Il 10 settembre, durante il Windows Endpoint Security Ecosystem Summit organizzato da Microsoft, sono state discusse importanti modifiche volte a rafforzare la sicurezza del sistema operativo e prevenire un altro incidente come quello che ha coinvolto CrowdStrike. L’evento ha riunito esperti di sicurezza e rappresentanti di aziende del settore, come CrowdStrike, Sophos, Trend Micro, ESET e SentinelOne, per esplorare soluzioni e strategie in grado di garantire maggiore protezione senza compromettere le prestazioni del sistema. In particolare, una delle proposte più discusse è stata l’idea di spostare alcune funzionalità di sicurezza “fuori dal kernel” di Windows, riducendo così il rischio di accessi non autorizzati alla memoria che potrebbero causare danni estesi come nel caso CrowdStrike.
Un incidente che ha segnato la sicurezza informatica
Per comprendere appieno la portata delle novità in arrivo su Windows 11, è utile ripercorrere l’episodio che ha spinto Microsoft a riconsiderare alcune delle scelte relative alla sicurezza del sistema operativo. Il 19 luglio, un aggiornamento del software di sicurezza Falcon di CrowdStrike ha causato il crash di oltre 8,5 milioni di computer in tutto il mondo. Questo aggiornamento, rilasciato con l’intenzione di migliorare la protezione degli endpoint, ha invece scatenato una serie di errori critici che hanno portato alla temuta Blue Screen of Death (BSOD). Alla radice del problema c’era una violazione di accesso “out-of-bands” alla memoria, causata dal driver CSagent.sys. Questo driver, che operava a livello kernel, aveva un accesso privilegiato al sistema operativo, esponendolo a potenziali vulnerabilità.
Il ruolo critico dei driver a livello kernel
I software di sicurezza, come quello di CrowdStrike, utilizzano driver a livello kernel per garantire visibilità, prestazioni ottimizzate e una resistenza alle modifiche da parte di malware avanzati, come bootkit e rootkit. Tuttavia, operare a questo livello comporta rischi significativi: una semplice falla può avere conseguenze devastanti sull’intero sistema, come dimostrato dall’incidente di luglio. Microsoft, già consapevole di questi rischi, aveva tentato in passato di limitare l’accesso al kernel tramite la funzionalità PatchGuard, introdotta con Windows Vista nel 2006. Tuttavia, le pressioni delle aziende che sviluppano software antivirus, tra cui Symantec, portarono alla sua rimozione.
Le nuove strategie di Microsoft: sicurezza oltre il kernel
Durante il summit di settembre, Microsoft ha annunciato un nuovo approccio per evitare che incidenti simili si ripetano. Le nuove funzionalità di Windows 11 mirano a offrire la stessa protezione avanzata, ma senza dipendere completamente dai driver a livello kernel. Questo cambiamento rappresenta una svolta epocale nella gestione della sicurezza su Windows, poiché consente di isolare meglio i componenti critici del sistema operativo dalle potenziali vulnerabilità dei software di terze parti.
Il principio di base è semplice: spostare quanto più possibile il codice di sicurezza fuori dal kernel, mantenendo la protezione degli endpoint ma riducendo la possibilità che un singolo errore possa compromettere l’intero sistema. Tuttavia, per implementare una soluzione del genere, sarà necessario ripensare profondamente la struttura di Windows 11, con l’introduzione di nuove tecnologie e strumenti per gli sviluppatori di software di sicurezza.
Le proposte di Sophos per ridurre la dipendenza dal kernel
Sophos, uno dei principali attori nel settore della sicurezza informatica, ha presentato durante il summit una serie di proposte volte a ridurre la dipendenza dai driver a livello kernel. Le soluzioni proposte includono l’adozione di tecnologie più moderne come la sandboxing e l’isolamento dei processi, che consentono di mantenere elevati standard di sicurezza senza la necessità di operare direttamente nel cuore del sistema operativo.
Verso una sicurezza più affidabile e meno invasiva
La discussione tra Microsoft e i partecipanti al summit ha evidenziato come il futuro della sicurezza su Windows 11 sia orientato verso una maggiore affidabilità e una minore invasività. I software di sicurezza potranno continuare a garantire protezione avanzata, ma senza la necessità di accedere direttamente al kernel, riducendo così il rischio di incidenti come quello che ha coinvolto CrowdStrike.
Come Microsoft sta affrontando le sfide tecniche
Naturalmente, la transizione verso un modello di sicurezza basato su un kernel meno accessibile richiederà tempo e notevoli sforzi di sviluppo. Microsoft ha già annunciato che alcune delle nuove funzionalità saranno disponibili nelle prossime versioni di Windows 11, ma ci vorrà tempo prima che possano essere implementate su larga scala. Nel frattempo, l’azienda continuerà a lavorare a stretto contatto con i principali fornitori di software di sicurezza per garantire una transizione senza intoppi.
Il futuro della sicurezza su Windows 11
L’incidente con CrowdStrike ha messo in luce la necessità di un nuovo approccio alla sicurezza su Windows 11, e Microsoft ha risposto con proposte concrete e innovative. Spostare il codice di sicurezza fuori dal kernel rappresenta una sfida tecnica significativa, ma offre anche un’opportunità unica per rendere Windows più sicuro e stabile. Con il contributo di aziende come Sophos, Trend Micro, ESET e SentinelOne, il futuro della sicurezza su Windows 11 appare più luminoso che mai.
| Data | Evento | Partecipanti principali |
|---|---|---|
| 19 luglio 2023 | Crash globale causato da CrowdStrike | Oltre 8,5 milioni di computer colpiti |
| 10 settembre 2023 | Windows Endpoint Security Ecosystem Summit | Microsoft, CrowdStrike, Sophos, Trend Micro, ESET |
Con queste nuove strategie, Microsoft spera di evitare futuri incidenti e garantire una sicurezza ancora più robusta per i suoi utenti, senza compromettere le prestazioni e la stabilità del sistema operativo. Windows 11 si prepara a un’evoluzione radicale nel campo della sicurezza, affrontando le sfide con decisione e innovazione.
4o
