Microsoft ha sostenuto, qualche giorno fa, che 1 download su 14 è un malware. Chet Wisniewski (Sophos) ha citato la vasta gamma di statistiche presentate da Microsoft per dimostrare che il post è ricco di inesattezze e solleva più domande che risposte. “I conti non tornano, stanno presentando solo metà dell’equazione. Hanno presentato un sacco di numeri per far sembrare tutto ‘tecnico’, ma l’articolo solleva più domande che risposte. Quindi, dov’è la carne?”

Wisniewski non ha mezze misure, dice : ”Microsoft sta paragonando mele … a niente”. Questo perchè IE9 non è in in grado di bloccare gli exploit che hanno come obiettivo Adobe Reader e Flash, Apple iTunes o Java di Oracle.  Continua chiedendosi : ”Dove sono i numeri degli exploit?” Wisniewski ha chiesto, riferendosi agli attacchi, non condotti attraverso download, ma sfruttando vulnerabilità diffuse in programmi di terze parti. Il risultato è quindi un quadro parziale inserito da Microsoft in una mossa di pubbliche relazioni.

Wisniewski ha evidenziato anche i difetti nei download di IE9.  Haber ha detto che il 90% di tutti i download non fanno scattare un avvertimento da parte di IE9, esistono tuttavia una lunga serie di falsi positivi – nel senso che l’avviso ha contrassegnato erroneamente un file legittimo – - una percentuale tra il 30% e 75%. E’ quanto abbiamo cercato di spiegare noi stessi dicendo che i falsi positivi potrebbero spingere l’utente a scartare il download di un software legittimo (trial?), con ovvio danno per lo sviluppatore.

IE9 usa l’hash di un file – che identifica il contenuto del file – e il suo certificato digitale per determinare se si tratta di una applicazione nota e con una solida reputazione. Se l’algoritmo classifica il file come sconosciuto – forse perché il valore hash non è stato mai visto prima – IE9 presenta un avviso quando l’utente tenta di eseguire o salvare il file. “Il problema con la firma del codice è che esistono degli abusi”, ha detto Wisniewski riferendosi al worm Stuxnet che ha usato un paio di certificati rubati per farsi identificare come software legittimo.

Il ricercatore dice d’apprezzare l’idea di Microsoft, un controllo sui download in base alla reputazione. Ma nei suoi occhi, Microsoft ha perso una grande occasione, presentando solo metà della storia…