Microsoft: la nostra sicurezza non è una favola

L'azienda spiega al mondo che il Trustworthy Computing non è una bella favola ma un ambizioso progettone che necessiterà di anni di lavoro e cospicui investimenti. Ecco come, dove, quando, perché e con chi


Parigi – Durante la RSA Conference, un evento sulla sicurezza organizzato da RSA Security, Microsoft è tornata a parlare di Trustworthy Computing e di sicurezza del software, temi caldissimi su cui si era soffermato pochi giorni fa lo stesso CEO di Microsoft, Steve Ballmer, illustrando l’arcano legame che esiste fra le focaccine di mirtilli e Windows.

Da quando Bill Gates, lo scorso gennaio, ha divulgato al mondo il concetto di Trustworthy Computing, quell’ormai famosa iniziativa attraverso cui Microsoft ha promesso di fare della sicurezza un proprio baluardo, il big di Redmond è stata, se possibile, ancor più bersagliata dalle critiche: questo perché nonostante i dichiarati sforzi del gigante del software per rendere i propri prodotti più sicuri e affidabili, molti analisti ed esperti di sicurezza sono dell’opinione che il numero di bug e di attacchi non solo non sia diminuito, ma sia persino in continua crescita.

Microsoft si è già più volte difesa sostenendo che nove mesi non sono un tempo sufficiente per giudicare un processo a lungo termine come quello partito all’inizio dell’anno con l’iniziativa Trustworthy Computing; oltre a ciò, l’emergere di nuovi bug sarebbe proprio il risultato più evidente di quell’enorme revisione del codice e di quelle nuove funzionalità di error-reporting che, stando a Bill Gates, sono già costate a Microsoft oltre un centinaio di milioni di dollari coinvolgendo più di 10.000 programmatori.

Nel suo discorso tenuto presso la RSA Conference, Craig Mundie, Senior Vice President e CTO Advanced Strategies e Policy di Microsoft, ha fatto eco alle parole espresse pochi giorni fa da Ballmer, sottolineando ancora una volta come il software e i PC siano – oggi – insicuri quasi per definizione. Mundie ha poi affermato che le minacce si evolvono continuamente, proprio come l'”astuzia degli hacker”, ma che tuttavia il 95% degli attacchi informatici portati con successo sfruttano “cattive configurazioni di sistema”.

Mundie ha poi affermato che la recente revisione del codice, che ha interessato Windows, Office, Visual Studio.NET e Windows.NET Enterprise Servers, è solo uno dei molti esempi che testimoniano l’impegno di Microsoft nell’area della sicurezza. Dall’inizio dell’anno, il colosso di Redmond avrebbe infatti attivato corsi interni di formazione sulla sicurezza, sviluppato nuovi tool e tecnologie per contrastare le minacce e prevenire gli attacchi, rilasciato aggiornamenti cumulativi con più frequenza e intensificato i rapporti con i propri partner e utenti.

“Abbiamo disattivato o ridotto più di 30 impostazioni in Windows.NET Server per renderlo più sicuro di default”, ha spiegato Mundie. “Abbiamo fatto una cosa simile anche con Windows XP e Microsoft Office XP Service Pack 1. Per garantire che i nostri prodotti possano essere usati in modo più sicuro, abbiamo speso un quantitativo di forze senza precedenti per attivare corsi di formazione disponibili in tutto il mondo e per offrire tool e tecnologie come i gratuiti Microsoft Security Toolkit, Software Update Service, Microsoft Baseline Security Analyzer e molti altri”. Il dirigente di Microsoft ha poi ricordato come le modifiche apportate a Outlook 2002 e ad Office XP abbiano sensibilmente ridotto il numero di nuovi worm in circolazione e abbiano fatto in modo che ora sia “virtualmente impossibile per gli utenti essere vittime di questo genere di attacchi quando mantengono le impostazioni di default”.

Sul fronte della privacy Caspar Bowden, senior security and privacy officer per Microsoft EMEA, ha affermato che “la nostra politica internazionale sulla protezione dei dati è un modello per tutta l’industria”, ricordando come Microsoft abbia integrato nei suoi prodotti un supporto crescente alle tecnologie standard per la privacy, fra cui il P3P in Internet Explorer 6, e abbia migliorato gli strumenti a disposizione degli utenti per avere il controllo sui propri dati (e qui Bowden ha citato come esempio l’imminente Windows Media 9 Series).

Il suo collega, Mundie, ha invece sottolineato il fatto che Microsoft “ha progettato una registrazione on-line per Windows XP che evita agli utenti di fornire informazioni personali identificabili”.

In ogni caso, sostiene Mundie, il Trustworthy Computing “non è cosa che si possa sbrigare in una sola notte”: ecco perché.


Mundie ha spiegato che il Trustworthy Computing è un’iniziativa a cui non si potrà mai dare una vera data di scadenza, visto che concetti come la sicurezza, la privacy e l’affidabilità sono per loro stessa definizione in perenne mutamento.

“Rendere il computing più fidato e sicuro è uno dei più grandi problemi dell’industria e va da noi affrontato insieme ai nostri partner e a tutti i soggetti dell’industria nella sua globalità”, ha affermato Mundie. “Ma questo ha enormi implicazioni per Microsoft visto che dovremo completamente rifocalizzare l’azienda in modo radicale verso l’obiettivo di rendere il Trustworthy Computing la nostra prima priorità”.

Sicurezza e Trustworthy Computing – ha continuato Mundie – non sono (concetti) identici. La sicurezza è un componente chiave di quello che noi chiamiamo Trustworthy Computing, ma è solo un componente — insieme a privacy, disponibilità, affidabilità e all’onestà delle aziende che forniscono tecnologia”.

Il dirigente di Microsoft ha poi spiegato che il Trustworthy Computing deve tener conto delle varie situazioni locali e perseguire obiettivi e priorità che possono essere parzialmente differenti da continente a continente, da stato a stato. Mundie ha fatto l’esempio dell’Europa, dove Microsoft EMEA “sta partecipando attivamente” agli sforzi dell’Unione Europea relativi alla protezione della privacy.

Durante la conferenza, i dirigenti di Microsoft hanno dunque tentato di spiegare, come già in passato avevano fatto i due boss Ballmer e Gates, che il Trustworthy Computing non è un’immediata panacea a tutti i mali, è un progetto ben più corposo e ambizioso di quello che può sembrare ad “occhio profano” e, soprattutto, è un piano a lungo termine che, secondo Mundie, impegnerà Microsoft per i prossimi 10 anni.

“Questo è l’inizio di una trasformazione permanente per noi”, ha commentato il dirigente di Microsoft.

Ma perché il big di Redmond ha atteso 25 anni per dare alla sicurezza quella priorità assoluta che oggi sembra costringerla ad un cambiamento così drastico e repentino? Rispondendo a questa domanda Mundie ha ammesso, senza troppi giri di parole, che la sicurezza è un bene che “i clienti non hanno voluto pagare che in tempi recenti”. Questo anche per ricordare che la sicurezza, almeno quella firmata Microsoft, ha dei costi che in qualche modo vanno coperti.

Mundie ha svelato che Microsoft sta valutando l’ipotesi di offrire, in futuro, servizi e consulenze di sicurezza a pagamento: è questa una visione che fa della sicurezza, per il big di Redmond, non più soltanto una condizione necessaria per restare sul mercato, ma anche una potenziale fonte di profitto.

Vi sono però anche degli aspetti della sicurezza che Microsoft considera del tutto improduttivi e impossibili da finanziare. È questo il caso della responsabilità per la sicurezza dei prodotti, qualcosa che gli avvocati dei consumatori rivendicano a gran voce da tempo ma che Microsoft, a quanto pare, non offrirà mai.

“Se noi ci prendessimo questa responsabilità, – ha affermato Mundie – diciamo per un grosso contratto con Airbus, dovremmo stipulare una gigantesca polizza con Lloyds o un’altra società assicuratrice, e pagare una fattura gigantesca. A questo punto, però, il nostro prodotto non costerebbe più 50 euro, ma 50 milioni”.

Mundie ha poi spiegato che un simile approccio alla sicurezza obbligherebbe i produttori ad assicurarsi che i computer utilizzati dai propri clienti possano essere aperti o modificati solo da tecnici specializzati. “Questa sarebbe l’antitesi del business basato sul mercato di massa general purpose”, ha dichiarato Mundie. Eppure, hanno commentato alcuni osservatori, il progetto Palladium sembra destinato a limitare le libertà degli utenti in modo ancor più drastico dell’applicazione di un sigillo ad un PC.

Durante la conferenza Microsoft ha annunciato un accordo strategico con RSA per incrementare la sicurezza dei propri prodotti. Ecco di cosa si tratta.


Grazie ad una nuova partnership con RSA Security, Microsoft potrà integrare nei suoi prodotti alcune delle tecnologie di autenticazione di quest’ultima. La prima licenza che il Big di Redmond ha acquisito dalla propria partner è SecureID, una tecnologia di autenticazione per l’accesso a reti aziendali, sistemi operativi, applicazioni, intranet, extranet e siti di commercio elettronico, basata si di un metodo detto “two-factor” (a due fattori).

La tecnologia SecureID di RSA si basa su un server di autenticazione (ACE/Server), su agenti software (ACE/Agent) collocati nelle frontiere di accesso e su un’ampia gamma di periferiche di autenticazione (autenticatori). La premessa è che un singolo fattore, come una password, fornisca di per sé una debole prova di autenticità, e questo per il motivo che qualcuno potrebbe averla rubata o intercettata. È l’aggiunta di un secondo fattore, un oggetto fisico, che dovrebbe rendere notevolmente più sicura la certezza di autenticità: questo oggetto fisico può essere costituito da un token, da una smart card o da altri dispositivi di autenticazione.

RSA sta lavorando ad un token software per Windows Pocket PC 2000 che permetterà agli utenti di un palmare basato su questo sistema operativo di autenticarsi sulle reti protette con il sistema SecureID senza la necessità di portarsi dietro un token hardware separato.

Microsoft ha fatto sapere che il primo prodotto che integrerà il supporto a SecureID sarà la prossima versione del suo software di firewall e Web caching Internet Security and Acceleration (ISA) Server 2000.

Insieme alla società iRevolution, RSA fornirà la sua tecnologia di autenticazione two-factor anche per Microsoft Passport. Le due aziende stanno sviluppando una tecnologia che consentirà agli utenti di Passport di autenticarsi utilizzando il software RSA Mobile. Questo software, di cui si è già parlato in una recente notizia , funziona fornendo all?utente, via SMS, un codice di accesso utilizzabile un?unica volta, che viene generato al momento del log-in (connessione alla rete) e immediatamente inviato al cellulare (o anche al cercapersone, al palmare o alla posta elettronica dell?utente). Quest?ultimo deve semplicemente digitare i suoi User ID e PIN seguiti dal codice ricevuto per essere immediatamente autenticato al sistema.

La soluzione sviluppata da RSA e iRevolution potrebbe far parte di TrustBridge , una tecnologia che permetterà alle aziende dotate del sistema operativo Windows di scambiare i dati identificativi degli utenti e collaborare all’interno di ambienti eterogenei attraverso protocolli standard per i Web service basati su XML.

RSA e Microsoft hanno poi ribadito il loro impegno nello sviluppo di WS-Security , un insieme di specifiche – alla cui definizione collaborano anche IBM e VeriSign – che ha come obiettivo la definizione di standard per la sicurezza e l’interoperabilità fra Web service.

Prossimamente Microsoft introdurrà il supporto a WS-Security e al modello di sicurezza federata anche all’interno di Visual Studio.NET. Ciò consentirà agli sviluppatori di Web service di aggiungere il supporto delle firme digitali e della codifica crittografica dei messaggi SOAP così come previsto dalle specifiche WS-Security.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Che figata!
    Chissà se l'interfaccia di programmazione resterà la stessa fino alla release candidateTSK! Opengl non cambia interfaccia da anni... persino titoloni come "Hitman2" DA WINDOWS usano sdl come astrazione...
Chiudi i commenti