Gaia Bottà

Windows 10, la chiave per decifrare cade dalla nuvola

Microsoft, per gli utenti Home dei più recenti OS, offre la crittografia del dispositivo per garantire più sicurezza. Conservare la chiave di ripristino sui propri server, avverte però il ricercatore Micah Lee, rischia di vanificare ogni promessa

Windows 10, la chiave per decifrare cade dalla nuvolaRoma - Windows 10 garantisce ai propri utenti la cifratura del disco di default, garantisce la possibilità di recuperare la chiave di accesso ai propri dati qualora andasse perduta. Quel che non appare garantire è la assoluta sicurezza di questa chiave: non è semplicemente affidata all'utente perché la custodisca gelosamente, ma viene automaticamente caricata sui server di Redmond.

A fare chiarezza, e a sollevare dubbi su un servizio attivo a partire dall'avvento di Windows 8.1 e consolidatosi con Windows 10 in edizione Home è il ricercatore Micah Lee, in un articolo per The Intercept: il meccanismo di cifratura del dispositivo attivo di default per scongiurare l'accesso ai dati di un utente la cui macchina vada persa o venga rubata, nel momento in cui l'utente abbia associato a Windows 10 il proprio account Microsoft invia a OneDrive la chiave per recuperare l'accesso al proprio sistema (o ai server della propria azienda o dell'istituzione scolastica qualora si tratti di un account business o dedicato all'istruzione basato sui servizi Microsoft).

Con il rilascio delle specifiche per Windows 8.1, confermate poi per Windows 10, Microsoft ha iniziato ad imporre ai produttori che scegliessero Windows l'implementazione del Trusted Platform Module (TPM 2.0) a partire dal gennaio 2015, requisito per abilitare la crittografia del dispositivo: gli utenti che si affidino a sistemi dotati di TPM ricevono lo stesso trattamento anche con Windows 8.1 per cui Microsoft spiega esplicitamente che "viene automaticamente eseguito il backup della chiave di ripristino nell'account Microsoft online".
Lee ammette che una chiave di backup può risultare utile all'utente comune più distratto. Ma nel sottolineare i rischi che un tale meccanismo comporta traccia un paragone con i tempi della prima crypto war degli anni Novanta e del clipper chip, sviluppato da NSA per garantirsi tramite key escrow un accesso alle comunicazioni cifrate richiedendo la chiave conservata da terzi, in caso di necessità. Microsoft sarebbe la "terza parte" in causa, detenendo la chiave che dovrebbe assicurare al solo utente la possibilità di accedere al proprio sistema. Il ricercatore non si spinge oltre nel suggerire che Redmond giochi qualche tipo di ruolo al servizio dei governi oltre a quelli previsti dalla legge, ma suggerisce che "nel momento in cui la recovery key lascia il vostro computer, non c'è modo di sapere quale sarà il suo destino". I server di Microsoft o delle aziende e delle istituzioni su cui la chiave viene depositata potrebbero subire degli attacchi, gli account degli utenti potrebbero essere violati: i malintenzionati, ammonisce Lee, avrebbero la possibilità di guadagnarsi l'accesso completo ai sistemi che gli utenti ritengono protetti. "Solo nel momento in cui abbiano accesso fisico al dispositivo", aggiunge Microsoft a propria discolpa.

Il ricercatore evidenzia che la falla del meccanismo risiede nel fatto che all'utente delle versioni base di Windows non venga concessa possibilità di scelta: stoccare una chiave di backup sui servizi cloud è una possibilità che viene offerta da numerose aziende, compresa Apple, che dopo il Datagate ha iniziato a fare della privacy un cavallo di battaglia, e la stessa Microsoft permette agli utenti delle edizioni Professional o Enterprise del sistema operativo, che supportano BitLocker, di usufruire della recovery key conservata in remoto. Ma, appunto, si tratta di una possibilità che gli utenti consapevoli dei rischi potranno abbracciare o provvedere a rifiutare, seppur dopo un primo upload obbligato.

Lee, a partire dal login sul sito Microsoft dedicato per verificare la presenza della propria recovery key, mette poi a disposizione degli utenti le istruzioni per mettersi al sicuro. Redmond assicura che, qualora l'utente richieda la rimozione, la cancellazione della recovery key dai propri server è pressoché immediata.
Per assicurarsi la cifratura del disco, le alternative non mancano: Lee nomina BestCrypt, codice proprietario, e VeraCrypt, con i suoi problemi di compatibilità. TrueCrypt (7.1a) resta una soluzione de prendere in considerazione.

Gaia Bottà
Notizie collegate
  • AttualitàWindows 10, privacy aggiornataMicrosoft modifica la propria policy sulla gestione dei dati in seguito all'ultimo update di Windows 10. Ora dovrebbe essere tutto più chiaro, incluso il fatto che l'utente finisce nel cloud quando meno se lo aspetta
  • SicurezzaBitLocker, l'attacco che dura pochi secondiPresentato uno nuovo attacco capace di bypassare la protezione crittografia di BitLocker su sistemi portatili collegati a un network aziendale. La vulnerabilità è già stata chiusa dalle ultime patch di Microsoft
  • SicurezzaCassandra Crossing/ Dopo Truecryptdi M. Calamari - E' trascorso oltre un anno da quando la confusione è calata su Truecrypt, sono nati fork e sono state condotte analisi sul codice. Ora di chi ci si può fidare?
  • AttualitàCrittografia, la backdoor è una voragineEsperti di sicurezza evidenziano i rischi connessi all'implementazione delle backdoor nei sistemi crittografici, un tipo di accesso segreto che inevitabilmente annulla la stessa ragion d'essere della cifratura. Il riferimento è alla prima crypto war degli anni Novanta
42 Commenti alla Notizia Windows 10, la chiave per decifrare cade dalla nuvola
Ordina
  • A parte l'oscenità dell'invio automatico della chiave crittografica verso i server M$, io non userei quel bloatware closed di Bitlocker nemmeno per cifrare le ricette della nonna.
    non+autenticato
  • - Scritto da: Nome e cognome
    > A parte l'oscenità dell'invio automatico della
    > chiave crittografica verso i server M$, io non
    > userei quel bloatware closed di Bitlocker nemmeno
    > per cifrare le ricette della
    > nonna.

    che brutta bestia l'invidia? Tornate in cantina a fare backup manuali e cifrature software anziché via hardware
    non+autenticato
  • Ad essere sinceri dm-crypt usa le istruzioni AES-NI della CPU dal kernel 2.6.32, per i backup uso rsync + cron.
    non+autenticato
  • I foglioni non sono padroni delle proprie chiavi.
    non+autenticato
  • In realta' poi :
    <
    If you have Windows 10 Home and want to encrypt your disk, but don't want the recovery key to be stored in OneDrive, that's OK; you can do it. Contrary to what The Intercept wrote, this doesn't require a paid upgrade to Windows 10 Pro or Enterprise; Windows 10 Home can do it, too.

    The first step is simple: go to the list of recovery keys on OneDrive and delete any that you don't want stored in the cloud. Microsoft says that the recovery key will soon be purged from backups.
    Someone wanting to get their recovery key off the cloud probably won't trust that to keep them safe, so the next step is to create a NEW recovery key to replace the cloud one.

    The instructions given here walk through the process of doing [this]. Windows 10 Home users will need to skip step 4—that step is only applicable to Windows domain accounts—but the other steps work correctly on Windows 10 Home.
    >

    certo le anti-features di M$, da cui l'utente deve continuamente difendersi, sono cresciute.... da quando e' cresciuta la mania del Os-as-a-inet-service ...
    non+autenticato
  • - Scritto da: bubba

    > certo le anti-features di M$, da cui l'utente
    > deve continuamente difendersi, sono cresciute....

    finché ci sono fessi che continuano a giustificarla dicendo mi***ate tipo " ma tanto basta blablabla "...
    non+autenticato
  • - Scritto da: Pianeta Ma Tanto Basta Blablabla
    > - Scritto da: bubba
    >
    > > certo le anti-features di M$, da cui l'utente
    > > deve continuamente difendersi, sono
    > cresciute....
    >
    > finché ci sono fessi che continuano a
    > giustificarla dicendo mi***ate tipo "
    > ma tanto basta blablabla

    > "...
    e quali sarebbero le 'giustificazioni' e 'le minchiate'? il FATTO e' un FATTO (theintercept ha esagerato). Che M$ sia una maledizione da decenni e' un altro FATTO (che non invalida quell'altro)
    non+autenticato
  • - Scritto da: bubba

    > e quali sarebbero le 'giustificazioni' e 'le
    > minchiate'?


    Per esempio gente che arriva bellamente dicendo " eh, ma basta cambiare l'impostazione! "
    Previsti ieri, arrivati oggi. Puntualmente.
    non+autenticato
  • - Scritto da: Pianeta Previsti Ed Arrivati
    > - Scritto da: bubba
    >
    > > e quali sarebbero le 'giustificazioni' e 'le
    > > minchiate'?
    >
    >
    > Per esempio gente che arriva bellamente dicendo "
    > eh, ma basta cambiare l'impostazione!
    >

    > "
    > Previsti ieri, arrivati oggi. Puntualmente.
    pero' se hai dei problemi di analfabetismo di ritorno non colpevolizzare gli altri eh.....

    Il fatto che ci sia qualche tipo di workaround/setup/ecc (E C'E') e il fatto che con M$ (ma anche papple e android con gapps ) ci si debba sempre DIFENDERE (generando cosi' quell'INSOPPRIMIBILE fastidio che -mi pare- anche tu rilevi quando parli del dragasaccocce di Redmond) sono DUE faccende SEPARATE.

    Riassumendo
    1) e' meno tragico di quel che e' stato raccontato
    2) M$ e' merda [a prescindere dal punto 1]

    Piu' chiaro?Con la lingua fuori
    non+autenticato
  • Ma il cloud di MS non era sicuro? A bocca storta

    Ma non s'era detto che le critiche erano solo FUD? Fantasma

    Ma non s'era detto che il cloud anzi MIGLIORAVA la privacy? Rotola dal ridere

    Eppure queste cose non me le sono immaginate io! A bocca aperta

    E allora come mai questi problemi? Sorpresa

    E allora come mai 'ste zozzerie? Arrabbiato
    non+autenticato
  • - Scritto da: Una gran punzonatur a
    > Ma il cloud di MS non era sicuro? A bocca storta

    sicuro che ti fotteva

    > Ma non s'era detto che le critiche erano solo
    > FUD?
    > Fantasma

    ma per i fanboy è sempre e solo FUD, tant'è che arrivano ad invocare i gombloddi, quando poi ci sono le prove di un certo Snowden che ci dicono che è tutto vero e reale


    > Ma non s'era detto che il cloud anzi MIGLIORAVA
    > la privacy?
    > Rotola dal ridere

    si, la privacy dei farabutti che ci governano


    > Eppure queste cose non me le sono immaginate io!
    >A bocca aperta

    come no? sei un gombloddistaA bocca aperta


    > E allora come mai questi problemi? Sorpresa

    qualche "dimenticanza" di un programmatore distrattoA bocca aperta

    > E allora come mai 'ste zozzerie? Arrabbiato

    zozzerie tipo il nuovo patriot act infilato nella legge di bilancio 2015?
    non+autenticato
  • - Scritto da: Una gran punzonatur a
    > Ma il cloud di MS non era sicuro? A bocca storta

    proprio perché il cloud è il posto più sicuro, si è scelto di memorizzare tale informazione lì
    non+autenticato
  • - Scritto da: pippa

    > proprio perché il cloud è il posto più sicuro, si
    > è scelto di memorizzare tale informazione
    > lì

    esatto, è il posto di gran lunga più sicuro!
    non+autenticato
  • - Scritto da: NSA e spioni assortiti

    > esatto, è il posto di gran lunga più sicuro!

    il cloud è come una calda coperta nel pieno dell'invernoA bocca aperta
    non+autenticato
  • ...immagino che la M$ vorrà farsi una copia delle chiavi di casa dei clienti, da tenere sul suo spyCloud per "la loro sicurezza".

    Del resto "era scritto a pag. 97 in cirillico, sulla EULA", quella non modificabile di una virgola e che va firmata per forza per avere il servizio. Quindi il cliente era senz'altro d'accordissimo...
    non+autenticato
  • - Scritto da: xx tt
    > ...immagino che la M$ vorrà farsi una copia delle
    > chiavi di casa dei clienti, da tenere sul suo
    > spyCloud per "la loro sicurezza".
    >
    >
    Quindi il cliente era senz'altro
    > d'accordissimo...

    Ma quali clienti? Se stai parlando dei clienti come pippa, allora siamo d'accordo! Gli altri non installano proprio winzozzo.

    Io sono il fuddaro io fuddo :^()
    non+autenticato
  • beh...chi altri vuoi che installi roba M$ per cose del genere?

    Aspetta poi che inizino le prime schermate blu nelle auto con winzozz. Tanto con qualche bella tangente qualche produttore di auto lo trovano...è solo questione di tempo.
    non+autenticato
  • Ogni volta che la chiave crittografica lascia il tuo computer per essere memorizzata su un server oltreoceano non sei più padrone di nulla e tutto si riduce ad un bel fail...
    non+autenticato
  • - Scritto da: Etype
    > Ogni volta che la chiave crittografica lascia il
    > tuo computer per essere memorizzata su un server
    > oltreoceano non sei più padrone di nulla e tutto
    > si riduce ad un bel
    > fail...

    a parte l'ufficialità, era una cosa che si sapeva

    solo un pollo potrebbe credere che del software closed-source made in USA faccia i suoi interessi e non quelli del complesso spionistico-industriale del suddetto Paese
    non+autenticato
  • - Scritto da: collione

    > solo un pollo potrebbe credere che del software
    > closed-source made in USA faccia i suoi interessi
    > e non quelli del complesso
    > spionistico-industriale
    del suddetto
    > Paese

    Eh si, é proprio un gombloddo spionistiko-industriale segretissimo. Perplesso


    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: Etype
    > Ogni volta che la chiave crittografica lascia il
    > tuo computer per essere memorizzata su un server
    > oltreoceano non sei più padrone di nulla e tutto
    > si riduce ad un bel
    > fail...
    mi sfugge una cosa............. ma quando mai windows è stato "tuo"? tu hai solo "il permesso" di utilizzarlo grazie alla licenza. non scordarlo mai questo. altrimenti il fail è tuo.
    non+autenticato
  • - Scritto da: pinguino gommoso
    > - Scritto da: Etype
    > > Ogni volta che la chiave crittografica lascia il
    > > tuo computer per essere memorizzata su un server
    > > oltreoceano non sei più padrone di nulla e tutto
    > > si riduce ad un bel
    > > fail...
    > mi sfugge una cosa............. ma quando mai
    > windows è stato "tuo"? tu hai solo "il permesso"
    > di utilizzarlo grazie alla licenza. non scordarlo
    > mai questo. altrimenti il fail è
    > tuo.

    Il ferro e' mio, il disco anche, e pure i files presenti sul disco, tra cui la chiave, sarebbero miei.
  • - Scritto da: pinguino gommoso
    > - Scritto da: Etype
    > > Ogni volta che la chiave crittografica lascia il
    > > tuo computer per essere memorizzata su un server
    > > oltreoceano non sei più padrone di nulla e tutto
    > > si riduce ad un bel
    > > fail...
    > mi sfugge una cosa............. ma quando mai
    > windows è stato "tuo"? tu hai solo "il permesso"
    > di utilizzarlo grazie alla licenza. non scordarlo
    > mai questo. altrimenti il fail è
    > tuo.

    Purtroppo ci sono ancora pecore a iosa che credono che windows, è di loro proprietà perchè lo hanno comperato! LOL

    Mo vallo a spiegare tu a sti 'signori', perchè a me viene da ridere..
    non+autenticato
  • In effetti il passaggio prossimo venturo al SO in affitto (stile office 365) dovrebbe chiarire bene le idee alla mandria su chi sia il proprietario del winzozz di turno.

    Il problema è che quando succederà la M$ avrà chiuso tutte le gabbie alle spalle degli ottimisti del Windows10 gratisss. Sarà un periodo molto interessante Sorride



    Mi auguro che il Padella "SO come servizio" si faccia anche pagare il traffico di dati che il SO gestisce, ovvero l'utilizzo dell'HD e traffico rete. Una specie di bolletta per l'uso del SO, insomma.
    Così da rendere ancora più evidente all'utonto chi sia il vero padrone.

    Ovviamente il traffico da e verso il sacro spyCloud non sarà conteggiato, per favorirne l'utilizzo. E del resto i dati in pancia alla M$ si ripagano da soli con la rivendita allo zio Sam stampasoldi (vedere come fa Twitter a campare).
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)