Secure Boot, la reprimenda di Stallman

Il guru del software libero parla in maniera diretta (e franca) della nuova funzionalità di sicurezza introdotta da Microsoft su Windows 8. Roba da mettere fuori legge, dice

Roma – Continua la discussione sulla tecnologia Secure Boot , la funzionalità per il boot “sicuro” e firmato che Microsoft introdurrà con Windows 8. Dopo le note argomentate della Free Software Foundation è ora venuto il momento di Richard Stallman, che senza giri di parole parla di una funzionalità che andrebbe messa fuori legge.

Stallman, presidente della succitata FSF e guru del movimento del free software, fa una distinzione tra “boot sicuro” e “boot ristretto”: nel primo caso l’utente ha il pieno controllo del meccanismo e può firmare digitalmente il bootloader con le sue chiavi private, mentre nel secondo caso gli unici a possedere le chiavi di cifratura sono gli incumbent (Microsoft, nel caso di Windows 8) e il processo di boot non può essere controllato dall’utente, a meno di disabilitare la funzionalità sui sistemi che lo permettano (CPU x86).

Secure Boot fornirà un ulteriore leva di controllo ai fornitori di software per computer e gadget informatici, dice Stallman, e nella declinazione in salsa Microsoft è qualcosa che dovrebbe essere messo fuorilegge: Secure Boot su Windows 8 non è una funzionalità di sicurezza ma un abuso a danno degli utenti.

Se Stallman strilla peste e corna contro i “virus” del software proprietario come Microsoft (Windows), Apple (Mac OS X) e Adobe (Flash), in seno alla community di Linux c’è chi pensa piuttosto a trovare il sistema di bypassare Secure Boot anche quando la funzionalità è stata abilitata. Gli sviluppatori lavorano in particolare su Tianocore , implementazione open source delle specifiche del firmware UEFI (all’interno del quale gira il modulo Secure Boot e gli altri componenti di startup della macchina) distribuita da Intel e che è stata recentemente aggiornata con l’aggiunta del supporto alla funzionalità di sicurezza voluta da Microsoft.

Bypassare Secure Boot si può, dicono gli sviluppatori, che hanno già trovato il modo di firmare il modulo di sicurezza con chiavi private personali per poi abilitare l’esecuzione di un kernel Linux non firmato. Il progetto è ancora ai primi stadi di sviluppo ma già promette bene .

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • illegale scrive:
    Nel parere espresso dal giudice
    Nel parere espresso dal giudice Lucy Koh, LinkedIn non può essere considerato un servizio di comunicazione elettronica.[img]http://4.bp.blogspot.com/_p3XIipv981Y/TIa8Ph9p8nI/AAAAAAAAAsg/eM9t596M8GI/s1600/Hyena-laughing.jpg[/img]
    • ... scrive:
      Re: Nel parere espresso dal giudice
      Quindi è un esercizio abusivo dell'attività??? Comunque visto che linkdin non offre garanzie, o meglio, offre un servizio ma quando ci sono problemi non è incriminabile perchè non rientra nella categoria di appartenenza per il servizio offerto.... io me ne starei alla larga (neanche ho un account, ma se ce lo avessi lo cancellerei subito)
      • Zak scrive:
        Re: Nel parere espresso dal giudice
        Non sei su linked in e non sai di che parli. Probabilmente non sei un professionista, sennò saresti su linked in e sapresti di cosa si parla.
        • ... scrive:
          Re: Nel parere espresso dal giudice
          Tutti i professionisti stanno su linkedin ora...
          • bubba scrive:
            Re: Nel parere espresso dal giudice
            - Scritto da: ...
            Tutti i professionisti stanno su linkedin ora...tutti quelli che voglio farsi XXXXXXX la pw, si. ;)
          • Zak scrive:
            Re: Nel parere espresso dal giudice
            Quello delle password fregate è stato un episodio preoccupante, ma personalmente la roba che di solito si tiene in LinkedIn non mi sembra critica. Per esempio, io sarei molto più preoccupato di come uso servizi tipo DropBox (che ancora non ho capito se encripta e come) o GoogleDoc.Comunque, per la precisione, io mi ricordo che hanno fregato gli hash delle password, non le password, non è esattamente la stessa cosa, è un pelo meno, anche se certamente non fa piacere.
Chiudi i commenti