Mount Carmel, Haifa – Un gruppo di ricercatori del Dipartimento di Informatica dell’ Università di Haifa , diretto dal dott. Benny Pinkas, ha individuato nel sistema operativo Windows 2000 di Microsoft una nuova vulnerabilità afferente alla sfera della sicurezza. Sarebbero interessati password, email, numeri di carte di credito e, in generale, ogni tipo di corrispondenza originata o giunta su un computer gestito da Windows 2000.
Chiunque sfrutti questo bug può accedere a tali informazioni sui computer altrui”, ha detto a Linuxelectrons il dott. Pinkas. Diverse vulnerabilità sono state scoperte negli anni, ricorda la testata. Ma l’ultima, scoperta dal dott. Pinkas e dai laureandi Zvi Gutterman e Leo Dorrendorf, consente ai cracker di accedere a informazioni inviate da un computer anche se cifrate e anche se non più residenti su quello stesso computer.
Il gruppo di ricerca ha individuato la debolezza nel sistema di generazione dei numeri casuali di Windows. Si tratta di un programma di importanza vitale per la cifratura di file, della posta e per la cifratura SSL , utilizzata dal protocollo https e adottata da tutti i browser. Decifrando il modello con cui il generatore di numeri casuali lavora, il gruppo è riuscito ad elaborare sia le chiavi già generate sia quelle di futura produzione, rendendo così possibile la decodifica delle comunicazioni e dei dati cifrati.
“Non vi è alcun dubbio che craccare un computer usando il nostro metodo richieda una pianificazione ben articolata. D’altra parte, anche sfruttare brecce più semplici lo richiede e credo che tutto questo debba preoccupare sia le grandi aziende che i singoli, ove trattino informazioni sensibili, con la consapevolezza che la riservatezza di tali informazioni è a rischio”, ha spiegato il dott. Pinkas.
Il Microsoft Security Response Team è stato avvertito della scoperta, benché il gruppo abbia indagato solo su Windows 2000. Non è da escludersi, secondo il team, che anche le versioni più recenti di Windows, quali XP e Vista, impieghino sistemi di generazione di numeri casuali non troppo diversi e, pertanto, potrebbero essere ugualmente a rischio.
I ricercatori sembrano dunque convinti che Microsoft debba migliorare il metodo con cui codifica le informazioni ed auspica la pubblicazione del codice sorgente dei relativi programmi, così come di altri segmenti di codice connessi con la sfera della sicurezza. Ciò consentirebbe anche ad esperti esterni all’azienda di valutarne l’efficacia.
I risultati dello studio sono pubblicati nel trattato Cryptanalysis of the Windows Random Number Generator (Criptoanalisi del generatore di numeri casuali di Windows), presentato alla ACM Conference on Computer and Communications Security , tenutasi ad Alexandria (Virginia, USA) dal 29 ottobre al 2 novembre 2007.
Marco Valerio Principato