Comunicato ALCEI del 22 gennaio 2003

La sicurezza non deve diventare un pretesto per la invasività
La sicurezza dei sistemi informatici e telematici è un problema serio che merita un approfondimento meditato e concreto. Non giovano a soluzioni efficaci le notizie allarmistiche, i sensazionalismi e le informazioni sbagliate troppo spesso dilaganti sull’argomento – né le disattenzioni, purtroppo ancora diffuse, alle necessarie cautele.

In questo contesto disordinato giocano anche gli interessi privati di chi cerca di approfittare della situazione. Non è l?unico esempio, ma è particolarmente vistoso e pericoloso, il comportamento dell?impresa monopolista che controlla nove decimi del mercato mondiale del software. La bandiera del trustworthy computing, recentemente sventolata dalla Microsoft, non merita la fiducia che chiede. Senza ripetere qui cose note da molto tempo, la complessità e la “permeabilità” di molti sistemi (e in particolare di quelli della casa di Redmond) sono fra le cause più gravi dei diffusi problemi di sicurezza.

Mentre si fa poco o nulla per correggere quei difetti, la n uova proposta della Microsoft è afflitta da un vizio culturale ancora prima che tecnico. Quello di trasformare anche la gestione della sicurezza in un processo che priva l’utilizzatore (e, cosa più grave, l?amministratore di rete) del controllo sulla macchina e sulle applicazioni. Ciò che la Microsoft cerca di ottenere è una situazione in cui gli amministratori e gli utilizzatori perdono ogni ruolo o responsabilità e sono ridotti a semplici applicatori di patch – ed è la casa fornitrice l’unica a decidere quali “rattoppi” si debbano usare, propinandoli automaticamente in una continua serie di insidiosi service pack in cui può contrabbandare ogni sorta di complicazioni dettate dai suoi privati interessi.

Anche senza entrare nei dettagli tecnici, è evidente che il cosiddetto trustworthy computing è più uno strumento per aumentare il potere di controllo del monopolio che una risorsa per migliorare la sicurezza. Se nel quadro di un sistema che aumenta le complessità (e di conseguenza i rischi) invece di semplificare si aggiungono ulteriori automatismi fuori dal controllo degli utilizzatori e degli amministratori di sistema la più probabile conseguenza è un peggioramento dei problemi di sicurezza rispetto alla situazione, già preoccupante, di oggi.

Un’altra notizia recente, che contribuisce a peggiorare il quadro, è l’offerta della Microsoft di rendere disponibile agli Stati (per esempio ai membri della Comunità Europea) il codice sorgente delle piattaforme Windows nel quadro del suo govermnent secutity program. Questa apparente “apertura” nasconde trappole pericolose. Non solo si propone ai governi (come ai privati) di “affidarsi alla sicurezza Microsoft” (cioè di dare a un’impresa privata un’impensabile “delega” sui propri sistemi e controlli) ma gli stati che incautamente lo accettano sono costretti a sottoscrivere un contratto che, naturalmente, li imprigiona in una serie di obblighi nei confronti della Microsoft – fra l’altro – con clausole inaccettabili che vietano di modificare i codici e di utilizzare il know how per sviluppare software proprio. Per non parlare delle invasività che già nella situazione attuale sono concesse alla Microsoft (e a tanti altri che approfittano della permeabilità dei suoi sistemi) e che in quella situazione potrebbero solo aggravarsi.

L’analisi delle trappole nascoste nella filosofia trustworthy computing e in contratti-capestro come quello del government secutity program può essere complessa e meriterà ulteriori approfondimenti. Ma i termini fondamentali della questione sono chiari. Ancora una volta (e con crescenti motivi di attenzione) è evidente che la responsabilità della sicurezza e della qualità dei sistemi non possono e non devono essere ciecamente “delegate” agli interessi privati di un?imp resa commerciale. Né dai cittadini, né dalle imprese, né dagli amministratori di sistema – e tantomeno dagli Stati, dalla pubblica amministrazione e dai servizi (comunque amministrati o gestiti) di pubblica utilità. L’allarme sulla “schiavitù elettronica“, che ALCEI aveva lanciato chiaramente nel 1998, si propone con ancor maggiore gravità nella situazione di oggi.

È più che mai necessario che i governi nazionali e l’Unione Europea affermino con la massima energia la loro capacità di gestire questi problemi senza assoggettarsi in alcun modo a condizionamenti estranei. E, nello stesso tempo, è necessario che le risorse e i metodi di sicurezza non siano “centralizzati” e occulti, ma sia diffusa la conoscenza, il più ampiamente possibile, fra gli utilizzatori e gestori di sistemi – e in generale fra i cittadini. Senza esagerazioni a falsi allarmi che spargono paure insensate e invece con chiarezza, trasparenza e concretezza sui problemi reali e sui modi per risolverli.

Per approfondire:
Dovresti fidarti del tuo venditore di software?
articolo di A. Monti dal sito Ictlex.net

Trustworthy Computing – White Paper
Microsoft PressPass – Craig Mundie –

Anti-Trustworthy computing
Articolo di Paul Boutin su Salon

Wired News – Bill Gates Trustworthy Computing

E’ compito delle istituzioni liberarci dalla schiavitù elettronica – ALCEI