Lo scontro tra le due big del mercato ha come argomento la nuova policy sulla privacy che Google metterà in pratica a partire da marzo. Con la campagna di marketing “Putting people first”, Microsoft vuole sottolineare il suo rispetto per la privacy degli utenti. Google invece avrebbe scelto di unificare le regole sulla privacy solo per soddisfare le richieste degli inserzionisti.

Secondo l’azienda di Redmond, Internet Explorer 9 deve essere preferito a Chrome, in quanto integra la funzionalità Tracking Protection List, con la quale l’utente può navigare senza il rischio di rendere pubbliche le sue informazioni personali. Per avere la migliore esperienza di ricerca, invece, deve essere utilizzato Bing. Le parole di Microsoft sono chiare e inequivocabili:

Google ha un solo cliente, i suoi inserzionisti, mentre noi abbiamo numerosi clienti.

In pratica, i servizi di Google funzionano bene solo perché “condivide o vende” i dati degli utenti a scopo pubblicitario, mentre Microsoft non ha bisogno di questo sotterfugio per offrire servizi di qualità. Ovviamente anche Microsoft ha i suoi inserzionisti, ma la privacy degli utenti rimane sempre al centro dell’attenzione.

Con questo update, Microsoft introduce alcuni miglioramenti e risolve diversi problemi, ma non il fastidioso bug che colpisce l’hub Messaggi quando viene inviato un SMS creato ad hoc.

L’azienda di Redmond ha risolto il bug, segnalato su diversi smartphone, che provocava la scomparsa improvvisa della tastiera durante la scrittura. Microsoft ha modificato anche il modo in cui vengono inviate le informazioni sulla posizione degli utenti. Adesso i dati sui punti di accesso WiFi e sulle antenne di telefonia mobile nelle vicinanze sono inviati in forma anonima, solo se l’utente consente l’utilizzo delle informazioni sulla sua posizione, attivando l’opzione “Io sono qui”.

Altri bug minori risolti con questo aggiornamento sono un problema di sincronizzazione con Gmail, un problema con le email inviate con Microsoft Exchange Server 2003 e un problema relativo alle notifiche della segreteria. Inoltre, sono stati revocati i certificati emessi da DigiCert.

La nota azienda di proprietà Intel ha pubblicato un report relativo alle minacce alla sicurezza previste per il prossimo anno. Nel 2012 aumenterà il numero di malware sviluppati per i dispositivi mobile, mentre il settore dei computer vedrà l’arrivo di attacchi più sofisticati, in particolare rootkit e bootkit. Proprio quest’ultimo tipo di malware prenderà di mira Windows 8.

Il Secure Boot è stato progettato per proteggere la fase di avvio del sistema operativo, ma la sua efficacia è massima solo se la scheda madre utilizza un firmware UEFI. Il normale BIOS, come già dimostrato da un esperto di sicurezza informatica, è molto vulnerabile. McAfee afferma che un bootkit può sostituire un boot loader legittimo, utilizzando avanzate tecniche per intercettare chiavi crittografiche e password, e superare le difese dei driver firmati presenti in Windows 8.

Un hacker potrebbe prendere il controllo di un PC ed attaccare l’hardware, installando un’immagine persistente del malware nella schede di rete, nell’hard disk o nel BIOS stesso. In questo modo, il bootkit verrà eseguito ogni volta che l’utente avvia il computer e sarà difficile da eliminare. Il malware può teoricamente impedire l’aggiornamento del BIOS, obbligando l’utente a sostituire il chip sulla scheda madre.

Microsoft, come ha spiegato pochi giorni fa, ha sviluppato la picture password per semplificare la procedura di login e per evitare l’utilizzo di password complesse difficili da ricordare. L’utente può scegliere un’immagine, mostrata all’avvio di Windows 8, sulla quale eseguire tre gesture nella giusta sequenza per effettuare l’accesso al sistema operativo.

Weiss ha dichiarato che il sistema di autenticazione può essere facilmente superato se un malintenzionato registra la sequenza di login a distanza con una videocamera. Per questo motivo le password alfanumeriche vengono oscurate mediante asterischi o pallini. L’esperto paragona quindi la picture password ad un giocattolo Fisher-Price, dato che può essere considerata come un’alternativa, ma non potrà sostituire il tradizionale metodo di accesso.

In teoria si potrebbero scoprire le tre gesture anche dalle impronte digitali lasciate sullo schermo touchscreen. Microsoft però ha sviluppato la picture password tenendo in considerazione il target a cui sono destinati i tablet con Windows 8. Le aziende, se decideranno di adottare il nuovo sistema operativo, sicuramente utilizzeranno sistemi più sofisticati, come le smart card o appunto i token.

La funzionalità, denominata picture password, permette di effettuare il login scegliendo una fotografia sulla quale l’utente deve eseguire tre gesture, con le dita su uno schermo touch, o con il mouse. Le tre gesture selezionate da Microsoft sono il risultato di uno studio con il quale è stato chiesto alle persone di evidenziare parti di un’immagine. I partecipanti hanno eseguito tre operazioni principali, corrispondenti ad un punto, ad una linea e ad una circonferenza.

L’utente deve quindi eseguire queste tre gesture sull’immagine che viene mostrata all’avvio di Windows 8, ovvero indicare un punto della foto, tracciare una linea e disegnare un cerchio. Per la linea e il cerchio è presente un’informazione aggiuntiva: i punti di arrivo e partenza, e la direzione (oraria o antioraria). Sono state prese in considerazione anche altre forme geometriche, ma sono state scartate in quanto il tempo richiesto per riprodurle è troppo alto.

L’algoritmo utilizzato da Microsoft si basa su semplici considerazioni di carattere geometrico. L’immagine viene divisa in una griglia e la dimensione maggiore viene suddivisa in 100 segmenti. Per impostare la picture password, vengono memorizzate le coordinate (x,y) del punto, quelle di partenza e di arrivo per la linea, mentre per il cerchio vengono considerate le coordinate del centro, il raggio e la direzione. Quando l’utente esegue le gesture viene fatto un confronto con quelle memorizzate e l’accesso viene consentito solo se il margine di errore non supera il 10%.

Con un dettagliato esame probabilistico, Microsoft ha dimostrato che le gesture offrono un maggiore livello di sicurezza di una password tradizionale. Con solo tre gesture si ottiene un numero di combinazioni uniche molto elevato e una sicurezza simile a quelle fornita da una password composta da 6 caratteri casuali, ma la picture password è più facile da ricordare e permette un login più rapido.

L’obiettivo di Microsoft è rendere sicura la navigazione agli utenti con le ultime versioni del browser che integrano una migliore protezione contro malware e software infetto. Molti utenti dimenticano di installare Internet Explorer 8 e 9 sui loro PC, per cui l’azienda di Microsoft renderà più semplice questo processo mediante Windows Update.

Chi utilizza Windows XP riceverà l’aggiornamento ad Internet Explorer 8, ovvero l’ultima release del browser compatibile con il vecchio sistema operativo, mentre chi usa Windows Vista e 7 passerà a Internet Explorer 9.

Gli utenti, in particolare le aziende, avranno comunque la possibilità di bloccare l’aggiornamento utilizzando i toolkit Internet Explorer 8 e 9 Automatic Update Blocker. Anche gli utenti che hanno in passato rifiutato le nuove versioni del browser non riceveranno l’aggiornamento automatico. Internet Explorer 10, integrato in Windows 8, avrà un’impostazione per attivare gli update automatici.

Il messaggio pubblicato su Twitter, usando l’hashtag #droidrage, è chiaro e di sicuro impatto:

Condividi la tua “malware story” con Android e potresti vincere un upgrade a Windows Phone.

In poche ore sono stati scritti oltre 3.200 messaggi da parte di utenti che lamentano problemi con il sistema operativo Google, come rivelato da Bill Cox, direttore senior delle comunicazioni Windows Phone, che addirittura definisce le storie raccontate come horror. In effetti, se alcuni racconti sono veritieri, per Android non è sicuramente una buona pubblicità. Un utente ha segnalato di aver subito due volte il furto dei dati personali, altri lamentano l’instabilità del sistema operativo con continui riavvi, altri ancora una scarsa durata della batteria.

Le 5 storie più “raccapriccianti” permetteranno di vincere uno smartphone Windows Phone ad altrettanti utenti. Non è la prima volta che Microsoft sfrutta le debolezze dei sistemi operativi concorrenti per attirare i consumatori verso la propria piattaforma mobile. Un Windows Phone gratuito è stato offerto agli sviluppatori webOS, quando HP ha annunciato l’abbandono del TouchPad, e agli utenti BlackBerry quando i servizi di RIM sono andati in tilt per tre giorni di seguito lo scorso mese di ottobre.

Un ricerca eseguita negli Stati Uniti ha dimostrato che mediamente ogni persona possiede 25 account online, ma utilizza solo 6 password. Questo facilita il compito degli hacker che potrebbero rubare informazioni personali, indovinando una sola password che viene usata per più servizi. Dato che molti utenti hanno difficoltà a ricordare password complesse, sopratutto per gli account meno utilizzati, Windows 8 fornisce due semplici soluzioni per gestire le credenziali di accesso.

Il prossimo sistema operativo Microsoft permette di conservare in una apposita sezione tutte le coppie username/password necessarie per accedere ai vari servizi web. Una analoga funzionalità, presente anche in Internet Explorer 10, sarà disponibile per le applicazioni Metro che sfruttano una specifica API per conservare e recuperare le credenziali. Il secondo sistema di protezione dell’identità digitale è basato sul Windows Live ID, che gli utenti possono utilizzare per effettuare il login in Windows 8. Con il Windows Live ID è possibile sincronizzare le credenziali tra tutti i computer registrati come “PC sicuri”. Inoltre, viene semplificato il meccanismo di recupero della password attraverso un secondo indirizzo email o un numero di cellulare che garantiscono l’identità del proprietario.

Per le aziende, invece, Windows 8 integra il supporto per il login mediante il sistema basato sulle chiavi asimmetriche (pubblica/privata) e la crittografia resa possibile dal chip TPM (Trusted Platform Module) presente in molti PC di classe business. Lo stesso meccanismo viene impiegato per creare le cosiddette smart card virtuali, compatibili con le stesse applicazioni delle classiche smart card fisiche.

Come si ricorderà, Duqu è un malware che sfrutta una vulnerabilità del kernel di Windows per entrare nel sistema e sottrarre informazioni riservate coperte da segreto industriale. Dei 14 bollettini annunciati, solo tre sono stati classificati come critici e riguardano falle individuate nei diversi sistemi operativi Microsoft, da Windows XP SP3 a Windows 7 SP1.

Dei rimanenti 11 bollettini, classificati come importanti, cinque riguardano la suite di produttività Office, oltre ai software PowerPoint e Excel, un bollettino riguarda una vulnerabilità in Internet Explorer (dalla versione 6 alla versione 9), mentre le altre cinque patch correggono le falle scoperte in Windows XP, Vista, 7, Server 2003 e 2008.

Come sempre le patch possono essere scaricate e installate in modo automatico oppure manualmente attraverso il servizio Windows Update. A proposito di sicurezza, Microsoft ha pubblicato la versione offline di Windows Defender. L’utente può utilizzare il software per effettuare una scansione completa del PC senza avviare il sistema operativo, mediante il boot da CD/DVD o pen drive USB.

Le funzionalità, nota con il nome “kill switch“, è nota da tempo agli utenti Apple e Android, in quanto presente sul Marketplace di Google e sull’App Store. Microsoft dunque si unisce al gruppo, annunciando lo stesso meccanismo implementato dalle sue principali concorrenti. La disattivazione e la rimozione delle app sarà possibile già con la versione beta di Windows 8 attesa per febbraio 2012:

Possiamo modificare o disattivare le applicazioni o alcuni contenuti offerti dal Windows Store in qualsiasi momento, per qualsiasi motivo. A volte, lo facciamo per rispondere a requisiti legali o contrattuali. Nei casi in cui la sicurezza è a rischio o in cui siamo tenuti a farlo per motivi legali, non sarai in grado di eseguire applicazioni o accedere ai contenuti precedentemente acquistati. Nei casi in cui rimuoviamo un’app pagata dal dispositivo Windows 8 Beta, potremmo rimborsare il valore pagato per la licenza.

Microsoft sottolinea anche che tutti i dati creati con l’applicazione verranno cancellati e non sarà possibile recuperare i dati memorizzati. Google ha utilizzato il “kill switch” diverse volte per rimuovere applicazioni infette sui dispositivi Android. Apple invece non ha ancora usato questa funzionalità, limitandosi a rimuovere le applicazioni indesiderate solo dall’App Store.