Trustworthy Computing un anno dopo

Il fondatore di Microsoft torna a parlare di sicurezza e lo fa ad un anno esatto di distanza dal varo della famosa iniziativa Trustworthy Computing. Gates dice che i passi compiuti sono tanti, ma il cammino è ancora lungo. Ecco dove porta

Redmond (USA) - E' passato un anno tondo tondo da quando Bill Gates, chief software architect e fondatore di Microsoft, annunciò l'ormai celebre iniziativa Trustworthy Computing, una nuova filosofia di sviluppo del software grazie alla quale Microsoft ha promesso di fare della sicurezza un proprio baluardo.

Come a celebrare quella data, Gates pochi giorni fa è tornato a parlare di sicurezza attraverso una e-mail spedita a milioni di clienti, impiegati e partner di Microsoft, per metterli a conoscenza degli sviluppi della strategia Trustworthy Computing e delle promesse di Palladium, l'architettura che Microsoft ha ribattezzato nelle scorse ore "next-generation secure computing base" e che sta sviluppando in collaborazione con una grande fetta di produttori hardware. Il fine è rendere il PC una piattaforma meno vulnerabile alle incursioni dall'esterno, più rispettosa della privacy ma, soprattutto, più capace di proteggere il copyright dei contenuti digitali.

"Sebbene lo scorso anno abbiamo fatto un gran lavoro (sulla sicurezza, NdR), rimane ancora molto da fare", ha ammesso Gates, citando un rapporto stilato dal Computer Security Institute e dall'FBI che stima in 455 milioni di dollari i danni causati in USA, nel 2001, dai cyberattacchi.
Gates ha detto che un anno non è un tempo sufficiente per giudicare un processo a lungo termine come quello partito all'inizio dell'anno con l'iniziativa Trustworthy Computing: la recente revisione del codice che ha interessato Windows, Office, Visual Studio.NET e Windows.NET Enterprise Servers, sarebbe, secondo il boss di Microsoft, solo uno dei molti esempi che testimoniano l'impegno di Microsoft nell'area della sicurezza. Dall'inizio dell'anno, il colosso di Redmond avrebbe infatti attivato corsi interni di formazione sulla sicurezza, sviluppato nuovi tool e tecnologie per contrastare le minacce e prevenire gli attacchi, rilasciato aggiornamenti cumulativi con più frequenza e intensificato i rapporti con i propri partner e utenti.

"Come leader dell'industria dei computer - scrive Gates nella sua e-mail - Microsoft ha la responsabilità di aiutare i propri clienti a trovare una soluzione alle loro preoccupazioni affinché non debbano più dover scegliere fra sicurezza e usabilità".

Per raggiungere i quattro obiettivi fondamentali previsti dal Trustworthy Computing - sicurezza, privacy, affidabilità e usabilità - Gates spiega che è stato di fondamentale importanza l'introduzione, lo scorso anno, dei nuovi modelli per progettare, costruire e implementare applicazioni: questi sono il "Secure by Design", attraverso cui il big di Redmond si impegna a progettare applicazioni che contengano il minor numero possibile di bug e vulnerabilità di sicurezza; "Secure by Default", un nuovo approccio alla configurazione standard delle applicazioni appena installate, approccio che prevede la riduzione della "superficie di attacco" con l'apertura delle sole porte necessarie, la disattivazione per default di tutte le funzionalità potenzialmente pericolose (demandandone l'eventuale attivazione all?utente), l'impostazione dei diritti minimi necessari per poter utilizzare il sistema; "Secure in Deployment", un sistema di linee guida per configurare correttamente le impostazioni sulla sicurezza che prevede anche l'attivazione di corsi di formazione e training del personale.

Gates ha citato anche l'ex Palladium descrivendola come una tecnologia in grado di "eliminare i punti deboli" insiti in ogni PC e capace di "incrementare significativamente l'integrità, la privacy e la sicurezza dei dati". Uno degli obiettivi di Palladium, come è noto, è anche quello di impedire la riproduzione di contenuti digitali di cui l'utente non possieda la licenza.
TAG: microsoft
29 Commenti alla Notizia Trustworthy Computing un anno dopo
Ordina
  • "Gates spiega che è stato di fondamentale importanza l'introduzione, lo scorso anno, dei nuovi modelli per progettare, costruire e implementare applicazioni: questi sono il "Secure by Design", attraverso cui il big di Redmond si impegna a progettare applicazioni che contengano il minor numero possibile di bug e vulnerabilità di sicurezza;"

    ADESSO???????????????????
    Scusate ma non aveva gia' iniziato da win95 con sta cosa?
    E cmq non dovrebbe essere la BASE per un QUALSIASI software????

    Ma pensa te....
    e' grottesco.... e lo stanno pure a sentire lo stanno....

    Cmq si sta' imbarcando in una impresa stile Apple con hw proprietario...
    ingegnosa l'idea di farlo quando ha il monopolio de facto. ma anche truffaldina non trovate?

    Pressapoco come la EA che compra le soft house minore per fale morireSorride

    Bah.. io seguo il mio amato Tux e guardo come si evolvera' la cosaSorride

    Bye,
    X-CASH
    non+autenticato

  • - Scritto da: Anonimo
    > "Gates spiega che è stato di fondamentale
    > importanza l'introduzione, lo scorso anno,
    > dei nuovi modelli per progettare, costruire
    > e implementare applicazioni: questi sono il
    > "Secure by Design", attraverso cui il big di
    > Redmond si impegna a progettare applicazioni
    > che contengano il minor numero possibile di
    > bug e vulnerabilità di sicurezza;"
    >
    > ADESSO???????????????????
    > Scusate ma non aveva gia' iniziato da win95
    > con sta cosa?
    > E cmq non dovrebbe essere la BASE per un
    > QUALSIASI software????
    >
    > Ma pensa te....
    > e' grottesco.... e lo stanno pure a sentire
    > lo stanno....
    >
    > Cmq si sta' imbarcando in una impresa stile
    > Apple con hw proprietario...
    > ingegnosa l'idea di farlo quando ha il
    > monopolio de facto. ma anche truffaldina non
    > trovate?

    La differenza è che la Apple produce HW (eh si), e per farlo funzionare ti ci installa un S.O., non la monnezza che va avanti a forza di acronimi e sigle altisonanti ma che servono solo a mascherare l'incapacità di scrivere codice decente.



    > Pressapoco come la EA che compra le soft
    > house minore per fale morireSorride
    >
    > Bah.. io seguo il mio amato Tux e guardo
    > come si evolvera' la cosaSorride

    Prova a infilare un pinguino in una macchina Apple e palladium rimarrà solo un brutto sogno. Solo che poi scoprirai OsX e lascerai perdere il pinguino...effetti collaterali...

    > Bye,
    >   X-CASH
    non+autenticato

  • - Scritto da: Anonimo
    ....
    > > Bah.. io seguo il mio amato Tux e guardo
    > > come si evolvera' la cosaSorride
    >
    > Prova a infilare un pinguino in una macchina
    > Apple e palladium rimarrà solo un brutto
    > sogno. Solo che poi scoprirai OsX e lascerai
    > perdere il pinguino...effetti collaterali...

    Beh, per anni avete rotto con il vostro strafantastico Mac OS...
    Adesso per caso avete scoperto un kernel unix-like (leggasi: la Apple non è riusita a scrive lei un kernel decente...) e da allora andate avanti a ficcare X da tutte le parti e a dire che OsX è il massimo perchè è Unix (si, vabbè...si fa per dire... una rondine non fa primavera e un kernel non fa uno unix...). Ma allora vuol dire che ai suoi tempi OS9 era una schifezza, visto che gli unix-like esistevano già.....
    Già... ma il punto di forza è l'interfaccia grafica.... e allora come mai le X da tutte le parti ?
    L'ultima notizia è il porting di XFree sotto OS-X.... Fra un po' la Apple si limiterà a scrivere il window manager....
    Però sarà un window manager strafantastico: avrà un angolo normale, uno arrotondato, uno tagliato a 45 gradi e il quarto coperto da un motivo floreale stile Liberty....



    non+autenticato


  • Tu c'hai grossa crisi, ascoltami figliolo, c'hai grossa crisi, per oggi, domani e la prima che hai detto.

    Curati.
    non+autenticato

  • >...più rispettosa della privacy ma, soprattutto, più capace di proteggere il copyright dei contenuti digitali.

    Ecco; a questo servirà palladium.

    A questo e basta.

    non+autenticato
  • avanti pure con palladium... e vedrete che dopo il software open verrà pure l'hardware open.

    fate fate...
    non+autenticato
  • > dopo il software open verrà pure l'hardware
    > open.
    purtroppo non sara disponibile cosi "apertamente"...
    non+autenticato

  • - Scritto da: Anonimo
    > avanti pure con palladium... e vedrete che
    > dopo il software open verrà pure l'hardware
    > open.

    Certo, certo. Ti ci voglio vedere a farti in cantina una board a 8 strati con solder e serigrafie, piste da 10 mil spaziate a 16 e saldare a mano QFP 100 pin pitch .65 mm...

    Fate, fate... il software si può scopiazzare e abborracciare anche con zero lire, per l'HW ci vogliono sempre e cmq impianti, componenti, quattrini e teste buone.
    non+autenticato
  • > > avanti pure con palladium... e vedrete che
    > > dopo il software open verrà pure
    > l'hardware
    > > open.
    >
    > Certo, certo. Ti ci voglio vedere a farti in
    > cantina una board a 8 strati con solder e
    > serigrafie, piste da 10 mil spaziate a 16 e
    > saldare a mano QFP 100 pin pitch .65 mm...
    >
    > Fate, fate... il software si può scopiazzare
    > e abborracciare anche con zero lire, per
    > l'HW ci vogliono sempre e cmq impianti,
    > componenti, quattrini e teste buone.

    Anno >2005. La ditta A vende una scheda madre per processori X, palladium compatibile.
    La ditta B vende una scheda madre per processori Y, senza palladium conforme a specifiche aperte.
    Io mi devo fare un PC. Scelgo da chi comprare e compro da B e da Y. Installo Linux e fanculo palladium.

    Mica me lo faccio in cantina l'hardware.

    Tu invece, astutamente, comprerai da A, da X e da M$. Giusto?
    non+autenticato
  • Da quello che hai scritto si capisce che non sai nemmeno di cosa parli
    non+autenticato

  • - Scritto da: Anonimo
    > Da quello che hai scritto si capisce che non
    > sai nemmeno di cosa parli

    Solito commento costruttivo.

    Se non so nemmeno di cosa parlo, allora correggimi o spiegami. Ma se non lo sai fare, taci.
    non+autenticato

  • - Scritto da: Anonimo

    > La ditta B vende una scheda madre per
    > processori Y, senza palladium conforme a
    > specifiche aperte.
    > Io mi devo fare un PC. Scelgo da chi
    > comprare e compro da B e da Y.

    Così B e Y te lo metteranno garbatamente nel culo con poco grasso al silicone misto a molta rena abrasiva mediogrossa, facendo il prezzo che preferiscono. Prezzo sicuramente alto, visto che non raggiungeranno mai i volumi di vendita degli assemblati per home e SOHO di questi tempi: tale mercato sarà saldamente in mano a macchine Palladium. D'altro canto, la strategia commerciale più corretta per tenere gli utonti lontani da macchine non-palladium consiste proprio nell'aumentare a dismisura i prezzi di macchine "open", e ci sarà ben chi vigila affinché le cose vadano sempre così.

    Per come si stanno mettendo le cose, gli unici che non aderiranno a palladium sono i produttori di workstation con processori esotici da trenta milioni al pezzo, e chi produce PC industriali, SBC ed affini: tutte macchine low-clocked, che notoriamente costano almeno 5 volte più del tuo assemblato preferito, per via della maggiore affidabilità ed immunità EMI.

    Se poi volete continuare a sognare il vostro zorro che vi libera dalla schiavitù, fate pure...
    non+autenticato

  • - Scritto da: Anonimo
    ....
    > prezzo che preferiscono. Prezzo sicuramente
    > alto, visto che non raggiungeranno mai i
    > volumi di vendita degli assemblati per home
    > e SOHO di questi tempi: tale mercato sarà
    > saldamente in mano a macchine Palladium.

    Hai perfettamente ragione.

    Purtroppo ci sono gli utonti che piuttosto di chiedersi cosa comprano preferiscono comprare l'ultima novità strapubblicizzata.

    Il prezzo ovviamente risulta di conseguenza....

    Comunque io pagherò la macchina 3 volte tanto. Ma il fatto che mi durerà tre volte di più perchè non servirà a far girare cagnolini che fanno pipì nell'angolo del desktop farà si che alla fine spenderò uguale per avere le stesse prestazioni. Potendo però fare quello che voglio senza essere controllato ne spiato.
    TeX
    957

  • - Scritto da: TeX
    >
    > Comunque io pagherò la macchina 3 volte
    > tanto. Ma il fatto che mi durerà tre volte
    > di più perchè non servirà a far girare
    > cagnolini che fanno pipì nell'angolo del
    > desktop farà si che alla fine spenderò
    > uguale per avere le stesse prestazioni.
    > Potendo però fare quello che voglio senza
    > essere controllato ne spiato.

    Vedi, nel mio piccolo ho sempre seguito questa linea. Non perché abbia complessi di persecuzione: non credo che a qualcuno possa interessare spiarmi. Le mie licenze le ho sempre pagate, ho una marea di programmini da 50$ che risolvono un mucchio di problemi, per il resto si trova di tutto gratis o si può scrivere qualcosa ad hoc (è il mio mestiere, dopotutto). Trafficare di MP3 e giochini mi fa piuttosto schifo già come concetto, tra l'altro non credo che si trovi molto Bach o Rachmaninov o Garbarek in quest'immondezzaio di pop dell'ultimora, dunque non ho proprio problemi se esiste o non esiste palladium.

    A casa ho sempre avuto macchine brand nuove e workstation in "obsolescenza programmata" della mia azienda, che durano una vita e non danno mai problemi. Quando devo comprare qualche macchina nuova per la mia ditta, ne prendo una in più per casa, a prezzo Opengate: ci guadagno due volte. SCSI, RAID, le migliori memorie con parità, ventilazione ridondata, affidabilità totale. Certo, costano il triplo dell'assemblato del supermercato, ma hanno anche tre anni di garanzia (minimo). E chissenefrega se non potrebbe girarci l'ultimo giochino del menga... su queste macchine Palladium non ci sarà, perché non sono degli sciocchi, e va benissimo così. Sarebbe una risata andare a certificare i crosscompilatori embedded, il software SCADA e i moduli per PLC che uso io, in ufficio e a casa...
    non+autenticato
  • - Scritto da: Anonimo

    > A casa ho sempre avuto macchine brand nuove
    > e workstation in "obsolescenza programmata"
    > della mia azienda, che durano una vita e non
    > danno mai problemi. Quando devo comprare
    > qualche macchina nuova per la mia ditta, ne
    > prendo una in più per casa, a prezzo
    > Opengate: ci guadagno due volte. SCSI, RAID,
    > le migliori memorie con parità, ventilazione
    > ridondata, affidabilità totale.

    Tu devi essere un po' fuori di testa, ecco perche' ti piace anche Palladium.
    non+autenticato

  • - Scritto da: Anonimo

    > Tu devi essere un po' fuori di testa, ecco
    > perche' ti piace anche Palladium.

    Mi pare molto più fuori di testa chi compra una patacca di assemblato senza garanzia di interoperabilità e MTBF e poi lo prende a calci ogni 3x2 per cambiarlo dopo sei mesi...
    non+autenticato
  • Si può fare un sistema sicuro senza bisogno di hardware dedicato, basti vedere linux, che gira praticamente su ogni tipo di hardware ed è sicuro,diciamo più che altro che palladium serve a bloccare la pirateria.
    non+autenticato
  • > che palladium serve a bloccare la pirateria.
    piu sicurezza...ma non per gli utenti...tutto qua...
    non+autenticato

  • - Scritto da: Anonimo
    > Si può fare un sistema sicuro senza bisogno
    > di hardware dedicato, basti vedere linux,
    > che gira praticamente su ogni tipo di
    > hardware ed è sicuro,diciamo più che altro
    > che palladium serve a bloccare la pirateria.

    Questa è una vecchia idea degli utenti Spectrum, che (poveracci) non avevano HW dedicato e dovevano pasticciare con il software per ottenere quello che noi avevamo di serie sul C64 col SID e tutto il resto.

    L'HW dedicato *FA*, eccome. La sottile ma fondamentale differenza tra un crack software ed un modchip sta nel fatto che il primo può venir fuori in qualsiasi sottoscala a botte di debugger trace, disassemblati e reverse engineering, il secondo esiste se e solo se ci sono fughe di schemi e informazioni da parte di dipendenti infedeli, manovre losche dalla stessa casa madre o una incompetenza sesquipedale nella disposizione degli strati critici sul PCB (raro ma possibile).

    Certo, l'idea di base del Palladium è quella di bloccare la pirateria, ma anche worm e quant'altro gli utonti riescono a vomitare inconsapevolmente nelle caselle di posta altrui.

    Bisogna accettare il principio che Palladium è nato per tutti gli utonti che hanno abboccato alle pubblicità, comprando un PC (di cui non hanno bisogno) invece di una bella consolle o set-top box inchiavardato a dovere. I quali utonti finiscono poi per intasare le reti di scambio di files musicali illegali e quant'altro, e ciò non è bello.

    Un utente aziendale o uno sviluppatore freelance potranno SEMPRE comprare una bella workstation (accettando l'idea di pagarla quanto un XT nel 1986: uno strumento di lavoro non è un balocco) su cui far girare software sperimentale, "strano", sviluppato inhouse, che non ha niente a che vedere con Palladium... il vero, unico target di Palladium sono gli utonti home e SOHO.
    non+autenticato
  • > il vero, unico target di
    > Palladium sono gli utonti home e SOHO.
    e quindi ????? e accettabile ?????
    non+autenticato

  • - Scritto da: Anonimo
    > > il vero, unico target di
    > > Palladium sono gli utonti home e SOHO.
    > e quindi ????? e accettabile ?????

    ACCETTABILISSIMO !

    E' tutta gente che avrebbe dovuto comprarsi una consolle o un set-top box.
    non+autenticato

  • > > e quindi ????? e accettabile ?????
    >
    > ACCETTABILISSIMO !
    >
    > E' tutta gente che avrebbe dovuto comprarsi
    > una consolle o un set-top box.

    quindi tu a casa per ascoltarti gli mp3 ti compri una workstation?
    non+autenticato

  • - Scritto da: Anonimo
    >
    > quindi tu a casa per ascoltarti gli mp3 ti
    > compri una workstation?

    Io non ascolto MP3, quindi non ho il problema. A casa porto le vecchie macchine dell'azienda, che vanno ancora benissimo...
    non+autenticato
  • > Io non ascolto MP3, quindi non ho il
    > problema. A casa porto le vecchie macchine
    > dell'azienda, che vanno ancora benissimo...
    io non ho voglia di pagare hardware il doppio solo perche a uno girano le palle per metterci dentro hardware cryptato...
    mi sono spiegato ?????
    anche io sono un SOHO...e non ho voglia di tutti questi metodi e restrizioni che ci sono in giro...tutto il resto non conta nulla...
    non+autenticato