Security bug nel Repair Mode / Recovery Console di Vista ? Ma no ...

Terza puntata della rubrica Anti-FUD (per la prima e seconda puntata leggi qui e qui).

Fatto vero (purtroppo): ad un collega pochi giorni fa hanno rubato la moto mentre era al lavoro da un cliente, in pieno giorno. Come era protetta la moto ? Dal quel tipo di lucchetto che immobilizza la ruota, senza catene che la legavano a supporti fissi. Come è stata rubata la moto ? E' arrivato un camion, sono scesi alcuni tizi e hanno caricato "di peso" la moto a bordo, in meno di 5 minuti! Cosa voglio dirvi con questo ?

Un concetto fondamentale in ambito sicurezza: LA SICUREZZA FISICA è alla base di tutta la sicurezza (concetto ribadito anche dal modello Defense In-Depth a dall'immagine rappresentativa che ho riportato nel mio post di piano dell'opera).

Fatto falso: leggo in vari post che riprendono l'articolo del finlandese Kimmo Rousku, che Windows Vista sembrerebbe avere un bug di sicurezza che "...permette di guadagnare accesso illimitato a chiunque abbia accesso fisico al PC, anche se non conosce le password di accesso".

Gli esperti di sicurezza staranno già sorridendo nel leggere la frase tra virgolette, e non credo abbiano bisogno di ulteriori spiegazioni, ma mi perdoneranno se spendo due parole al riguardo a beneficio di tutti, nell'ottica di migliorare la cosiddetta "cultura sulla sicurezza informatica".

Questo NON è un security bug, se hai accesso fisico ad un PC hai già vinto la partita, come peraltro già indicato dalla terza delle 10 leggi immutabili della sicurezza: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore. La protezione dei dati sull'hard disk deve necessariamente far leva sulla cifratura delle informazioni: è per questo che è stato aggiunto BitLocker a EFS su Windows Vista. E ricordo che la robustezza della cifratura è legata alla robustezza dell'algoritmo utilizzato e alla non disponiblità delle chiavi: è per questo che in Windows Vista 1) è stato irrobustito l'EFS permettendo ora il mantenimento delle chiavi private sulle smart card, 2) sono stati implementati algoritmi di cifratura più robusti, 3) in BitLocker la combinazione più sicura richiede l'uso del chip TPM e della chiave USB (da non tenere assieme al PC !!!). Giusto a completamento di quanto detto potete consultare l'articolo 818200 della Microsoft Knowledge Base, che spiega ulteriormente queste considerazioni per la protezione dei dati sull'hard disk.

Rimane solo un dubbio legittimo, che anch'io mi sono posto: se su Windows XP c'era la password per accedere al recovery mode, perché in Windows Vista è stata tolta, generando così la percezione (errata) di minor sicurezza o addirittura di bug ?? Vi spiego perché: le funzionalità di Repair Mode / Recovery Console vengono appunto utilizzate quando abbiamo dei problemi con l'avvio del nostro PC. Dal momento che è stato riscontrato che la maggior parte dei problemi di avvio dei sistemi Windows XP erano dovuti a corruzione di file system e registry, non aveva senso forzare un'autenticazione per permettere l'accesso al disco visto che questa autenticazione richiede di andare a leggere proprio nel registry o sul file system per verificare la correttezza della password. Dal momento che tale password non aggiungeva un ulteriore livello di sicurezza rispetto ad una competenza tecnica media (viste le considerazioni sulla sicurezza fisica di cui vi ho detto e la generale disponibilità su Internet di tool per fare attacchi offline), anzi rendeva più difficile l'attività di recovery, è stato scelto di toglierla.

Quindi, capisco che una password dia un certo senso di sicurezza in più, ma se è solo una percezione di falsa sicurezza e dà fastidio alla funzionalità di recovery allora condivido con la scelta progettuale di toglierla: quindi ribadisco, questo NON è un security bug e Microsoft non ha nulla da fissare ...

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS