Alzi la mano chi usa abitualmente Microsoft Office per lavoro o per diletto. Tra questi, alzi la mano chi ha usato almeno una volta una macro. Chi non sa rispondere a quest’ultima domanda, e magari non ha idea di cosa sia una macro, è probabile che non ne abbia mai vista una, e molto probabile che non ne abbia mai usate a sua insaputa.
In pillole: una macro è una porzione di codice che viene eseguita in corrispondenza di certe condizioni (per esempio la pressione di un pulsante) per fare qualcosa (generare un file di testo, o una pagina html, o fare dei calcoli e molto altro). Per maggiori informazioni potete chiedere, ad esempio, a Wikipedia: se optate per la pagina in italiano, constaterete che il concetto di “macro” diventa quasi subito coincidente con quello di “macro di Office”, e sembra tutto molto bello ed utile; nella pagina in inglese, invece, il tema è trattato in maniera molto più generale e più completa, e troviamo persino un capitolo a parte, intitolato Macro virus, dove viene detto testualmente che VBA, il linguaggio di programmazione delle macro di Office, è facilmente utilizzabile per creare dei virus informatici, a causa della sua possibilità di accedere alla maggior parte delle chiamate di sistema di Microsoft Windows, cosa che può avvenire alla semplice apertura di un documento (che è appunto una tipica chiamata di sistema). Ad esempio scaricando sul vostro computer un bel CryptoLocker.
Le macro, come qualsiasi strumento, non sono né buone né cattive. Sotto certe condizioni, però, possono rivelarsi uno strumento pericoloso. Il fatto che le macro di MS Office siano uno strumento molto pericoloso non è un’invenzione di quei quattro rosiconi che sostengono il software libero, e nemmeno degli autori inglesi di Wikipedia. Lo dichiara Microsoft in questo articolo, dove già nel dicembre 2014 veniva constatato un aumento del numero delle minacce informatiche veicolate attraverso macro inserite in file di MS Office allegati ad email e si raccomandava la massima attenzione. Lo stesso concetto viene ribadito da Microsoft in quest’altro articolo del 22 marzo scorso:
“Il malware basato sulle macro è in aumento e ci rendiamo conto che sia un’esperienza frustrante per tutti. Per aiutare a combattere questa minaccia stiamo rilasciando una nuova funzionalità di Office 2016 che blocca le macro in alcuni scenari ad alto rischio”.
A parte la stranezza del fatto che i virus legati a macro di MS Office siano in aumento da anni ma nella pagina italiana di Wikipedia dedicata alle macro, che parla esclusivamente di macro di MS Office, non compaia mai la parola “virus” o un suo qualche sinonimo, il concetto sembra chiaro: le macro di Office sono uno strumento pericoloso, talmente pericoloso che non basta aver disabilitato l’esecuzione automatica delle macro come impostazione predefinita (ebbene sì: per molto tempo l’installazione di MS Office prevedeva come impostazione predefinita che una macro contenuta in un qualsiasi documento venisse eseguita automaticamente alla sua apertura, a prescindere), ma è risultato necessario inserire in Office 2016 uno strumento che conferisca all’amministratore del sistema il potere di impedire – in parte o del tutto – ad un utente di eseguire macro contenute in documenti di Office.
A dire il vero in molti ci avevano già pensato da soli.
Se ancora qualcuno avesse dubbi sulla pericolosità delle macro di Office e sulle possibilità di intrusione che offrono, può dare un’occhiata qui per rendersi conto del grado di sofisticazione raggiunto dagli attacchi informatici a mezzo macro, soprattutto in relazione alla capacità di assumere le sembianze di documenti innocui e di sviluppare strumenti per eludere i controlli da parte degli esperti di sicurezza informatica.
La domanda finale da porsi è: davvero ci serve una macro in un documento di testo o in un foglio di calcolo? Esistono delle alternative, magari addirittura migliori, certamente più sicure, e sicuramente più libere, perché indipendenti dal programma e dal sistema operativo utilizzato?
A chi avesse risposto sì alla prima domanda suggeriamo la lettura di questo articolo, e ricordiamo a tutti, compreso chi afferma che il formato OOXML è uno standard ISO, che un file OOXML contenente una macro sicuramente non è né standard, né sicuro.
Facebook Comments