Windows 8 Secure Boot permette ai Governi di installare backdoor sui Pc degli utenti

Sin dall’annuncio, la funzione Secure Boot di Windows 8 è stata molto criticata, soprattutto negli ambienti open source. Ora, però, spunta l’ipotesi che Microsoft possa permettere ai Governi di usarla per installare backdoor, all’insaputa degli utenti, che difficilmente potranno essere rimosse.

Sin dall’annuncio, la funzione di Secure Boot, che sarà probabilmente integrata sui futuri Pc e tablet con a bordo Windows 8, è stata sin da subito criticata, soprattutto tra gli appartenenti alla comunità open source. Tale tecnologia, realizzata a livello hardware attraverso il chip UEFI (Unified Extensible Firmware Interface), già presente sulle motherboard più recenti, e che ha lo scopo di elevare il livello di protezione e di sicurezza del PC stesso, finisce per impedire, in particolare sui notebook, l’installazione di un altro sistema operativo.

Ora, però, di là della probabile volontà di Microsoft di coltivare il proprio orticello, cercando di convincere gli utenti a passar forzatamente dal Windows Market, sembra ora che i Governi possano appoggiarsi a Microsoft per installare sui Pc degli utenti, a loro insaputa, malware capaci di spiarne tutte le attività, un po’ come era avvenuto con il caso tedesco.

Ross Anderson, professore di Security Engineering presso il Computer Laboratory dell’University of Cambridge, ha scritto nel blog Touchpaper Light Blue, su questo argomento.

Il professore spiega prima come la funzione Secure Boot possa limitare l’acquisto di applicazioni Windows 8 al solo market ufficiale di Microsoft, con la stessa tecnica per l’installazione delle toolbar o delle liberatorie per la ricezione della posta indesiderata. All’utente viene cioè chiesto di spuntare una casella per rifiutare l’offerta, ben sapendo che molto di loro non lo faranno.

Questo tipo di pratica, tuttavia, può diventare molto pericoloso, permettendo ai governi di appoggiarsi a Microsoft per installare malware sui Pc degli utenti, quasi impossibili da rimuovere. Un esempio proviene dal Consiglio per la Ricerca Scientifica e Tecnologica della Turchia, che ha dichiarato di avere rimosso dal browser web Tubitak, una chiave governativa per il controllo della navigazione. Anderson si chiede però come si faccia a identificare e rimuovere quelle di tutti i governi.

Se il governo turco ha costretto Microsoft a includere Tubitak, questo il nome della chiave di controllo, all’interno di Windows, in modo che i propri servizi di intelligence fossero in grado persino di controllare la posta dei parlamentari curdi, ci si aspetta che Microsoft possa loro rilasciare una chiave UEFI per autenticare keylogger e malware governativi.

Anderson ha anche scritto un documento PDF di 8 pagine che descrive nei dettagli la sua analisi. La Free Software Foundation di Stallman, ha anche avviato una petizione contro Secure Boot, incoraggiando gli utenti a firmare.