
HTTPS: con Google Chrome da gennaio è d’obbligo
26 Dicembre 2016
Annunci espansi: Google AdWords dice addio agli annunci standard
1 Febbraio 2017Così ha twittato il 26 Gennaio scorso Robert O’Callahan, ex ingegnere di Mozilla, la società che sviluppa il noto browser Firefox. Nel suo blog personale ha quindi precisato: “I was just reading some Tweets and an associated Hackernews thread and it reminded me that, now that I’ve left Mozilla for a while, it’s safe for me to say: antivirus software vendors are terrible; don’t buy antivirus software, and uininstall it if you already have it (except, on Windows, for Microsoft’s).“.
Il post di O’Callahan critica i produttori di antivirus per una serie di problemi che ha vissuto in prima persona durante il periodo in cui ha lavorato per Mozilla, ma anche attraverso la sua interazione con altri dipendenti di altri produttori di noti browser. Ecco alcune delle sue lamentele.
- I produttori di antivirus non seguono le pratiche di sicurezza standard, il che porta alla creazione di molti bug di sicurezza che interessano in primo luogo proprio l’antivirus.. Per dimostrare il suo punto di vista, O’Callahan si riferisce al progetto Google Project Zero (il contest di Google secondo cui l’azienda di Mountain View offrirebbe $200.000a chi scopre vulnerabilità su Android), e in particolare all’attività di Tavis Ormandy (Vulnerability researcher in Google), che negli ultimi due anni ha scoperto enormi buchi di sicurezza nel software di molti fornitori di antivirus , che in molti casi ha portato ad una acquisizione completa del sistema interessato.
- I prodotti antivirus avvelenano l’ecosistema software perché il loro codice invasivo e mal implementato rende difficile per i produttori di browser, e altri sviluppatori, migliorare la propria sicurezza. O’Callahan ricorda che quando Firefox ha implementato la misura di protezione ASLR su Windows (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi, è una misura di protezione contro buffer overrun e exploit che consiste nel rendere parzialmente casuale l’indirizzo delle funzioni di libreria e delle più importanti aree di memoria), i produttori di antivirus hanno inibito la funzione iniettando DLL corrotte nel processo del browser. Inoltre, molti prodotti antivirus bloccano gli aggiornamenti di sicurezza di Firefox senza alcun motivo apparente.
- È difficile per i produttori di software a prendere posizione su questi problemi perché hanno bisogno collaborazione da parte dei produttori di antivirus. O’Callahan cita la sua esperienza di quando ha chiamato un fornitore antivirus per chiedere spiegazioni in merito all’iniezione di codice in API Firefox: è stato messo a tacere dal team di PR di Mozilla, che temevano che i produttori di antivirus potessero tacciare il browser Firefox come insicuro, fare causa a Mozilla, o incolpare il browser per la infezioni malware eventualmente riscontrate dagli utenti. Questa è la discussione pubblica sui gruppi di Google: Antivirus Hall Of Shame.
Gli unici per i quali O’Callahan sembra avere un po’ di rispetto sono gli ingegneri Microsoft, che lui chiama “generally competent”, di fatto accettando di loro prodotto antivirus (Windows Defender), ma solo se eseguito sulla piattaforma Windows 10.
Precedentemente alla critica bruciante di O’Callahan, Justin Schuh, un ingegnere della sicurezza per Google Chrome, ha anche lui criticato aspramente i produttori di antivirus attraverso una lunga serie di tweets.
Vedremo ora come si comporteranno gli altri produttori di software, e come reagiranno i produttori di antivirus. Certo è che il problema della pesantezza e invasività dei software antivirus nei sistemi Windows è nota da tempo, e ha ormai raggiunto livelli di criticità inaccettabili.