MS: Felten sbaglia, Vista è sicuro

Una tecnica sviluppata negli USA non lascia scampo alle cifrature del file system su ogni sistema operativo. Basta un po' di freddo per violare la privacy altrui. Microsoft non ci sta: il nostro Vista è sicuro, dicono

Roma – Rubare un laptop, spruzzare un po’ di aria compressa e violare la codifica del file system lanciando un semplice programmino. È quanto sono riusciti a fare un gruppo di ricercatori dell’Università di Princeton, capitanati dal celeberrimo professor Edward W. Felten , paladino, tra l’altro, della lotta al DRM. FileVault su MacOSX, BitLocker su Windows Vista, dm-crypt e TrueCrypt su Linux: nessuno ha avuto scampo. Il punto debole non è neppure nel codice del software: è nella RAM.

Edward W. Felten L’intero processo si basa su un paio di ipotesi: la prima, lapalissiana, è che durante l’utilizzo, la chiave che sblocca la cifratura del file system si trovi in RAM. La seconda, un po’ meno scontata, è che una volta spento il computer – oppure, meglio ancora, messo in stand-by la memoria RAM non si cancelli istantaneamente . Esiste, e la tecnica utilizzata lo dimostra, un periodo preciso di latenza entro cui i dati permangono nei chip di memoria: un periodo tanto più lungo se è possibile raffreddare adeguatamente i moduli di RAM.

Non si parla di secondi ma di minuti. Se si arriva ad usare sostanze come l’azoto liquido, il periodo di latenza può addirittura arrivare e superare l’ora. Più in generale, basta spruzzare un po’ d’aria compressa sulla RAM di un notebook, collegare un hard disk alla porta USB e avviare il computer dall’unità esterna. In pochi attimi un tool appositamente sviluppato preleverà le informazioni desiderate dalla memoria del portatile che si intende violare e procederà a ricostruire la chiave desiderata: curiosare tra i file altrui, a quel punto, non sarà più un problema.

Sarà un problema,invece, soprattutto per coloro i quali sono soliti portarsi dietro laptop pieni zeppi di dati sensibili, che corrono un rischio in più dunque nel lasciare incustodito il loro hardware sulle scrivanie degli uffici o, peggio ancora, negli aeroporti o in auto. Un problema che potrebbe acuire il rischio che le informazioni dei privati cittadini , archiviate nei notebook dei funzionari della pubblica amministrazione, finiscano nelle mani sbagliate .

Microsoft non ci sta però a veder demolita così una delle nuove funzionalità introdotta in Vista: a difendere BitLocker interviene nientepopodimenoché Russ Humphries , senior product manager responsabile della sicurezza della piattaforma Windows 6. Per Humphries la possibilità che un ladro di laptop circoli armato di bomboletta spray e disco USB per violare la sicurezza altrui è “quantomeno improbabile”. Minaccia di ben altra gravità sarebbe, piuttosto, “il furto mirato di un portatile specifico”.

In un post dedicato all’argomento su un blog aziendale, Humphries ricorda le diverse modalità di protezione messe a disposizione da Vista : “BitLocker permette di decidere di non far riavviare una macchina a meno che l’utente non fornisca un codice, oppure una penna USB che contiene una chiave segreta. E con il Service Pack 1 per Vista installato si potrà anche far coesistere le due opzioni!”.

Insomma, nella vita reale la protezione offerta dai vari protocolli di cifratura dei diversi sistemi operativi basta e avanza : “Le ricerche sulla sicurezza di questo tipo aiutano gli utenti e l’industria a migliorare il livello di protezione generale dei sistemi – conclude Humphries – (…) Ma l’identificazione di un singolo metodo di attacco, che può essere controbilanciato dall’adozione di policy come quelle illustrate, non corrisponde alla dismissione di una intera categoria di prodotti per la sicurezza come prospettato da qualcuno”.

Luca Annunziata

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Fabrizio Cinti scrive:
    Ma a che serve LinkedIn?
    Mi sono iscritto un anno fa, ci sono stato forse tre volte, e non ho ancora capito a che cosa dovrebbe servirmi LinkedIn. Di Facebook ho aperto l'home page, l'ho richiusa e non ci sono più stato.Ogni giorno leggo di questi siti sociali, e non ho ancora capito a cosa servono.Non è polemica, ma semplice curiosità: qualcuno che li utilizza potrebbe gentilmente spiegare a cosa servono? Se sono frequentati da tanta gente a qualcosa serviranno, e mi secca sapere che mi sta sfuggendo qualcosa che magari potrebbe essere da non trascurare.Grazie.
    • Redmond 2008 scrive:
      Re: Ma a che serve LinkedIn?
      Su Facebook puoi conoscere gente della tua università, su Linkedln professionisti vari e su mySpace un sacco di gnocca.
    • www scrive:
      Re: Ma a che serve LinkedIn?
      :P diciamo che è una forma di spam un po' più evoluta :P ovviamente scherzo, ma a volta è veramente un po' troppo una rottura di scatole :P
    • TBJ61898 scrive:
      Re: Ma a che serve LinkedIn?
      certo se i siti li apri e li chiudi o ci vai tre volte in un anno mica puoi sperare che le informazioni fluiscano dal tasto destro .. su per il braccio fino alla testa.poi se volevi fare dell'umorismo spicciolo è un altro discorso...
    • James scrive:
      Re: Ma a che serve LinkedIn?
      - Scritto da: Fabrizio Cinti
      Di Facebook ho aperto
      l'home page, l'ho richiusa e non ci sono più
      stato.
      Devi cliccare sui link e leggere il testo con le spiegazioni, poi forse capisci a cosa serve.
      • Joliet Jake scrive:
        Re: Ma a che serve LinkedIn?
        In genere aiuta...Comunque MySpace serve solo a inchiodarti il browser mentre ti spara canzonette sceme che non riesci a spegnere.Facebook lo uso spesso ad esempio per organizzare e partecipare a eventi o concerti e il fatto che sia configurabile (settings, privacy, applicazioni che vuoi usare/vedere) al 100% lo rende molto più utile. Era nato per le università ma ora non ha niente ha che farci.Poi dipende. In Italia ad esempio so che non è usato molto. Qui in Finlandia la gente si presenta e poi ti chiede "Ma sei su Facebook?" :)
    • markoer scrive:
      Re: Ma a che serve LinkedIn?
      E' utile a moltissime cose. Solo per fare degli esempi:1) puoi mantenere contatto con chi cambia azienda (e quindi email) - non si sa mai cosa possa scaturire, per esempio in termini professionali, dagli ex-colleghi - di solito è il modo migliore di trovare un nuovo lavoro2) puoi trovare servizi professionali3) puoi farti trovare come professionista (LinkedIn è il posto di elezione per trovare lavoro, ovviamente parlo di mercati seri, ovvero non l'Italia...)4) puoi partecipare ai gruppi e connetterti a persone che hanno i tuoi stessi interessi5) puoi trovare risposta alle tue domande (puoi postarle sul sito)6) puoi raggiungere persone che non conosci tramite quelle che conosci (per motivi professionali per esempio)ecc. ecc.Come diceva giustamente qualcun altro, se non lo usi non serve a nulla, se non a farti spammareCiao
      • Fabrizio Cinti scrive:
        Re: Ma a che serve LinkedIn?
        - Scritto da: markoer
        E' utile a moltissime cose. Solo per fare degli
        esempi:[...]
        Come diceva giustamente qualcun altro, se non lo
        usi non serve a nulla, se non a farti
        spammareGrazie per i chiarimenti.
Chiudi i commenti