 |
Canali Articoli |
 |
|
|
Canali News |
|
|
|
 |
ATTENZIONE |
 |
Aggiornamento modulo Guide e Recensioni
Vi comunichiamo che, avendo provveduto ad ammodernare il sistema di gestione degli articoli, le guide e recensioni più recenti saranno reperibili unicamente sul nuovo modulo, raggiungibile cliccando QUI. |
|
|
|
|
 Trusted Computing (Parte I) | Trusted Computing (Parte I)
Guida a cura a di: Marco Sprocatti
Introduzione
Da tempo ormai molti dei produttori hardware stanno sviluppando con grande impegno una nuova tecnologia di sicurezza chiamata "Trusted Computing" o "Trustworthy Computing" (TC).
Annunciato come la rivoluzione dei dispositivi digitali, siano essi computer, lettori MP3, telefoni cellulari piuttosto che ricevitori TV, considerando che i produttori che aderiscono al Trusted Computing Group (TCG) rappresentano circa il 90% del mercato e detengono la maggior parte dei brevetti necessari a produrre qualsiasi dispositivo elettronico, risulta chiaro come questa tecnologia potrebbe diffondersi a tal punto da rendere impossibile acquistare prodotti che ne siano privi.
Prima che il mercato ne faccia uso intensivo allora vediamo di conoscere e valutare le opportunità e i rischi che l'adozione di questa tecnologia comporta nell'ambito PC.
Gli scopi
Il TC è nato dall'idea di proteggere i computer da minacce quali virus e cracker grazie a strumenti sia hardware che software. La situazione della sicurezza informatica è infatti attualmente talmente grave da rappresentare un problema allo sviluppo dell'intero settore e pare che non sia possibile risolvere tale problema se non con un radicale cambiamento della nostra tecnologia: ognuno di noi è costretto ad utilizzare antivirus, firewall , antispyware e software simili per proteggere se stesso ed i propri dati ogni giorno, ma nonostante questo talvolta qualche malware riesce a bucare il nostro sistema di difesa provocando danni.
Il Trusted computing è stato studiato appositamente per dare una risposta definitiva ai problemi di sicurezza degli utenti.
Nel suo articolo The need for TCPA, David Safford, ricercatore dell'IBM al lavoro sul Trusted Computing, elenca i punti deboli dei PC:
1) Programmi non sicuri
2) Programmi non correttamente configurati
3) Programmi difettosi
4) Codice sorgente chiuso
5) Scarsissima preparazione tecnica degli utenti
6) Scarso interesse dei privati e aziende per il materiale che hanno memorizzato nel loro PC
Diamo di seguito una spiegazione di ciò che viene inteso con questo elenco.
Programmi non sicuri: sono quelli che sono stati progettati senza tenere presenti le esigenze di sicurezza e che quindi risultano insicuri se utilizzati in un ambiente ostile come Internet. Tra questi programmi, David Safford elenca FTP e Telnet, due programmi di rete che hanno la pessima abitudine di inviare password in rete senza proteggerle crittograficamente. Inoltre, nel corso degli ultimi 5 anni, FTP e Telnet sono stati sostituiti quasi ovunque dalle loro controparti sicure, cioè SCP ed SSH, rispettivamente. Secondo il comune buon senso, e secondo molti specialisti, i primi programmi intrinsecamente insicuri che avrebbero potuto (e dovuto) essere citati al posto di FTP e Telnet sono Microsoft Windows, la suite Microsoft Office, Microsoft Internet Explorer e Microsoft Outlook. Tutti questi diffusissimi programmi, infatti, sono stati progettati e costruiti in un epoca in cui la sicurezza non rappresentava ancora un problema così vasto e sono afflitti da pesanti e ben note vulnerabilità, che vengono man mano rattoppate con il rilascio di numerose patch. In questo senso corrispondono perfettamente alla definizione di programma non sicuro.
Programmi non correttamente configurati: sono quelli che pur possedendo le necessarie caratteristiche di sicurezza sono normalmente configurati in modo da non utilizzarle. David Safford cita a questo proposito NFS, il sistema usato per condividere file e stampanti sulle reti Unix. Anche in questo caso, verrebbe più naturale usare altri esempi. NFS, infatti, è stato largamente soppiantato dal più versatile e più sicuro Samba e comunque viene usato solo da amministratori di sistema che sanno bene come usarlo nel modo corretto.
Programmi difettosi: sono quelli che presentano errori progettazione o di implementazione tali da comprometterne la sicurezza. David Safford non fa esempi ma, anche in questo caso, viene spontaneo pensare ai prodotti Microsoft. In pratica , tutti i programmi Microsoft, infatti, sono notoriamente afflitti da seri problemi di questo tipo, al punto che persino enti al di sopra di ogni sospetto come il CERT (Computer Emergency Response Team) è costretto a sconsigliarne l'uso. Queste puntualizzazioni riguardo ai prodotti Microsoft possono sembrare gratuite ed ingiustificate ma non lo sono. Non bisogna dimenticare, infatti, che praticamente tutti i problemi di sicurezza che vengono descritti come “irrisolvibili senza l'ausilio del Trusted Computing” in realtà colpiscono principalemnte l'ambiente Windows. Altri ambienti come Linux, Unix, BSD e MacOS X, sono tradizionalmente immuni da questi problemi senza alcun bisogno di ricorrere a tecnologie hardware/software come il Trusted Computing. Di conseguenza, sostenere che la situazione corrente della sicurezza informatica impone l'adozione del Trusted Computing è quantomeno fuorviante, anche se è vero che la maggior parte dei PC utilizza un sistema operativo Microsoft.
Codice sorgente chiuso: l'abitudine generalizzata di sviluppare software nel segreto delle grandi aziende e di rilasciare solo la versione compilata dei programmi rende impossibile verificare che i programmi vengano progettati dedicando la necessaria attenzione alla sicurezza e che non contengano difetti. L'intero movimento del software Open Source nasce proprio da questa constatazione e, negli ultimi 10 anni, ha chiaramente dimostrato che il software sviluppato in modo “aperto” è nettamente più sicuro di quello tradizionale.
La scarsissima preparazione tecnica degli utenti li mette nella condizione di non saper scegliere il programma giusto, di non saperlo installare e configurare e di non saperlo gestire ed utilizzare nel modo corretto. Questa situazione apre la strada ad una lunghissima serie di attacchi che sono diretti non tanto al software quanto al suo utente. L'esempio più eclatante di questo tipo di attacchi è il phishing (tentativi di truffe e frodi su internet) ma anche la diffusione dei virus attraverso la posta elettronica è solitamente da imputare in larga misura alla impreparazione dell'utente.
Lo scarso interesse dei privati e delle aziende per il materiale presente nel PC li porta a non acquistare programmi antivirus e firewall, a non investire tempo nella formazione degli utenti ed a disinteressarsi dei backup. Questa situazione è una vera manna dal cielo per i malintenzionati. Nessuna tecnologia potrà mai rimediare ai danni che può produrre un utente irresponsabile. Secondo questi osservatori, il problema della sicurezza risiede quindi nell'ambiente umano che vive attorno al software ed ai computer, un ambiente umano fatto di imprenditori avidi e privi di scrupoli da un lato e di utenti ignoranti ed irresponsabili dall'altro. Non si tratterebbe quindi di un problema da affrontare con nuovi strumenti tecnici (come il TC) ma piuttosto attraverso una serie di interventi di carattere sociale ed industriale quali la formazione del personale e l'addestramento del personale ad un uso consapevole e sicuro del proprio PC.
|
|
[ Vai all'indice della categoria 'Guide Hardware' | Vai all'indice generale |  ]
|
|
