sabato 20 novembre 2010

Feliciano Intini – Sicurezza su Internet, non solo Quarantena

Eccoci al secondo appuntamento con le "Voci Amiche", la rubrica nella quale ospito i contributi di amici che stimo e apprezzo e che vogliono dire la loro utilizzando le pagine di Punto 1.

Con mia grande gioia, l'amico Feliciano Intini, Responsabile dei programmi di Sicurezza e Privacy di Microsoft Italia, ha raccolto il mio invito a scrivere un post per la rubrica "Voci Amiche" e quindi... eccomi a pubblicare il suo post "Sicurezza su Internet, non solo Quarantena". Grazie Feliciano!

"Accolgo con vero piacere l’invito dell’amico Matteo ad essere ospitato nel suo blog, e approfitto di questa occasione per estendere ai lettori che lo seguono, che immagino dei veri appassionati di sicurezza, una importante discussione relativa ad un tema che è allo stesso tempo molto ambizioso ma non per questo meno urgente da trattare: è possibile ipotizzare un modello ed una architettura sostenibili che rendano Internet una realtà strutturalmente più sicura di quanto non lo sia oggi?

Lo so, messa così sembra la classica domanda “...da un milione di dollari”, ma spero che le considerazioni che mi appresto a condividere siano in grado di farvi riflettere sul fatto che un modello possibile forse esiste, o perlomeno vi aiutino a trovare interessanti obiezioni contro di esso, in modo da stimolare una costruttiva discussione. 

Scott Charney, Corporate Vice President della divisione Trustworthy Computing di Microsoft, ha lanciato questa stessa provocazione poco più di un mese fa nell’ambito di una keynote all’ISSE 2010 di Berlino: ho prestato particolare attenzione alle riprese di questa notizia da parte di giornalisti e blogger, nella speranza di veder nascere un bel dibattito su questo tema che credo ci tocchi particolarmente da vicino, non solo quali professionisti di sicurezza ma anche come semplici "netizens" sempre più coinvolti nell’uso di Internet come strumento nativo della nostra vita sociale, ma ho solo assistito ad articoli che hanno approfittato del concetto di “quarantena” dei PC per provocare il classico sensazionalismo mediatico. 
Permettetemi allora di fare un passo indietro e di riproporvi in breve questa proposta per sottolineare quegli aspetti che credo meritino una valutazione più attenta e delle considerazioni meno frettolose.

L’idea di fondo è davvero semplice quanto disarmante e parte da un assunto che mi ritrovo spesso a riproporre perché sento particolarmente vero: Internet non è un mondo parallelo alla nostra vita reale, quanto una potentissima estensione della stessa vita fisica, che accelera e amplifica situazioni e relazioni che viviamo ogni giorno, certo aggiungendo in questo modo una notevole complessità. Con questa chiave di lettura, non è astruso prendere spunto da modelli che si sono rivelati efficaci nella nostra vita fisica per provare ad applicarli alla nostra vita “virtuale” adattandoli alla nuova complessità. E questo è stato fatto nel proporre le dinamiche che normalmente usiamo per tutelare la salute pubblica a livello internazionale come base per un modello applicabile alla sicurezza dei device (non solo PC, ma qualsiasi dispositivo in grado di connettersi in rete) che intendano connettersi ad Internet.
Non vorrei banalizzare il concetto a causa della brevità dello spazio a mia disposizione (e per questo vi invito a leggere le sette paginette nette del relativo paper “Collective Defense: Applying Public Health Models to the Internet”) ma, in estrema sintesi, non si tratta semplicemente di forzare la quarantena per i PC che risultassero non conformi alle policy da prevedere per autorizzare l’accesso incondizionato ad Internet, quanto di iniziare collettivamente a concordare su un paio di principi di fondo per poi darsi da fare, e in fretta, alla ricerca di soluzioni pratiche condivise.

Primo, la necessità di una reazione collettiva e partecipata a questo problema del miglioramento della sicurezza su Internet: è il tempo di investire tempo e risorse per uno sforzo internazionale sul tema, con un impegno trasversale da parte di tutti i più importanti vendor di tecnologia e in grado di coinvolgere i dovuti interlocutori socio-politico-economici, perché la scala del problema e l’importanza della sua risoluzione richiede di superare i particolarismi nazionali o commerciali. Il cosiddetto “cyber crimine” ha già ampiamente dimostrato come possa essere efficace organizzarsi in modo strutturato, mentre la cosiddetta “società civile”, a vari livelli, mi sembra ancora abbastanza disunita se non litigiosa (c’è poi anche chi ancora ritiene che si possa produrre sistemi software invulnerabili e a prova di hacker, e fa di questo un tema cardine della propria politica commerciale...ma questo è un altro tema che non abbiamo modo di sviscerare in questa sede).

Secondo, il fenomeno delle Botnet e l’analisi delle minacce più recenti hanno dimostrato che la sicurezza complessiva di Internet non è scorrelata al livello di sicurezza dei nostri singoli PC, anzi è profondamente connessa, e quindi non si può pensare di risolvere il primo aspetto se non si governa il secondo. Non è la quarantena il cuore di tale modello, quanto la necessità di una infrastruttura di remediation efficace ed efficiente che riesca ad individuare e sanare (con aggiornamenti di tutte le componenti applicative presenti sui device) i dispositivi che per diversi motivi fossero in uno stato di rischio, per sé e quindi per tutti.
Da qui la logica proposta di presentare un modello che, mutuando i meccanismi da una architettura esistente in un ambito aziendale (mi sto riferendo alla tecnologia di Network Access Protection), provi ad indicare un percorso fattibile di soluzione del problema dal punto di vista tecnico. Queste tecnologie sono già ben funzionanti e già predisposte all’interoperabilità tra piattoforme eterogenee, quindi stanno già di fatto dimostrando la fattibilità tecnica di tale modello e la sua applicabilità non esclusiva a specifiche piattaforme.
Certo non sono banali i problemi posti dalle complessità non tecniche, costi, responsabilità, normativa, tutela della privacy (anche se quest’ultimo punto, di nuovo, la tecnologia sta già dimostrando di poter dare soluzioni fino ad ora inimmaginabili, penso a U-Prove...), ma questi bastano a fermare questo percorso che è urgente intraprendere in modo collettivo?

Conto sul vostro contributo per procedere nella discussione, voi cosa ne pensate?"

Nessun commento:

Posta un commento

http://www.wikio.it