Roma – Un tool capace di mettere a rischio la sicurezza dei sistemi di protezione di Microsoft per i suoi software di punta? Questo è quanto veniva diffuso in una notizia che è apparsa la scorsa settimana nei siti del cosiddetto “underground” della rete, quella del primo “key generator” (generatore di chiavi) per la famiglia di prodotti XP di Microsoft. Si tratta di un tool che, secondo alcuni, rischia di vanificare il meccanismo di protezione di Microsoft noto come “Product Activation”, una tecnologia a cui Punto Informatico ha dedicato, nel recente passato, due approfonditi articoli: Software/ Product Activation, un lucchetto per Windows e Product Activation: Microsoft assaltata su tutti i fronti .
Il “keygen”, come viene chiamato in gergo, è un programma, in genere di modeste dimensioni, in grado di calcolare, attraverso algoritmi più o meno complessi, codici validi per installare, registrare e/o attivare in modo illecito un determinato software. Per “codice” in genere s’intende una chiave d’installazione, un numero seriale o una qualsiasi altra stringa di caratteri alfanumerici che accompagna la confezione di un software originale o viene fornita, specie negli shareware, dietro la registrazione del prodotto.
Il keygen per XP, il cui nome per intero è “XP KeY ReCoVeRER AND DiSCOVErER” (nel nostro caso riporta la versione 5.12) è stato rilasciato da un gruppo di cracker che si fa chiamare “The Blue List” ed è in grado di generare Product Key per i seguenti prodotti di Microsoft: Windows XP Home/Professional/Corporate, Office XP Professional/Plus e Visio XP Professional. Da ieri ne esiste anche una versione localizzata in italiano realizzata da un cracker conosciuto come Efrem.
La Product Key, spesso chiamata CD Key, è quel codice formato da gruppi di caratteri alfanumerici che si trova in genere sul retro della custodia del CD del prodotto.
Su di un PC di media potenza il keygen è in grado di calcolare e verificare dalle 3 alle 5 chiavi al minuto, riuscendo a trovare una chiave valida dopo un tempo variabile che può andare dai 15 minuti alla mezz’ora. Durante i nostri test, con un PC da 1 GHz siamo riusciti a trovare 3 chiavi valide su 100 in circa 45 minuti di elaborazione.
A dispetto di quanto hanno erroneamente riportato diverse fonti, il keygen per XP non genera chiavi di attivazione, ossia quei numeri di identificazione che Microsoft fornisce all’utente al termine del processo di Product Activation per sbloccare il prodotto. Ma per disgrazia di Microsoft, questo non sembra affatto minarne l’efficacia.
Se è infatti vero che la sola Product Key non è sufficiente, da sola, ad attivare il prodotto, è altrettanto vero che con una Product Key valida e non ancora registrata l’utente è in grado di procedere all’attivazione della propria copia pirata di Windows XP, Office XP o Visio XP, attraverso le vie “lecite”, ossia passando per il centro attivazioni di Microsoft. Questa procedura, che come noto può essere eseguita via telefono o via Internet, rende superflua la necessità di crack o di manipolazioni di altra natura che spesso pregiudicano la possibilità, da parte dell’utente illegittimo, di aggiornare il prodotto o di avvalersi di alcuni servizi.
Per il momento il centro attivazioni di Microsoft non sembra infatti in grado di conoscere la legittimità o meno di tutte le chiavi fornitegli. Questo, come si può intuire, non solo potrebbe largamente vanificare l’utilità della Product Activation – visto che l’utilizzo di un keygen è senza dubbio alla portata dell’utente medio – ma potrebbe addirittura trasformarla in un clamoroso strumento di caos: si pensi, ad esempio, cosa potrebbe succedere se un pirata registrasse una Product Key prima del suo legittimo possessore.
Punto Informatico ha sentito il parere di un esperto di sicurezza e di un responsabile Microsoft. Livio Morina, esperto di sicurezza e attento osservatore della scena cracker internazionale, ha collaborato con la nostra redazione al test del keygen. E ci ha confermato che al momento dell’attivazione “nella maggior parte dei casi Microsoft non è in grado di riconoscere se la chiave d’installazione sia vera o fittizia, quindi procede assegnando una chiave di sblocco del prodotto. Alcune voci, nel settore, sostengono che il keygen si basi sugli stessi identici algoritmi che utilizza Microsoft per calcolare le chiavi originali. Questo significherebbe che c’è stata una fuga di codice”.
“I tentativi di trovare una Product Key non ancora registrata – ci ha spiegato Morina – sono oltretutto facilitati dal fatto che attraverso un semplice comando dato in Windows XP è possibile cambiare la Product Key senza la necessità di reinstallare l’intero sistema operativo”.
Morina ha inoltre spiegato come Microsoft non possa in alcun modo risalire all’utente che sta attivando una copia di un prodotto: sui suoi server, infatti, non vengono loggati altri dati se non quelli relativi ad alcune informazioni hardware sulla propria macchina (hard disk, CPU, chipset, scheda video).
Giovanni Bergamaschi, responsabile della Product Activation di Microsoft Italia, ha sottolineato il fatto che “Microsoft viene continuamente attaccata su ogni fronte e l’aver messo una protezione software ha scatenato la corsa all’hackeraggio”.
“Riguardo al generatore di chiavi – ha detto Bergamaschi – Microsoft sta ancora investigando. Comunque, quand’anche la sua validità venisse verificata, resta invariato lo scopo della Product Activation, che è quello di limitare il fenomeno della pirateria, in particolare di quella definita “casuale””.
“Non consideriamo compromessa l’integrità della Product Activation”, ha insistito Bergamaschi. “Sono già in atto processi di studio del keygen e vi è un generale processo di tutela della proprietà intellettuale nell’ambito del quale stiamo invitando i siti che diffondono informazioni e programmi destinati a “crackare” i prodotti Microsoft ad eliminare tale materiale: questo anche per tutelare gli utenti che scaricano e avviano programmi presi da tali siti e poi si trovano alle prese con virus, trojan, ecc.”.
Gli esperti non sembrano condividere l’ottimismo di Bergamaschi ed affermano che le chiavi generate da questo programmino si sovrappongono a quelle rilasciate da Microsoft rischiando, in tal modo, di creare una confusione colossale e seri problemi per gli acquirenti di una copia originale di un prodotto della famiglia XP.
“Non c’è dubbio – ha affermato Morina – che Microsoft dovrà presto correre ai ripari per tutelare i legittimi possessori dei suoi prodotti”.
Secondo alcuni la soluzione più semplice, per Microsoft, potrebbe essere quella di confrontare, in fase di attivazione, la Product Key fornitale dall’utente con un database contenente tutte le chiavi associate alle copie dei suoi prodotti: in questo modo l’operatore del centro attivazioni potrebbe verificare se una data chiave appartenga effettivamente alla copia di un software rilasciata in commercio.
Questa soluzione, però, non risolverebbe del tutto il problema, visto che per un pirata potrebbe ancora essere possibile avvalersi della chiave di un prodotto già distribuito ma non ancora venduto o attivato.
Ora non resta che attendere la controffensiva di Microsoft ad uno strumento di cracking che, ben più dei precedenti, ha mirato al cuore della Product Activation. Riuscirà il gigante di Redmond a deviare il colpo?