…e se non posso?

Struttura / FrameNegli ultimi giorni è stata scoperta e risolta una vulnerabilità di Java e il DHS americano è arrivato a consigliare di disabilitare Java.

Il mese scorso è stata resa nota una vulnerabilità di Internet Explorer fino alla versione 8 e il consiglio è stato di utilizzare altri browser.

Questi consigli sono ovvi, ma spesso impraticabili perché ci possono essere applicazioni aziendali che richiedono quella specifica versione di Java o di Explorer. In questi casi bisogna risolvere il problema dall’esterno.

Se l’applicativo non richiede un accesso a Internet, lo si può isolare in una propria subnet con pochi e controllati accessi verso l’esterno. Questo è il caso di applicazioni come i controlli industriali, che hanno una propria rete con un server e alcuni client (sensori, lettori, terminali sulla linea di lavoro); il server (e solamente lui) dialoga con l’esterno per scambiare dati con il sistema informativo aziendale. In questo scenario un firewall opportunamente configurato permetterà al server di dialogare solamente con un’altro host della rete su porte ben precise. Il rischio non è annullato, ma viene notevolmente limitato, in quanto la vulnerabilità dell’infrastruttura potrà essere sfruttata solamente dall’host con cui dialoga la rete protetta.

Più complesso il discorso di un’installazione vulnerabile che deve accedere a Internet. Ipotizziamo che un fornitore di servizi richieda una specifica versione di Internet Explorer o Java per accedere agli applicativi. In questo caso viene in aiuto lo user agent del browser, che contiene, tra le altre cose, sia la versione di Explorer sia quella di Java. Un’apposita regola impostata sul firewall di accesso a Internet potrebbe consentire il traffico con user agent specifici solamente da/per host specifici, segnalando al SysAdmin eventuali violazioni della regola.

Microsoft documenta abbastanza bene (qui e qui) come viene costruito lo user agent di Explorer.

Nell’impostare i filtri per user agent bisogna stare attenti perché alcuni browser includono alcune stringhe per compatibilità ed è possibile falsificarli con appositi plugin per Firefox e per Chrome. In Internet Explorer la stringa user agent può essere modificata anche attraverso le policy (User Configuration\Windows Settings\Internet Explorer Maintenance\Connection).

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

2 pensieri riguardo “…e se non posso?”

  1. La cosa triste è che molti “spauracchiatori sensazionalistici” hanno trattato la cosa in modo diverso al grido di “Disinstallate Java”. Eppure quando le vulnerabilità sono per Microsoft non vedo nessuno dire “Disinstallate Windows”.
    K.

    1. ah no po, ai quello ai l’altro… faccebaucche va velocissimo con la mela, con la finestra no si impiantava…
      una mela al giorno toglie un cancello di torno… ne fanno pubblicità, tanta e subdola, ma quello che è peggio che non si fanno pagare, anzi pagano per fare pubblicità…

Spazio per un commento