
Se un ladro entrasse in casa vostra ogni notte per dieci anni, controllando se le finestre sono chiuse e poi sbadigliando perché la serratura è truccata, non lo definireste un fallimento totale della sicurezza? Beh, è esattamente quello che è successo nel mondo dell’informatica, ma con un budget decisamente più alto e molta meno dignità.
La notizia, che arriva dritta da Ars Technica, è uno di quei momenti in cui ti chiedi se i team di sicurezza delle Big Tech passino il tempo a giocare a Candy Crush invece di controllare le proprie firme digitali. Il Secure Boot, quel protocollo che dovrebbe garantire che solo il software ‘fidato’ venga eseguito all’avvio del sistema, è stato vulnerabile per circa un decennio. E la cosa assurda è che nessuno se n’è accorto finora.
Il colpevole? Un insieme di vecchi «shims». Per chi non mastica il kernel Linux o l’architettura UEFI, gli shim sono dei piccoli pezzetti di codice che servono a far comunicare il mondo open source con le chiavi di sicurezza proprietarie di Microsoft. Il problema è che Microsoft ha dimenticato di revocare le firme di alcuni di questi file molto vecchi e pieni di buchi. È come se avessi una chiave master che apre non solo la tua porta, ma anche quella di tutti i tuoi vicini, e tu la lasci girare per dieci anni senza nemmeno controllare chi l’abbia copiata.
In pratica, un attaccante può usare questi vecchi componenti ‘autorizzati’ per caricare codice malevolo durante il boot, aggirando completamente le protezioni. È il classico scenario da film dove l’hacker entra nel mainframe con una chiavetta USB che sembra un giocattolo, ma che in realtà contiene un exploit che sfrutta una falla che nessuno controlla da una vita.
Per noi che amiamo smanettare con sistemi custom o che proviamo a installare distribuzioni Linux senza dover combattere contro le restrizioni del produttore, la notizia è un mix di soddisfazione e ansia. Da un lato, è divertente vedere come il sistema di protezione più ‘blindato’ del mondo sia crollato per una svista da principiante. Dall’altro, ci ricorda che la fiducia cieca nei meccanismi di verifica proprietari è un rischio enorme.
Non è che la cosa influenzi direttamente le leggi italiane o la nostra privacy quotidiana, ma l’impatto sulla sicurezza globale del parco macchine Windows è enorme. Non è un problema di ‘fuffa’ da marketing, è un problema di fondamenta che marciscono sotto i nostri piedi. Quindi, la prossima volta che vedete un update di sicurezza che promette di ‘migliorare la stabilità’, ricordatevi che potrebbe anche essere il tentativo disperato di riparare un muro che è caduto nel 2016.
Source: Microsoft’s Secure Boot has been broken for a decade and no one noticed until now
