sábado, 3 de marzo de 2007

El código de activación de Vista, obtenido por fuerza bruta

Parece que el mecanismo de seguridad que permitía activar el nuevo sistema operativo de Microsoft ha sido hackeado. Y eso que decían que era imposible.

Hay un hilo de discusión al respecto en los foros de Keznews (se necesita una cuenta para acceder) y también un resumen en la página principal sobre el crack.

La técnica usada ha sido la de un ataque por fuerza bruta, o sea, ir probando claves de activación una detrás de otra para ver si alguna funciona. Si se consigue una, se prueba la activación. Este proceso lleva horas, está lejos de ser elegante, pero dicen que funciona. No tengo Vista instalado por las licencias anti-usuario, así que no lo he probado personalmente.

Este método de ataque parece haber provocado muchas preocupaciones a los chicos de MS. El crack trata de adivinar esos códigos, y con la velocidad actual de los PCs y el elevado número de claves posibles, las series de 25 dígitos están dentro de ciertos rangos. El mayor problema para Microsoft es que si se propaga el mecanismo - y estamos seguros de que lo hará - mucha gente hará uso de claves de activación que en realidad pertenecen a otras personas.

No pasará mucho tiempo antes de que las cajas compradas en retail se activen antes incluso de haber sido compradas, lo que hará que la gente que vaya a instalarlas se encuentre con mensajes de que sus claves ya han sido utilizadas. Y eso hará que el sistema te identifique como un pirata, a pesar de que has comprado tu copia de Vista legalmente. El servicio de atención al cliente de Microsoft va a tener mucho trabajo.

De modo que ¿qué puede hacerse? No hay diferencia entre una copia legal con una clave errónea escrita a mano y un intento de hackeo por este mecanismo. Es posible que Microsoft limite el número de intentos de introducción de clave a cierto tiempo, pero eso será en las nuevas versiones, porque las que ya existen pueden hacer uso de esta técnica.

El código ya está disponible, el método ya ha sido propagado, y no hay nada que Microsoft pueda hacer al respecto aparte de prepararse para las consecuencias. Para empeorarlo aún más, MS tendrá que decidir si vale la pena permitir que la gente recupere claves que ya han sido 'adivinadas', o decirles a estos clientes que se vayan a la porra. Total, ya tiene su dinero, haber leído la licencia, no te debemos nada.

El asunto se va a poner muy feo, y si permite que recuperes las claves legales, ¿cuánto tiempo pensáis que pasará antes que la gente se de cuenta de que una simple llamada telefónica puede hacer que recuperes una clave 'adivinada' que en realidad no es tuya, y recuperarla como legal?

1 comentario:

Anónimo dijo...

Al final esto era un HOAX