NSA e Microsoft

La strana accoppiata NSA e Microsoft ha solide radici nel tempo. Per chi non se ne fosse mai curato ecco un articolo recente che non solo indica che la National Security Agency statunitense ha collaborato allo sviluppo della sicurezza di Windows 7, ma anche delle versioni precedenti dei sistemi operativi Microsoft.
Ovviamente c’è chi dubita che questo connubio sia a senso unico, ed ecco allora che spuntano allarmismi, prontamente smentiti, riguardo eventuali backdoor che la NSA avrebbe fatto inserire nel codice del nuovo sistema operativo.
Al di là del fatto che se mai dovesse risultare vera una cosa del genere sarebbe un autogol di proporzioni a dir poco disastrose (pensate a come si potrebbe difendere Microsoft non tanto negli USA ma nel resto del mondo) credo che questa collaborazione sia utile per tutti gli utilizzatori di quel sistema operativo, se mai le funzioni di sicurezza siano veramente efficaci. E la NSA è sicuramente uno degli utilizzatori di Windows, o pensate che ne abbiano una versione che noi non potremmo mai sognarci? O che non usino per niente Windows?
NSA ha anche collaborato con altri progetti, tra cui linux integrando un sistema di sicurezza avanzato chiamato SELinux.
La differenza sostanziale è che mentre con linux il codice aggiunto è sotto gli occhi di tutti, non sapremo mai che tipo e con che qualità di lavoro la NSA sia intervenuta. Possiamo solo attenerci alle parole di quanto, poco, ci dicono.
Ma è possibile in qualche modo individuare eventuali backdoor all’interno di un codice già compilato?
In teoria è possibile ma in pratica è molto complicato. In prima analisi significherebbe fare un lavoro mostruoso di reverse engineering (ingegneria inversa) su una quantità di codice direi proibitiva, analizzando codice assembler invece di leggere codice di alto livello come il C.
Magari ci si potrebbe concentrare solo sullo stack di rete, immaginando che la backdoor si attivi solo dopo che il sottosistema preposto alla gestione della rete rilevi una corretta sequenza di invio di pacchetti specifici, come fanno i sistemi di port knocking per aprire porte temporanee altrimenti sempre chiuse, ma sarebbe comunque come cercare un ago in un pagliaio e a tastoni al buio.
A mio parere è immorale e, passatemi il termine sportivo, da squalifica a vita che un’azienda privata accetti una cosa del genere da qualsiasi ente governativo, però noi utenti vorremmo di certo avere più trasparenza su quello che compriamo e usiamo.


This entry was posted on Saturday, November 21st, 2009 at 7:15 PM and is filed under microsoft.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Comments are closed.