In una mossa senza precedenti, il 23 dicembre l'FBI ha dichiarato che le contromisure suggerite da Microsoft per turare le falle di Windows XP non sono sufficienti e ha avvisato gli utenti di XP di disattivare le funzioni 'Universal Plug and Play' contenute nel nuovo gioiello di casa Microsoft.
La notizia è tratta da CNN. A mia memoria (notoriamente scarsa), è la prima volta che un ente del calibro dell'FBI interviene in termini così drastici su una questione di sicurezza informatica. È anche la prima volta che l'FBI contraddice Microsoft (che infatti sostiene che questa disattivazione non è necessaria [http://zeusnews.com/news.php3?cod=983] ma basta installare l'apposito aggiornamento gratuito).
Senza queste misure, Windows XP contiene difetti gravi che permettono a un malintenzionato di rubare o distruggere i file contenuti nel computer della vittima o installare programmi-spia. Tutto quello che deve fare l'utente XP per rendersi vulnerabile è collegarsi a Internet.
Gli esperti Microsoft, fra cui Steve Lipner, Directory of Security Assurance della società di Bill Gates, garantiscono che l'aggiornamento [ http://zeusnews.com/news.php3?cod=983 ]risolve il problema, a patto naturalmente che gli utenti lo installino. Il che, purtroppo, non è affatto garantito, dato che Microsoft ha dichiarato che non intende mandare avvisi via e-mail agli utenti. A loro dire, Windows XP infatti contiene una funzione automatica che dovrebbe invitare l'utente a scaricare e installare l'aggiornamento, e questo basta e avanza.
Purtroppo abbiamo soltanto la parola di Microsoft a garanzia dell'efficacia di questo aggiornamento, e abbiamo soltanto le promesse di Microsoft sul fatto che in Windows XP non ci sono altre vulnerabilità altrettanto gravi. Siccome il contenuto di Windows (il codice sorgente) è segreto, non c'è modo di verificare le affermazioni della società produttrice. Considerato che questa vulnerabilità è stata scoperta un solo giorno dopo il rilascio ufficiale di XP, che è stata scoperta non da Microsoft ma da una società esterna, e che ci sono volute cinque settimane prima che Microsoft pubblicasse la correzione, direi che le premesse per fidarsi delle garanzie Microsoft sono perlomeno tenui.
Fra l'altro, Microsoft si è rifiutata di dire ai funzionari governativi statunitensi quanti utenti hanno scaricato e installato l'aggiornamento, nonostante il fatto che gli esperti esterni dicano che quest'informazione è fondamentale per comprendere la portata del pericolo. Il rischio più grave, naturalmente, è che durante le feste si scateni un attacco informatico contro i computer governativi che usano XP senza l'aggiornamento.
Ogni commento mi pare superfluo, tranne questo: non c'è più gusto a criticare Microsoft, adesso che lo fanno tutti.
