il business della sicurezza in rete

["Andrea Agostini" <lonanoda at tin.it>]

dalla stampa

  Martedi' 29 Aprile

The Rsa conference
News.com



I RISULTATI DELLA «RSA CONFERENCE 2003»
CHE SI E' SVOLTA A SAN FRANCISCO
Tutti più sicuri nell'acquario della Rete
Cinque giorni di confronto e dibattito sul business della sicurezza online.
La questione è troppo importante perché sia regolamentata solo dal mercato.
Lo sforzo è di tutelare il mare magnum di Internet, senza cedere alla
tentazione di incapsularlo

29 aprile 2003
di Stefano Porro


Una volta c'erano gli hacker, temutissimi pirati informatici che con due
colpi di mouse si infilavano nel computer di casa per portare scompiglio tra
i file e prelevare i dati della tua carta di credito. Ora, gli spauracchi di
chi naviga quotidianamente su Internet sono aumentati e si sono fatti ancora
più insidiosi. Tra spamming indiscriminato, spy-ware (i software invisibili
che monitorano le attività e il contenuto del pc su cui vengono
inavvertitamente installati), virus mutageni e siti che, non appena ti sei
registrato, tracciano i tuoi movimenti per capire che cosa ti interessa e
poi te lo vendono, per l'utente medio navigare in rete sembra essere
diventato un pericolo costante.

A pensarla così sono le duecento aziende più importanti del mondo che
sviluppano software di sicurezza, riunitesi circa una settimana fa a San
Francisco in occasione della conferenza annuale della RSA. Un appuntamento
per gli addetti ai lavori che si rinnova più volte all'anno e che a giugno
farà tappa a Tokio, per proseguire poi ad Amsterdam nei primi giorni di
novembre.

Quello della sicurezza online è, in questo momento, il business più proficuo
della net economy e uno dei pochi settori in cui, nonostante una perdurante
congiuntura negativa, si intravedono mirabolanti prospettive di crescita.
Basti pensare al caso di Intellitactics Inc., una piccola e sconosciuta
azienda dell'Ontario produttrice di applicativi di security, diventata
famosa in tutto il mondo per aver trovato un finanziamento miliardario (8,6
milioni di dollari) da fondi di venture capital. Un'operazione inusitata
visti i tempi che corrono, che riporta alla mente le speculazioni del Nasdaq
nel biennio 1998-1999, quando bastava dire «dotcom» per ricevere
finanziamenti a 9 zeri.

E grande entusiasmo lo si respirava anche tra i 10.000 partecipanti della
conferenza di San Francisco, durante la quale è stata sancita la nascita del
«Trusted Computing Group», una sorta di team di ricerca e sviluppo formato
da Advanced Micro Devices, Hewlett Packard, Imb, Intel e Microsoft con l'
intento di collaborare alla realizzazione di contromisure che rendano sempre
più ardua la vita di hacker malevoli e costruttori di virus perniciosi.

Anche se, in realtà, un'alleanza del genere lascia più pensare a una sorta
di cartello dei principali player tecnologici per monopolizzare con i propri
prodotti una fetta di mercato che si preannuncia sempre più proficua. Su
questo versante, anche la politica si sta dando da fare: dopo la tragedia
dell'11 settembre e la seconda guerra del golfo, l'amministrazione Bush ha
predisposto una serie di decreti che, con la scusa di aumentare la
percentuale di sicurezza dei navigatori e di prevenire il terrorismo
informatico, pongono le basi per una sorveglianza continua di ciò che i
singoli individui fanno sulla rete.

Vanno in questo senso il già tristemente noto TIA (Total Information
Awareness) e la recente disposizione chiamata «National Strategy to Secure
Cyberspace», contenente rigide disposizioni su come proteggere, mettendogli
un lucchetto, le infrastrutture critiche della rete.

L'improvvisa esplosione finanziaria del security business e le intenzioni da
Grande Fratello del governo statunitense non lasciano presagire nulla di
buono. Quella della sicurezza è una questione troppo importante perché sia
regolamentata solo dal mercato. Le aziende che effettuano ricerche in questo
senso dovrebbero condividere ancora di più con le comunità open source e gli
enti di garanzia della rete le loro scoperte e soprattutto le loro reali
intenzioni. Sentendo le dichiarazioni arrivate da San Francisco, sembra che
la strada imboccata vada invece nel senso opposto, e cioè nella direzione di
una progressiva chiusura dei protocolli di rete aperti (considerati
rischiosi) in favore dell'adozione di security software che, per proteggere
un utente, ne restringono enormemente il campo d'azione.

La riprova di quanto sta accadendo starebbe nel rifiuto, più volte
confermato da alcuni interventi della conferenza, di assumere alle proprie
dipendenze sviluppatori e tecnici con un passato da hacker alle spalle.
Sintomatica da questo punto di vista è stata la dichiarazione di Ira
Winkler, capo dei progetti di sicurezza di Hewlett-Packard, che ha affermato
di «non poter spiegare ai propri azionisti di aver assunto, per proteggere i
loro dati, un pirata che è stato in galera per crimini informatici».

Eppure sono molti gli hacker che, avendo ormai saldato il conto per i danni
causati, potrebbero fornire un apporto fondamentale nella realizzazione di
software di sicurezza che siano al contempo efficaci e rispettosi della
libertà dell'utente in rete. Non è un caso che il più famoso tra loro, Kevin
Mitnick, dopo aver scontato cinque anni di prigione abbia avviato una
software house che lavora proprio in questo settore.

Nei prossimi mesi sentiremo spesso parlare di sicurezza sotto molteplici
punti di vista, da quello tecnologico a quello economico-finanziario. C'è da
sperare che le ricerche e le innovazioni che saranno realizzate dalle
aziende migliorino sotto ogni punto di vista la tutela dei navigatori del
mare magnum di Internet, senza cedere alla tentazione di incapsularli dentro
un acquario. Molto più sicuro, certo, ma inesorabilmente chiuso.