| Cognome | |
| Password | |
| Ho letto e accetto l'informativa sulla privacy | |
| Desidero ricevere la Newsletter di PMI-dome.com | |
IL NETWORK PER LE PICCOLE E MEDIE IMPRESE
La sicurezza è un mercato dei limoni?
Come vengono scelti i prodotti per la sicurezza? Siamo proprio sicuri - scusate il gioco di parole - che siano i migliori e non invece le sole caratteristiche comparabili (prezzo, semplicità d'uso, ecc.) a prevalere sempre?
di Stefano Bonacina |
04 maggio 2007
Alcuni giorni orsono mi trovai a presentare un prodotto di sicurezza
sviluppato da noi e contenente un’implementazione dell’algoritmo AES
con chiave a 256 bit.
Tra le varie funzioni del prodotto vi è la possibilità di crittografare un file e, mentre stavo esponendo questa funzione al mio interlocutore (un responsabile dei sistemi informativi) mi sentii chiedere: “Ma chi mi garantisce che effettivamente il programma faccia quello che lei afferma? Davvero implementa una crittografia forte così come lei dice?”
Al momento rimasi sorpreso dalla questione sollevata in quanto mi aspettavo una maggior fiducia poiché l'AES è un algoritmo implementato ormai dalla gran parte delle applicazioni di crittografia. Dopo un rapido calcolo, però, decisi di svelare parte dell’arcano e di mostrare qualche riga di codice, che, fortunatamente, conservavo in una zona criptata dell’hard disk del mio notebook.
Il mio interlocutore rimase ben impressionato dalla mia disponibilità, dalla capacità di spiegazione dell’architettura dell’applicazione e, soprattutto, da quelle poche righe di codice che indicavano che ciò che affermavamo era coerente con ciò che era contenuto nel programma.
Tutto sommato, gli sono grato di avermi dato la possibilità di aumentare la sua fiducia nei confronti della sicurezza dell’applicazione.
Qual è quindi la morale di questa storia?
Nel mercato della sicurezza esistono decine di prodotti diversi che cercano di risolvere lo stesso problema. Il successo di un prodotto sull’altro non sempre è dato dalle sue caratteristiche di efficacia, robustezza, affidabilità, etc.
Ce lo spiega anche Bruce Schneier nel suo articolo “A security market for lemons”, quando parla di Secustick, l’azienda che offriva l’unico prodotto sul mercato con capacità autodistruttive. Secustick è ua chiave USB in grado di crittografare il contenuto e proteggerlo con una password: nel caso si tentasse di accedervi non conoscendola, il contenuto viene distrutto dopo un certo numero di tentativi.
L’azienda affermava inoltre che il prodotto era stato commissionato dai servizi segreti francesi e veniva correntemente utilizzato in campo militare e da alcune banche.
Per sua sfortuna, un gruppo di esperti olandesi di Tweakers.net dimostrò che non esisteva nessuna funzione di autodistruzione, che la protezione via password poteva essere bypassata e che le informazioni non venivano nemmeno criptate. Non so qual è il numero di chiavette USB vendute, ma so per certo che ora il sito dell’azienda olandese è momentaneamente “offline” in attesa di una nuova versione di Secustick.
Perché ci sono così tanti prodotti mediocri nel mercato della sicurezza? Ma come, non lo sapevate? Ebbene, è proprio così. E perché si vendono più i prodotti mediocri dei prodotti buoni?
Ce lo spiega George Akerlof, economista americano, nel suo "The Market for 'Lemons' in cui illustra la sua teoria dell’informazione asimmetrica, in cui il venditore ha più informazioni sul prodotto di quante ne abbia il compratore.
Nell’esempio del mercato delle auto usate, in cui sono presenti auto migliori e auto peggiori (i cosiddetti “limoni” negli USA), il compratore basa il suo acquisto su un’auto usata di qualità media. A questo punto le auto migliori non verrano vendute, per il loro prezzo più alto. La loro rimozione del mercato ridurrà il prezzo medio che i compratori sono disposti a sostenere, e quindi anche le auto buone verranno tolte dal mercato, e così via, finché non rimarranno soltanto le auto di cattiva qualità (i limoni).
In conclusione, in un mercato dove il venditore ha più informazioni del compratore, i prodotti peggiori possono eliminare i migliori.
Il mercato della sicurezza è molto simile: il caso delle chiavette USB sicure descritto sopra è paradigmatico. Di fronte a offerte similari, dove i produttori affermano di utilizzare gli stessi algoritmi di crittografia, chi può farla da padrone? È estremamente arduo basare una decisione di scelta sull’efficacia del prodotto: il compratore dovrebbe avere gli strumenti (tecnologici e di conoscenza) per effettuare della valutazioni comparate, ma si tratta di attività specifiche e onerose, in termini di tempo e denaro da investire.
Quindi, i prodotti di sicurezza molto spesso non vengono scelti perché più sicuri di altri (caratteristiche non comparabili dai compratori, se non sulla carta), ma bensì per le caratteristiche più comparabili, ovvero il prezzo, la facilità di installazione e di configurazione, la semplicità d’utilizzo, la poca invasività nelle attività dell’amministratore della sicurezza. O ancora, la “pervasività” del venditore, la reputazione del produttore o le valutazioni di organismi indipendenti (i cosiddetti “analisti”).
Tra le varie funzioni del prodotto vi è la possibilità di crittografare un file e, mentre stavo esponendo questa funzione al mio interlocutore (un responsabile dei sistemi informativi) mi sentii chiedere: “Ma chi mi garantisce che effettivamente il programma faccia quello che lei afferma? Davvero implementa una crittografia forte così come lei dice?”
Al momento rimasi sorpreso dalla questione sollevata in quanto mi aspettavo una maggior fiducia poiché l'AES è un algoritmo implementato ormai dalla gran parte delle applicazioni di crittografia. Dopo un rapido calcolo, però, decisi di svelare parte dell’arcano e di mostrare qualche riga di codice, che, fortunatamente, conservavo in una zona criptata dell’hard disk del mio notebook.
Il mio interlocutore rimase ben impressionato dalla mia disponibilità, dalla capacità di spiegazione dell’architettura dell’applicazione e, soprattutto, da quelle poche righe di codice che indicavano che ciò che affermavamo era coerente con ciò che era contenuto nel programma.
Tutto sommato, gli sono grato di avermi dato la possibilità di aumentare la sua fiducia nei confronti della sicurezza dell’applicazione.
Qual è quindi la morale di questa storia?
Nel mercato della sicurezza esistono decine di prodotti diversi che cercano di risolvere lo stesso problema. Il successo di un prodotto sull’altro non sempre è dato dalle sue caratteristiche di efficacia, robustezza, affidabilità, etc.
Ce lo spiega anche Bruce Schneier nel suo articolo “A security market for lemons”, quando parla di Secustick, l’azienda che offriva l’unico prodotto sul mercato con capacità autodistruttive. Secustick è ua chiave USB in grado di crittografare il contenuto e proteggerlo con una password: nel caso si tentasse di accedervi non conoscendola, il contenuto viene distrutto dopo un certo numero di tentativi.
L’azienda affermava inoltre che il prodotto era stato commissionato dai servizi segreti francesi e veniva correntemente utilizzato in campo militare e da alcune banche.
Per sua sfortuna, un gruppo di esperti olandesi di Tweakers.net dimostrò che non esisteva nessuna funzione di autodistruzione, che la protezione via password poteva essere bypassata e che le informazioni non venivano nemmeno criptate. Non so qual è il numero di chiavette USB vendute, ma so per certo che ora il sito dell’azienda olandese è momentaneamente “offline” in attesa di una nuova versione di Secustick.
Perché ci sono così tanti prodotti mediocri nel mercato della sicurezza? Ma come, non lo sapevate? Ebbene, è proprio così. E perché si vendono più i prodotti mediocri dei prodotti buoni?
Ce lo spiega George Akerlof, economista americano, nel suo "The Market for 'Lemons' in cui illustra la sua teoria dell’informazione asimmetrica, in cui il venditore ha più informazioni sul prodotto di quante ne abbia il compratore.
Nell’esempio del mercato delle auto usate, in cui sono presenti auto migliori e auto peggiori (i cosiddetti “limoni” negli USA), il compratore basa il suo acquisto su un’auto usata di qualità media. A questo punto le auto migliori non verrano vendute, per il loro prezzo più alto. La loro rimozione del mercato ridurrà il prezzo medio che i compratori sono disposti a sostenere, e quindi anche le auto buone verranno tolte dal mercato, e così via, finché non rimarranno soltanto le auto di cattiva qualità (i limoni).
In conclusione, in un mercato dove il venditore ha più informazioni del compratore, i prodotti peggiori possono eliminare i migliori.
Il mercato della sicurezza è molto simile: il caso delle chiavette USB sicure descritto sopra è paradigmatico. Di fronte a offerte similari, dove i produttori affermano di utilizzare gli stessi algoritmi di crittografia, chi può farla da padrone? È estremamente arduo basare una decisione di scelta sull’efficacia del prodotto: il compratore dovrebbe avere gli strumenti (tecnologici e di conoscenza) per effettuare della valutazioni comparate, ma si tratta di attività specifiche e onerose, in termini di tempo e denaro da investire.
Quindi, i prodotti di sicurezza molto spesso non vengono scelti perché più sicuri di altri (caratteristiche non comparabili dai compratori, se non sulla carta), ma bensì per le caratteristiche più comparabili, ovvero il prezzo, la facilità di installazione e di configurazione, la semplicità d’utilizzo, la poca invasività nelle attività dell’amministratore della sicurezza. O ancora, la “pervasività” del venditore, la reputazione del produttore o le valutazioni di organismi indipendenti (i cosiddetti “analisti”).
Stefano Bonacina - http://connexioni.blogspot.com/
Stefano Bonacina è CTO, o anche Direttore Tecnico, di Advanction, una società che propone soluzioni strategiche nell'ambito della protezione delle informazioni aziendali, delle architetture avanzate - Grid computing - e della finanza. Lavora come Director in Intelligrate, una società che si occupa di Competitive Intelligence, Text Mining e Sicurezza. Al contempo tengo seminari e corsi e collaboro con siti e pubblicazioni. Precedentemente (1998-2003) ho lavorato in Fineco SIM e Banca Fineco, di cui ho diretto i sistemi informativi dal 2000, sono stato IT System and Project Manager in St Microelectronics dal 1990 al 1998 Sono membro della Society of Competitive Intelligence Professionals e della Information Systems Security Assosiacion, nonché vicepresidente della XML Finance Association
Condividi
Come calcolare l'IMU
Due nuove aliquote e uno strumento per semplificare il calcoloBIT 2012
La Borsa internazionale del Turismo riapre i battenti con tante importanti novitàOnline il modello 730/12 editabile
Disponibile sul sito dell’Agenzia delle EntrateLa stampante ci spia
Uffici e aziende sono zeppe di stampanti con funzionalità sofisticate di scansione, stampa, copia, invio e ricezione fax, condivisione di rete... Ma siamo proprio sicuri che questi dispositivi non facciano niente altro che il loro onesto mestiere?
Accesso rapido
Copyright © 2011 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER S.p.A. Tutti i diritti sono riservati.
. Per la pubblicità: Master Advertising S.r.L. Per contattare la redazione: redazione@i-dome.com | Informativa.
Testata giornalistica registrata al Tribunale di Milano al n° 86 del 11.2.2002
. Per la pubblicità: Master Advertising S.r.L. Per contattare la redazione: redazione@i-dome.com | Informativa.Testata giornalistica registrata al Tribunale di Milano al n° 86 del 11.2.2002