San Francisco (USA) – Sono trascorsi cinque anni da quando Bill Gates, introducendo il famoso concetto di trustworthy computing , ha posto la sicurezza fra le massime priorità della propria azienda. Da allora il gigante di Redmond afferma di aver compiuto notevoli passi avanti nel migliorare la solidità e l’affidabilità del proprio software, “ma molti altri ne rimangono da fare”, ha ammesso il chairman di BigM Bill Gates durante la RSA Conference 2007 di San Francisco.
In occasione dell’evento californiano dedicato alla cyber sicurezza, Gates e Craig Mundie, chief research and strategy officer di Microsoft, hanno discusso delle tappe che l’industria del settore dovrà affrontare per migliorare la sicurezza di reti, computer e dispositivi mobili. Secondo i due dirigenti, è necessario che l’industria intensifichi l’impegno nel trustworthy computing “per consentire alle persone di accedere, condividere e usare informazioni aziendali e personali senza il timore che possano essere compromesse, rubate o indebitamente sfruttate da altri”.
Gates ha insistito sul fatto che le reti aziendali non sono più “serre di vetro” isolate da proteggere semplicemente difendendone il perimetro. “Dobbiamo stabilire cosa si può connettere a cosa, e per farlo abbiamo bisogno di un paradigma più potente”.
Rispetto al passato, Gates ha spiegato che le aziende hanno oggi due necessità : connettere i propri network e i propri servizi ad Internet, e consentire ai propri dipendenti di accedere alla rete aziendale ovunque essi si trovino e con differenti tipi di dspositivo. Ciò rappresenta una grande sfida sul piano della sicurezza, perché la superficie d’attacco, rispetto a pochi anni fa, si è estesa notevolmente.
Gates e Mundie sostengono che per rendere le reti davvero pervasive è necessario, da un lato, semplificare la gestione delle policy di sicurezza e delle identità digitali , e dall’altro migliorare le tecnologie di protezione ad ogni livello : da quello fisico a quello software, da quello amministrativo a quello utente.
“Solo vincendo la cruciale sfida sulla sicurezza potremo creare una nuova generazione di connected experiences che consentano alle persone di accedere alle comunicazioni, ai contenuti e alle informazioni dovunque essi si trovino”, ha affermato Gates. “Per vincere questa sfida, l’industria dovrà essere in grado di progettare sistemi e processi che diano alla gente e alle aziende un più elevato grado di fiducia nella tecnologia che utilizzano per proteggere la propria identità, la propria privacy e le proprie informazioni”.
Mundie ritiene essenziale che tutti i soggetti coinvolti nella sfida cooperino tra loro, promuovendo l’adozione e la creazione di standard che permettano l’interoperabilità tra sistemi e applicazioni differenti. A tal proposito Mundie ha ribadito la volontà di Microsoft di continuare a lavorare con l’industria sugli standard WS-* ( qui ) per il Web e con l’ Interop Vendor Alliance sull’interoperabilità tra la propria piattaforma e i prodotti della concorrenza. Va in questo senso anche l’annuncio del supporto alla specifica OpenID 2.0 , un framework aperto per le identità digitali che Microsoft integrerà con la propria tecnologia CardSpace (ex InfoCard ) inclusa in Windows Vista.
Ed è proprio da CardSpace che, secondo Gates, deve nascere tra gli utenti una nuova cultura della sicurezza. Questa tecnologia permette infatti di rimpiazzare la classica autenticazione basata su nome utente e password con certificati digitali criptati, ritenuti da Gates assai più comodi, affidabili e sicuri. In passato il fondatore di Microsoft ha portato avanti una vera e propria crociata contro le password , che a suo dire rappresentano l’anello più debole di tutta la catena della sicurezza.
Sul fronte dell’autenticazione Microsoft vuol anche favorire, specie nel mondo aziendale, la diffusione delle smart card , una tecnologia supportata dal suo imminente Identity Lifecycle Manager 2007 . Questo software, annunciato alla conferenza RSA e atteso sul mercato a maggio, dovrebbe semplificare l’integrazione delle tecnologie di autenticazione “forte”, come per l’appunto le smart card, con l’infrastruttura preesistente. Microsoft afferma che un altro passo fondamentale per migliorare la sicurezza delle reti è l’adozione di IPv6 , il protocollo Internet di nuova generazione, e IPSec , uno standard per la cifratura e l’autenticazione delle connessioni IP. Windows Vista e l’imminente Longhorn Server li supportano entrambi nativamente, permettendo ad esempio agli amministratori di creare regole di firewalling che discriminino tra procollo IPv4 e IPv6.
Per migliorare la protezione di chi naviga sul Web, Microsoft ha annunciato due novità di Internet Explorer 7 : il supporto ai certificati Extended Validation SSL , che promettono un più elevato livello di affidabilità nelle transazioni online e nell’autenticazione dei siti web, e l’aggiunta di quattro nuovi database antiphishing, tra i quali quello della nota società Netcraft .
Mundie ha detto che Windows Vista e Office 2007 sono i prodotti più sicuri mai rilasciati da Microsoft, ma ha anche ammesso che non sono esenti da problemi. Proprio negli scorsi giorni, ad esempio, sono apparsi su Internet alcuni exploit per Vista che sfruttano delle vulnerabilità nel sistema di riconoscimento vocale, e il giorno stesso dell’uscita di Vista, Microsoft ha corretto diversi bug, anche se non gravi. Il giovane antivirus di Microsoft, Windows Live OneCare , ha invece fallito il test VB100 dell’autorevole laboratorio inglese Virus Bulletin , mancando di rilevare alcune tra le 100 più diffuse minacce attualmente in cicolazione.
Proprio OneCare, durante la RSA Conference, è finito nel mirino di Symantec , che come noto non vede di buon occhio la scesa in campo del big di Redmond nel settore dei software per la sicurezza. Symantec ritiene che la commercializzazione di prodotti come OneCare e ForeFront, e l’integrazione in Vista dell’antispyware Windows Defender, abbiano creato ” un grave conflitto di interessi sul mercato della sicurezza”.
Negli scorsi giorni c’è anche chi ha criticato Microsoft per aver elevato i costi di supporto di Windows XP e Office XP, e questo proprio in coincidenza con il lancio dei rispettivi successori.