Il 24 settembre 2003 un gruppo di esperti di sicurezza di livello mondiale ha presentato al meeting della Computer & Communications Industry Association una ricerca sul costo del monopolio Microsoft per la sicurezza, che è stato ripreso da diverse testate – con tutti i se e i ma del caso, visto che si tratta di affermazioni indubbiamente “forti”, nei confronti delle quali è comunque necessario un atteggiamento critico – ed è stato pubblicato sul sito dell’associazione in formato PDF.
Poi, stranamente, il tema è finito nel dimenticatoio comune – lo stesso in cui giacciono diversi argomenti controversi che riguardano le grandi multinazionali dell’Information Technology – e il documento è sparito dal sito, tanto che il link originale restituisce un beffardo “errore 404”.
Quasi 13 anni dopo la pubblicazione, ovvero il 23 febbraio 2016, il documento è ricomparso sul sito Flying Penguin (la poesia dell’information security), a questo link (che speriamo resista a lungo).
Ovviamente, a 13 anni di distanza dalla data di pubblicazione, i contenuti della ricerca andrebbero aggiornati, visto che i problemi di sicurezza si sono ampliati – invece che ridursi – e oggi coinvolgono non solo il sistema operativo ma anche il formato dei documenti di Microsoft Office, che – stando a una ricerca del 2011 commissionata dal governo tedesco a Symantec – sono il veicolo preferito dai malintenzionati per la distribuzione di malware.
Quelle che seguono sono le traduzioni in italiano, a cura del sottoscritto, dell’introduzione da parte della CCIA e della sintesi del rapporto, che offrono un primo assaggio dei contenuti del rapporto stesso. La traduzione integrale del rapporto verrà presentata in occasione della 3a Conferenza LibreItalia che si terrà a Torino sabato 5 novembre, e sintetizzata all’interno di una delle presentazioni della sessione plenaria.
CYBERINSECURITY: IL COSTO DEL MONOPOLIO
ovvero in che modo il dominio dei prodotti Microsoft crea dei rischi per la sicurezza
Introduzione della Computer & Communications Industry Association
Nessun software è perfetto. Questo è chiaro a tutti, sia in base alle ricerche sia in base all’esperienza personale. Nonostante ciò, le aziende sanno come progettare e dispiegare il software per ridurre al minimo i rischi legati alla sicurezza, ma fino a quando gli obiettivi commerciali avranno la precedenza (sulla sicurezza stessa) ci saranno conseguenze nefaste sia per gli utenti sia per la società.
Gli sforzi da parte di Microsoft per progettare il software nel modo più complesso possibile, in modo da vanificare gli sforzi da parte degli altri progetti software sia di interoperare sia di competere con i propri prodotti, hanno avuto successo. Il prodotto di tipo monopolistico a cui oggi tutti si affidano è allo stesso tempo il più usato e quello affetto dal maggior numero di problemi. Microsoft ha una serie di responsabilità specifiche che derivano dall’ubiquità dei suoi prodotti, ma allo stesso tempo noi dobbiamo essere coscienti dei problemi che derivano dall’affidare a essi un ruolo fondamentale.
CCIA ha sollevato il problema dei danni per la sicurezza legati al monopolio del software durante il processo antitrust contro Microsoft tra la metà e la fine degli anni ‘90. Successivamente, abbiamo invitato l’Unione Europea a prendere delle misure contro la “monoculture” del software che diventa ogni giorno più esposta a virus, cavalli di Troia e altri agenti patogeni digitali.
Oggi, le nostre conclusioni vengono confermate e amplificate dalla pubblicazione di questo studio, redatto da autorità nel campo della cybersecurity del calibro di Dan Geer, Rebecca Bace, Peter Gutmann, Perry Metzger, John S. Quarterman, Charles Pfleeger, e Bruce Schneier.
CCIA e gli autori del report sono giunti alle rispettive conclusioni in modo del tutto indipendente. Ovviamente, i punti di vista degli autori appartengono a loro, e solo a loro. In ogni caso, la crescita del consenso all’interno della comunità degli esperti di sicurezza è significativa, ed è del tutto ovvia: la presenza di un singolo sistema operativo dominante nelle mani della maggioranza degli utenti è semplicemente dannosa, e l’aumento della presenza dello stesso sistema a livello server può solo aumentare la sua pericolosità. CCIA è felice di essere riuscita a catalizzare e pubblicare le idee di queste autorevoli personalità.
Nel corso degli anni, Microsoft ha intenzionalmente aggiunto un numero crescente di funzionalità al proprio sistema operativo, in una modalità tale da impedire a qualsiasi utente di rimuoverle. Nel fare questo, l’azienda che detiene il monopolio dei sistemi operativi per PC ha creato un software caratterizzato da un livello inaccettabile di complessità, in contraddizione diretta con le più elementari regole di sicurezza per i computer.
Microsoft, come mostrano le registrazioni del processo negli Stati Uniti, non ha aggiunto questo codice particolarmente complesso al proprio sistema operativo per rispondere a una specifica esigenza di programmazione, ma perché questo garantisce che i produttori di computer e gli utenti utilizzeranno un prodotto Microsoft piuttosto che quello di un concorrente.
Questi problemi di sicurezza legati alla concorrenza ci accompagnano da anni, e stanno peggiorando. La presenza ripetuta di malware su Internet è uno dei segni della situazione di pericolo in cui ci troviamo. Il rapporto CyberInsecurity – The Cost of Monopoly è un campanello di allarme che governi e aziende devono necessariamente ascoltare.
Sintesi del Rapporto
I computer sono fondamentali per l’infrastruttura dei Paesi avanzati. Purtroppo, indipendentemente dalla velocità con cui cresce l’infrastruttura IT, le vulnerabilità di sicurezza che la affliggono crescono in modo altrettanto rapido. La situazione della sicurezza si sta deteriorando, e questo deterioramento avviene in un momento in cui la maggioranza dei computer nelle mani degli utenti si affida a un singolo sistema operativo soggetto alle stesse vulnerabilità in tutto il mondo.
La maggioranza dei computer nel mondo utilizza i sistemi operativi Microsoft, per cui è vulnerabile allo stesso malware nello stesso momento. L’unica soluzione che abbiamo per fermare questo problema è la fine della monocultura dei sistemi operativi, per motivi altrettanto ragionevoli e ovvi come quelli che sono alla base della fine della monocultura in agricoltura. Microsoft peggiora il problema grazie a un’ampia gamma di pratiche che legano gli utenti alla sua piattaforma, con un impatto sulla sicurezza reale e dannoso per l’intera società.
Poiché l’attuale situazione di monopolio Microsoft ingigantisce i rischi associati alla sicurezza, è indispensabile che la società dipenda sempre meno da un unico sistema operativo di un unico vendor, per evitare che l’infrastruttura strategica rischi di essere compromessa in un solo colpo. L’obiettivo dovrebbe essere quello di “rompere” la monocultura, e tutti gli sforzi da parte di Microsoft per migliorare la sicurezza saranno destinati a fallire se il loro effetto collaterale è il blocco (lock-in) degli utenti. Infatti, non possiamo consentire a Microsoft di imporre nuove restrizioni agli utenti – imposte come solo un monopolio è in grado di fare – e poi affermare che questo esercizio di potere monopolistico è in un certo senso una soluzione ai problemi di sicurezza legati ai suoi prodotti. La pervasività dei problemi di sicurezza nei prodotti Microsoft è un effetto del potere monopolistico, e non può diventare una motivazione.
I Governi devono diventare un esempio con le loro politiche interne e con i regolamenti che suggeriscono ai settori industriali strategici per la società. Essi devono valutare gli effetti dei monopoli sulla sicurezza, e riconoscere che da un certo punto in avanti le politiche sulla concorrenza sono strettamente connesse alle politiche sulla sicurezza.
Le minacce alla sicurezza internazionale create da Windows sono significative, e devono essere affrontate urgentemente. Il rapporto discute il problema in linea di principio, Microsoft e le sue azioni in relazione a questi principi, e le implicazioni sociali ed economiche per la gestione dei rischi e le relative politiche. I punti sono elencati all’inizio di ciascuna sezione, e successivamente discussi.
Facebook Comments