www.MegaLab.it

Un messaggio apparso sulla popolare mailinglist di sicurezza FullDisclosure illustra in modo dettagliato come aggirare la verifica dell'autenticità Microsoft, il meccanismo introdotto in modo sperimentale qualche mese fa per consentire il download di aggiornamenti e patch non critiche solamente dagli utenti in grado di dimostrare la legittimità del proprio software.

Debasis Mohanty, scopritore della falla nel sistema di verifica, ha provveduto a preparare una piccola guida al sistema di bypass: tutta l'operazione sarebbe estremamente semplice: sarebbe sufficiente eseguire il tool di verifica su una macchina dotata di regolare licenza, per poi utilizzare il codice di convalida ricevuto su una qualsiasi macchina, anche equipaggiata con una versione piratata di Windows XP: il cracker ha evidenziato quindi che non esiste alcuna relazione fra il codice generato ed una specifica versione di Windows, legale o illegale che sia.

Microsoft ha riconosciuto la debolezza, ma ha comunque minimizzato: i codici di convalida scadono infatti dopo pochissimo tempo (non è stato possibile sapere quanto), e sarebbe quindi inutile distribuirli via web, anche se non è da escludere che in una ristretta cerchia di amici si possa riuscire ad eludere il meccanismo in questo modo.

La guida completa redatta da Mohanty è disponibile qui.