©ICT4EXECUTIVE - WWW.ICT4EXECUTIVE.IT F E B B RA I O | 2 0 1 4 Un PC con hardware moderno, sistema operativo e applicazioni di ultima generazione, è la miglior difesa contro l’emergere di nuove minacce informatiche. Tuttavia, nonostante l’approssimarsi dell’8 aprile, data di fine supporto per Windows XP, sono ancora molti i PC con questo sistema operativo. Questa eGuide di ICT4Executive illustra quali saranno le conseguenze della fine di tale supporto e i rischi connessi al prolungamento della permanenza di Windows XP sulle macchine, anche dopo la conclusione del suo ciclo di vita S P O NS OR E D B Y windows xp a fine corsa, i rischi di non aggiornare il sistema • Cosa significa “fine del supporto” per Windows XP? • Le conseguenze pratiche • I rischi di sicurezza • L’importanza di cambiare il parco macchine WINDOWS XP A FINE COR SA,I RISCHI DI NON AGGIORNARE IL SISTEMA .1. C cosa significa “fine del supporto” per xp ome qualunque altro prodotto disponibile sul mercato, anche i sistemi operativi (SO) seguono un loro ciclo di vita. Esso comincia da quando vengono rilasciati commercialmente, continua per anni con la pubblicazione e distribuzione dei periodici aggiornamenti che vanno ad arricchire le funzionalità e a correggere i bachi e i difetti di funzionamento, e si conclude con la fine delle attività di supporto per il sistema operativo stesso. Per un’azienda, conoscere le date chiave che caratterizzano il ciclo di vita di un SO è molto importante, perché ad esempio, attraverso queste informazioni, potrà prendere decisioni più lungimiranti sull’adozione di una determinata soluzione. Decisioni che si riflettono a livello strategico e che, una volta prese, possono determinare un impatto sulle scelte e iniziative d’investimento in merito al comparto software per gli anni a venire. Sapere già in anticipo quali saranno le tappe della roadmap prevista per un sistema operativo, e fino a quando riceverà aggiornamenti e supporto tecnico, porta a prendere decisioni in maniera più oculata, e a fare scelte più corrette, in rapporto sia agli attuali obiettivi e alle specifiche politiche aziendali, sia alle prospettive future di evoluzione del business. Naturalmente, la rilevanza di conoscere la data che segnerà la fine del supporto per un siste- ma operativo è un principio valido in generale e non riguarda solo Windows. Soltanto per citare una caso su tutti, la versione 12.04 LTS (Long-Term Support) di Ubuntu per piattaforme desktop e server, rilasciata nell’aprile 2012, ha un supporto per cinque anni, e riceverà continui update per migliorare la compatibilità con l’hardware, come anche aggiornamenti di sicurezza fino all’aprile 2017. | 2 | www.ict4executive.it ICT4E.Guide 8 APRILE 2014: FINE DEL SUPPORTO In generale, parlando di ‘‘fine supporto’’ per una data versione di Windows, Microsoft fa riferimento alla data a partire dalla quale non fornirà più correzioni automatiche, aggiornamenti o assistenza tecnica online. Dunque, entro tale termine, diventa di norma critico verificare che nei computer o nei server in uso sia installato il Service Pack (SP) o l’aggiornamento più recente. Ciò perché, una volta terminato il supporto fornito da Microsoft, non è più possibile ricevere aggiornamenti di protezione per mettere al riparo le macchine dagli attacchi del malware (virus, spyware e altro codice maligno). In particolare, nel caso specifico di Windows XP, la data di fine supporto è fissata per l’8 aprile 2014. Dopo oltre dodici anni ininterrotti di servizio tecnico, a partire dall’8 aprile non sarà dunque più disponibile alcun supporto, né gli WINDOWS XP A FINE COR SA, I RISCHI DI NON AGGIORNARE IL SISTEMA aggiornamenti automatici per la sicurezza che aiutano a mantenere i computer protetti dalle varie minacce del cyberspazio. Microsoft non permetterà più nemmeno il download del tool di sicurezza Microsoft Security Essentials su Windows XP e, solo nel caso esso si trovi già installato sul computer, sarà possibile continuare a ricevere gli aggiornamenti per le ‘‘signature’’ (firme) anti-malware, anche se per un periodo limitato. Tuttavia ciò non potrà garantire la sicurezza delle macchine, perché verranno a mancare gli indispensabili aggiornamenti per riparare le vulnerabilità del sistema. In altre parole, i computer, pur continuando a funzionare, saranno più esposti ai rischi di contrarre virus o altro genere di malware. Inoltre, occorre anche considerare che il numero di produttori hardware e software, partner di Microsoft, che stanno ottimizzando le proprie soluzioni per le versioni più recenti di Windows è in continua crescita e che, in prospettiva, sempre più applicazioni e dispositivi non funzioneranno più con Windows XP. PERCHÉ FINISCE IL SUPPORTO Windows XP è stato un sistema operativo glorioso, che dall’epoca del suo lancio commerciale (ottobre 2001) ha saputo guadagnarsi il favore di molti utenti, grazie all’introduzione di alcune nuove efficaci funzionalità anti-malware, come il firewall, Windows Update e Centro Sicurezza PC. Oggi però queste funzionalità non sono più sufficienti a contrastare le odierne minacce informatiche che, nel tempo, si sono fatte molto più complesse e pericolose, soprattutto per le piccole e medie imprese che in molti casi, non disponendo di risorse e infrastrutture dedicate all’amministrazione della security, possono risultare più esposte. Per continuare a fornire soluzioni software in grado di garantire alle organizzazioni livelli di difesa adeguati ai nuovi rischi di protezione, Microsoft, assieme ai partner, sta quindi attuando una strategia tecnologica incentrata sul nuovo sistema operativo Windows 8 (che nella versione 8.1 introduce funzionalità di sicurezza ulteriormente potenziate, fra le quali c’è anche un servizio di rilevamento del malware basato su cloud). Inoltre, la cessazione del servizio per Windows XP è legata all’introduzione nel 2002 da parte di Microsoft di alcuni principi per la regolazione del ciclo di vita del supporto, finalizzati a fornire agli utenti una visione più chiara e dettagliata dell’assistenza tecnica disponibile per i vari prodotti. Tali criteri sono applicati alla maggior parte dei prodotti che si possono attualmente acquistare al dettaglio o tramite contratti multilicenza, e anche a gran parte di quelli che verranno rilasciati in futuro. In particolare, sui prodotti per il business e lo sviluppo, tra cui sono inclusi anche Windows e Office, Microsoft si impegna a fornire supporto per almeno dieci anni al livello dei Service Pack supportati. Più in dettaglio, si parla di cinque anni di supporto ‘‘Mainstream’’ (la prima fase del ciclo di vita del supporto per i prodotti) e di altri cinque di supporto ‘‘Extended’’. In base a questi criteri, il supporto per Win- | 3 | www.ict4executive.it ICT4E.Guide WINDOWS XP A FINE COR SA, I RISCHI DI NON AGGIORNARE IL SISTEMA dows XP, e anche quello dedicato a Office 2003, termina l’8 aprile 2014. Una data, l’8 aprile 2014, che rappresenta anche un campanello d’allarme, e può suonare come un ritardo, per tutte quelle organizzazioni – piccole e grandi - che non abbiano ancora attivato una processo di migrazione verso un sistema operativo più moderno. La distribuzione e installazione di un nuovo SO sulle varie macchine di una rete aziendale richiede infatti di norma un certo tempo fisiologico per le fasi di pianificazione e collaudo, prima di poterlo mettere effettivamente in produzione. Tempo che, in tutti i casi in cui andrà oltre la data di fine supporto per XP, avrà l’effetto di lasciare i computer della rete che ancora funzionano con il vecchio sistema operativo esposti a vari rischi di sicurezza, fino alla conclusione delle attività di test e delle procedure necessarie per la messa in campo del nuovo sistema. QUALI SONO LE CONSEGUENZE PRATICHE Il fatto che, dopo l’8 aprile 2014, Microsoft non fornirà più aggiornamenti di sicurezza, aggiornamenti rapidi non relativi alla sicurezza, opzioni di supporto assistito a pagamento o gratuito, o aggiornamenti dei contenuti tecnici disponibili online, significa esporre tutti i computer con installato XP o Office 2003 a una serie di problemi e rischi. Una prima categoria di rischi e inconvenienti è legata alle conseguenze pratiche che la mancanza di aggiornamenti di vario tipo e relativi alla sicurezza può determinare a livello di problemi di validazione e certificazione dell’affidabilità del software. Una questione centrale diventa, quindi, la conformità dei sistemi informatici alle normative vigenti nei vari settori di attività e la loro idoneità ad amministrare determinati processi aziendali. Un riferimento può essere, ad esempio, quello alla compliance del sistema operativo rispetto ad alcune norme fondamentali, come le linee guida ISO/IEC 9126, che definiscono un modello di qualità del software. Quest’ultima è definita come ‘‘l’insieme delle caratteristiche che incidono sulla capacità del prodotto di soddisfare requisiti espliciti o impliciti’’. Esiste una qualità esterna, cioè l’efficacia e l’efficienza del software così com’è percepita dall’utente, che si esprime nelle prestazioni del prodotto e nelle funzionalità che fornisce. Ed esiste una qualità interna, rappresentata dalle proprietà intrinseche del prodotto e riscontrabili direttamente sul codice sorgente. Le caratteristiche che definiscono la qualità interna ed esterna sono: funzionalità, affidabilità, usabilità, efficienza, manutenibilità e portabilità. Proprio in merito all’affidabilità del software si apre un capitolo specifico sulla sicurezza dei sistemi e dei dati in essi presenti: gli ambienti operativi per i quali non vengono più resi disponibili supporto tecnico e patch di correzione dei difetti del software risultano, com’è logico, più vulnerabili ai rischi di sicurezza informatica. E tutto ciò può condurre a un problema di controllo sull’operatività delle macchine che, se riconosciuto ufficialmente da un ente di verifica interno o esterno, può a sua volta riflettersi nella sospensione delle certificazioni, e/o anche in avvisi pubblici, in cui viene segnalata l’incapa- | 4 | www.ict4executive.it ICT4E.Guide WINDOWS XP A FINE COR SA, I RISCHI DI NON AGGIORNARE IL SISTEMA cità dell’organizzazione in questione di proteggere i sistemi, le informazioni e i dati sensibili degli utenti. Tuttavia, fine del supporto per Windows XP non significa solo problemi di conformità dei sistemi. Significa anche problemi di compatibilità e funzionamento con il software e l’hardware di nuova produzione. Come si è infatti accennato precedentemente, l’abbandono del supporto a questo SO da parte di Microsoft sta portando in maniera crescente anche all’interruzione del supporto da parte dei vari partner della casa di Redmond, come i fornitori di software indipendenti e i produttori di componenti hardware. Molti di loro, secondo un recente rapporto della società di ricerche Gartner, non intendono più supportare le nuove versioni delle loro applicazioni su Windows XP, e nel 2012 tale trend si è ulteriormente accentuato. Dallo studio di Gartner emerge infatti che la maggioranza dei produttori di hardware per PC ha interrotto il supporto per Windows XP sulla maggior parte dei nuovi modelli. | 5 | www.ict4executive.it ICT4E.Guide WINDOWS XP A FINE COR SA,I RISCHI DI NON AGGIORNARE IL SISTEMA .2. i rischi di sicurezza per le aziende N onostante il rapido avvicinarsi della data che segnerà la fine del supporto per Windows XP, le dinamiche di evoluzione delle imprese in rapporto a questo cambiamento si preannunciano alquanto variegate. La data di scadenza dell’8 aprile non troverà certo tutti già pronti. Vi saranno, ad esempio, organizzazioni che si trovano nelle prime fasi di migrazione verso un nuovo sistema operativo, ed altre che addirittura non hanno ancora cominciato il percorso di transizione per allontanarsi dalla vecchia piattaforma. Quest’anno, secondo una stima di Gartner, più del 15% delle imprese di medie e grandi dimensioni avranno ancora Windows XP in funzione su almeno il 10% dei loro PC, anche dopo l’interruzione del supporto da parte di Microsoft. CAPIRE E MITIGARE I RISCHI PRIMA DELLA MIGRAZIONE Lo scenario che si prefigura fa comprendere con maggior chiarezza quanto sia importante, per tutte le organizzazioni che si trovano ancora arretrate nel processo di migrazione, cominciare quantomeno un procedura di assessment, per valutare lo stato dei sistemi esistenti e le tipologie di rischi a cui saranno esposti in assenza della transizione tecnologica verso piattaforme più moderne e supportate. In molti casi sarà necessario prendere iniziative per tamponare i rischi, almeno per una parte degli utenti o delle applicazioni. Come è facilmente immaginabile, i rischi di compromissione della sicurezza sono più elevati soprattutto per quei computer aziendali che si trovano costantemente collegati a Internet e che usano ancora Windows XP. Essi, come tali, sono privi di adeguate difese e possono essere oggetto di attacchi e furti di dati. Inoltre costituiscono punti deboli violabili, e sfruttabili dai criminali informatici per guadagnare l’ingresso nella rete aziendale. Da qui in poi, le azioni malevole perpetrabili, a seconda dell’entità dei danni, possono andare dalla sottrazione di dati e informazioni di valore monetizzabile, al furto o alla corruzione di documenti confidenziali, all’appropriazione di informazioni segrete, relative ad esempio alla proprietà intellettuale (IP). Per tali ragioni, le aziende che oggi si trovano in ritardo, non avendo ancora completato il processo di migrazione per l’abbandono di Windows XP e/o Office 2003, dovrebbero fare tutto il possibile per rivedere la tabella di marcia del progetto, e assicurarsi di rispettare la scadenza. Chi invece ritiene proprio improbabile riuscire a completare in tempo i progetti di migrazione per l’8 aprile non può far altro che correre ai ripari con rimedi estremi per arginare i possibili danni, a spese però dell’operatività della rete, che può anche necessitare dell’applicazione di | 6 | www.ict4executive.it ICT4E.Guide WINDOWS XP A FINE COR SA, I RISCHI DI NON AGGIORNARE IL SISTEMA restrizioni sugli accessi ai computer con Windows XP, o di misure di sicurezza aggiuntive. Se diventa proprio indispensabile scegliere, temporaneamente, la strada delle soluzioni di ripiego, allora è bene assegnare precise priorità agli interventi tecnici su determinate applicazioni e utenti, indirizzando per prime le risorse più critiche. Il parco applicativo va analizzato interamente, per agevolare la salvaguardia dei processi dell’organizzazione dopo la fine del supporto, in preparazione delle migrazioni verso Windows 7 o Windows 8. Gli interventi devono puntare a identificare, e limitare il più possibile, le diverse tipologie di rischi sui computer, in vista della prossima transizione verso una moderna versione di Windows. In questo senso è utile: • catalogare il software installato sui PC; • monitorare e misurare l’uso delle applicazioni, per un successivo confronto con l’elenco dei software installati; • individuare le applicazioni poco usate o duplicate. Inoltre è consigliabile cooperare con gli utenti e i manager aziendali per cercare di ridurre il numero delle applicazioni adottate all’interno dell’azienda, classificando il software per grado di criticità. I rischi maggiori, come accennato, sono associati ai computer e utenti che gestiscono dati riservati o sensibili, alle macchine esposte verso il Web, o alle applicazioni ritenute critiche per l’esecuzione di alcuni processi. te dall’utilizzo di software ormai datato e non più supportato è messa in evidenza da alcuni dati interessanti, riportati dal Microsoft Security Intelligence Report. Lo studio ha scoperto che nella prima metà del 2013, quasi il 17% dei computer che nel mondo adottano prodotti Microsoft per la sicurezza con funzionamento in tempo reale è stato oggetto di attacco (che non ha avuto successo grazie alle capacità di blocco possedute dai prodotti stessi). La cosa più interessante è osservare la differenza fra gli attacchi perpetrati e gli effettivi tassi d’infezione riscontrati. Infatti, nella prima metà del 2013, le varie versioni di Windows (Windows XP, Windows Vista, Windows 7 e Windows 8) hanno tutte registrato grossomodo tassi simili di contatto con il codice malevolo, variabili fra il 12 e il 19%. Tuttavia, i sistemi con installato Windows XP hanno registrato un tasso d’infezione sei volte più elevato di quello delle macchine con Windows 8. COSA ASPETTARSI SE NON CI SI ATTIVA IN TEMPO La pericolosità e il tasso di rischio derivan- Percentuale di PC sotto attacco nella prima metà del 2013 in base ai sistemi operativi usati | 7 | www.ict4executive.it ICT4E.Guide WINDOWS XP A FINE COR SA, I RISCHI DI NON AGGIORNARE IL SISTEMA Tasso di infezione rilevato su 1.000 computer scansiti Il dato evidenzia dunque il valore e i risultati positivi che le tecnologie e innovazioni di sicurezza presenti in un sistema operativo più moderno possono determinare nelle attività di protezione contro le minacce del cyberspazio. Eseguire l’aggiornamento verso un sistema operativo di ultima generazione, come Windows 8, garantisce infatti l’accesso a tecnologie evolute di sicurezza, progettate in maniera apposita per complicare la vita ai criminali informatici, che saranno costretti a spendere più tempo e risorse per riuscire a violare i computer. A differenza di vent’anni fa, essi non sono più individui isolati, e fondamentalmente motivati da un desiderio di sfida o notorietà, ma organizzazioni capaci di agire nell’ombra, dotate di notevoli competenze tecniche, e intenzionate a perpetrare gli attacchi per ricavare profitti economici, causare danni finanziari di notevole entità, o disordini sociali e politici. Dopo l’8 aprile, gli utenti non potranno più ri- | 8 | ICT4E.Guide cevere aggiornamenti di sicurezza, ‘‘hotfix’’ di altro genere o servizi di assistenza, né accedere online a contenuti tecnici aggiornati. E ciò metterà i cybercriminali in una posizione di vantaggio, perché potranno analizzare, attraverso tecniche di ‘‘reverse engineering’’, gli aggiornamenti di sicurezza mensili rilasciati per le versioni supportate di Windows, per poi scoprire se qualcuna delle vulnerabilità riparate esiste anche in Windows XP. Del resto è già abbastanza noto quello che si rischia quando si continua a fare affidamento su una piattaforma XP che non gode più di un supporto. Nei due anni seguenti alla cessazione del supporto di Windows XP Service Pack 2, ad esempio, il tasso di infezione del malware è stato del 66% più elevato rispetto ai computer con installato Windows XP Service Pack 3, l’ultima versione supportata di Windows XP. Un trend d’infezione che potrebbe ripetersi quest’anno, dopo l’8 aprile, in maniera simile, su tutti i computer che ancora funzionano con questo sistema operativo e sono quindi esposti agli attacchi. Tasso di infezione rilevato su 1.000 computer scansiti con XPSP2 e XPSP3 (gennaio 2010-dicembre 2012) www.ict4executive.it WINDOWS XP A FINE COR SA, I RISCHI DI NON AGGIORNARE IL SISTEMA L’IMPORTANZA DI CAMBIARE IL PARCO MACCHINE Come si è visto, continuare a perseguire la politica di rimandare gli investimenti IT, e perseverare nell’utilizzo delle macchine su cui gira Windows XP, non solo è pericoloso per la sicurezza e la salvaguardia delle informazioni di business e dei dati dei propri clienti, ma diventa anche controproducente, e non conveniente, dal punto di vista dei costi di gestione e della reale utilità dei computer. Se si è costretti a limitare le modalità di accesso ai PC con Windows XP, o a isolarli in uno spazio controllato della rete, adottando misure extra di sicurezza o soluzioni di protezione sviluppate ad hoc, tutto questo non solo genera costi aggiuntivi, ma rende anche le macchine meno produttive e sfruttabili. Solo per citare un dato economico, una stima della società di ricerche IDC indica che Windows XP risulta cinque volte più costoso in termini di operatività rispetto a Windows 7. Inoltre occorre aggiungere che spesso, in molte realtà aziendali, Windows XP si trova installato su computer caratterizzati da hardware datato. L’imminenza della data dell’8 aprile impone la necessità di imboccare, se ancora non lo si è fatto, la via di migrazione più idonea a rispondere alle proprie esigenze aziendali. Una soluzione praticabile, e meno onerosa in termini di nuovi investimenti, può essere rappresentata dall’aggiornamento dei computer con Windows XP alle versioni Windows 8 e Windows 8.1. Questa via è però percorribile solo se i computer dove occorre intervenire sono dotati di hardware sufficientemente po- tente, quindi abbastanza recente, e compatibile con i requisiti di sistema richiesti per assicurare il funzionamento con queste moderne release di Windows. Appare chiaro quindi che, potendo fare un investimento più consistente, la strategia migliore, dal punto di vista della sicurezza, dell’efficienza di gestione e della produttività, è decidere per l’acquisto di nuovi computer, quindi PC desktop o notebook di ultima generazione. In termini di sicurezza informatica, questa scelta garantisce una protezione migliore dalle minacce del malware, non solo in virtù della nuova architettura e dotazione di evolute funzionalità di security possedute da Windows 8 e Windows 8.1, ma anche per i benefici dell’effetto sinergico sulla robustezza dei sistemi che deriva dall’abbinamento di un sistema operativo moderno con un hardware altrettanto aggiornato. | 9 | www.ict4executive.it ICT4E.Guide CONCLUSIONI Oggi ancora molte aziende, e piccole e medie imprese, hanno il sistema operativo Windows XP installato su alcuni PC della rete. Tuttavia, la scadenza dell’8 aprile 2014, momento di cessazione da parte di Microsoft del supporto per questo prodotto, ne segna la fine del ciclo di vita. L’interruzione del periodico rilascio di aggiornamenti e patch di correzione dei bug, dopo l’8 aprile, lascerà esposti tali PC a notevoli rischi di protezione e sicurezza. La mancanza di difese adeguate significa infatti attacchi di malware, intrusioni, possibili sottrazioni di informazioni strategiche per il business, e perdite o corruzioni dei dati sensibili WINDOWS XP A FINE COR SA, I RISCHI DI NON AGGIORNARE IL SISTEMA degli utenti. E’ dunque necessario arrivare alla data dell’8 aprile già preparati. Per farlo, occorre far migrare tutti i PC su cui gira ancora Windows XP verso un sistema operativo più moderno e dotato di tecnologie e funzionalità di sicurezza informatica adeguate all’attuale complessità e pericolosità delle minacce. La soluzione, ove possibile, cioè nei casi in cui la dotazione hardware della macchina possiede i requisiti sufficienti, è l’aggiornamento del sistema a Windows 8 e Windows 8.1. La strategia più solida, se la capacità d’investimento lo consente, è però l’acquisizione di nuovi computer desktop e notebook. Infatti l’abbinamento di un hardware moderno a un sistema operativo di ultima generazione garantisce la miglior protezione contro le odierne sofisticate minacce informatiche. | 1 0 | ICT4E.Guide www.ict4executive.it