Nome
Cognome
Email
Password
Ho letto e accetto l'informativa sulla privacy
Vi autorizzo al trattamento dei miei dati per ricevere informazioni promozionali mediante posta, telefono, posta elettronica, sms, mms, effettuare analisi statistiche, sondaggi d'opinione da parte di Edizioni Master S.p.A.
Si No
Vi autorizzo alla comunicazione dei miei dati per ricevere informazioni promozionali mediante posta, telefono, posta elettronica, sms, mms, effettuare analisi statistiche, sondaggi d'opinione da parte di aziende terze.
Si No
FacebookTwitterRSS
PMI Dome

La sicurezza è un mercato dei limoni?

Come vengono scelti i prodotti per la sicurezza? Siamo proprio sicuri - scusate il gioco di parole - che siano i migliori e non invece le sole caratteristiche comparabili (prezzo, semplicità d'uso, ecc.) a prevalere sempre?
di Stefano Bonacina
Alcuni giorni orsono mi trovai a presentare un prodotto di sicurezza sviluppato da noi e contenente un’implementazione dell’algoritmo AES con chiave a 256 bit.
Tra le varie funzioni del prodotto vi è la possibilità di crittografare un file e, mentre stavo esponendo questa funzione al mio interlocutore (un responsabile dei sistemi informativi) mi sentii chiedere: “Ma chi mi garantisce che effettivamente il programma faccia quello che lei afferma? Davvero implementa una crittografia forte così come lei dice?

Al momento rimasi sorpreso dalla questione sollevata in quanto mi aspettavo una maggior fiducia poiché l'AES è un algoritmo implementato ormai dalla gran parte delle applicazioni di crittografia. Dopo un rapido calcolo, però, decisi di svelare parte dell’arcano e di mostrare qualche riga di codice, che, fortunatamente, conservavo in una zona criptata dell’hard disk del mio notebook.

Il mio interlocutore rimase ben impressionato dalla mia disponibilità, dalla capacità di spiegazione dell’architettura dell’applicazione e, soprattutto, da quelle poche righe di codice che indicavano che ciò che affermavamo era coerente con ciò che era contenuto nel programma.

Tutto sommato, gli sono grato di avermi dato la possibilità di aumentare la sua fiducia nei confronti della sicurezza dell’applicazione.

Qual è quindi la morale di questa storia?
Nel mercato della sicurezza esistono decine di prodotti diversi che cercano di risolvere lo stesso problema. Il successo di un prodotto sull’altro non sempre è dato dalle sue caratteristiche di efficacia, robustezza, affidabilità, etc.

Ce lo spiega anche Bruce Schneier nel suo articolo “A security market for lemons”, quando parla di Secustick, l’azienda che offriva l’unico prodotto sul mercato con capacità autodistruttive. Secustick è ua chiave USB in grado di crittografare il contenuto e proteggerlo con una password: nel caso si tentasse di accedervi non conoscendola, il contenuto viene distrutto dopo un certo numero di tentativi.
L’azienda affermava inoltre che il prodotto era stato commissionato dai servizi segreti francesi e veniva correntemente utilizzato in campo militare e da alcune banche.

Per sua sfortuna, un gruppo di esperti olandesi di Tweakers.net dimostrò che non esisteva nessuna funzione di autodistruzione, che la protezione via password poteva essere bypassata e che le informazioni non venivano nemmeno criptate. Non so qual è il numero di chiavette USB vendute, ma so per certo che ora il sito dell’azienda olandese è momentaneamente “offline” in attesa di una nuova versione di Secustick.

Perché ci sono così tanti prodotti mediocri nel mercato della sicurezza? Ma come, non lo sapevate? Ebbene, è proprio così. E perché si vendono più i prodotti mediocri dei prodotti buoni?
Ce lo spiega George Akerlof, economista americano, nel suo "The Market for 'Lemons' in cui illustra la sua teoria dell’informazione asimmetrica, in cui il venditore ha più informazioni sul prodotto di quante ne abbia il compratore.

Nell’esempio del mercato delle auto usate, in cui sono presenti auto migliori e auto peggiori (i cosiddetti “limoni” negli USA), il compratore basa il suo acquisto su un’auto usata di qualità media. A questo punto le auto migliori non verrano vendute, per il loro prezzo più alto. La loro rimozione del mercato ridurrà il prezzo medio che i compratori sono disposti a sostenere, e quindi anche le auto buone verranno tolte dal mercato, e così via, finché non rimarranno soltanto le auto di cattiva qualità (i limoni).

In conclusione, in un mercato dove il venditore ha più informazioni del compratore, i prodotti peggiori possono eliminare i migliori.

Il mercato della sicurezza è molto simile: il caso delle chiavette USB sicure descritto sopra è paradigmatico. Di fronte a offerte similari, dove i produttori affermano di utilizzare gli stessi algoritmi di crittografia, chi può farla da padrone? È estremamente arduo basare una decisione di scelta sull’efficacia del prodotto: il compratore dovrebbe avere gli strumenti (tecnologici e di conoscenza) per effettuare della valutazioni comparate, ma si tratta di attività specifiche e onerose, in termini di tempo e denaro da investire.

Quindi, i prodotti di sicurezza molto spesso non vengono scelti perché più sicuri di altri (caratteristiche non comparabili dai compratori, se non sulla carta), ma bensì per le caratteristiche più comparabili, ovvero il prezzo, la facilità di installazione e di configurazione, la semplicità d’utilizzo, la poca invasività nelle attività dell’amministratore della sicurezza. O ancora, la “pervasività” del venditore, la reputazione del produttore o le valutazioni di organismi indipendenti (i cosiddetti “analisti”).

Stefano Bonacina - http://connexioni.blogspot.com/

Stefano Bonacina è CTO, o anche Direttore Tecnico, di Advanction, una società che propone soluzioni strategiche nell'ambito della protezione delle informazioni aziendali, delle architetture avanzate - Grid computing - e della finanza. Lavora come Director in Intelligrate, una società che si occupa di Competitive Intelligence, Text Mining e Sicurezza. Al contempo tengo seminari e corsi e collaboro con siti e pubblicazioni. Precedentemente (1998-2003) ho lavorato in Fineco SIM e Banca Fineco, di cui ho diretto i sistemi informativi dal 2000, sono stato IT System and Project Manager in St Microelectronics dal 1990 al 1998 Sono membro della Society of Competitive Intelligence Professionals e della Information Systems Security Assosiacion, nonché vicepresidente della XML Finance Association

Condividi

Lascia un commento

Nome:

Mail:

Oggetto:

Commento:

CAPTCHA

Codice controllo:



Come calcolare l'IMU

Due nuove aliquote e uno strumento per semplificare il calcolo

A Milano si riunisce Alfresco

Una visione dall'interno di tutto il sistema dell'azienda e le prospettive di sviluppo nei prossimi anni

SE UN IMPIEGATO APRE UN E-SHOP, MEGLIO L'APPOGGIO DI UN COMMERCIALISTA

Perché equiparare la blogosfera con le testate giornalistiche tradizionali?

Si può fare del buon giornalismo anche senza alcuna tessera professionale, ma c’è chi afferma che nella blogosfera, c’è una netta prevalenza delle opinioni rispetto alle notizie. Riflessioni sul Fact-Checking e il Blog Power.
Accesso rapido