, di fatto causando la perdita dei file.
A quel punto ha iniziato ad archiviare i file dannosi in file zip protetti con la password "infected" (infetti).
Fino alla scorsa settimana SharePoint non li contrassegnava come infetti, ma ora sì.
Microsoft ha confermato di aver ricevuto la segnalazione, e anche Google afferma di contrassegnare i file come sospetti, pur non effettuando la scansione. C'è poi un aspetto da considerare: i file protetti da password con lo strumento integrato di Windows sono facilmente apribili. Per questo tipo di sistemi, bisognerebbe usare uno strumento come 7zip, ma questo è un altro discorso.
Tornando all'argomento in questione, si ritorna al dibattito tra diritto alla privacy e necessità di sicurezza, e se questa funzione ha impedito l'infezione di migliaia di computer, se non di più, alcuni non sono contenti.
English (US)